「NetWalker」と呼ばれるファイルレス型のランサムウエア感染によって、身代金が要求されるケースが世界中で拡がりをみせています。「NetWalker」は2019年8月頃に初めて発見されたランサムウエアで、この頃は「Mailto」と呼ばれていました。2019年末頃には「NetWalker」と呼ばれるようになり、2020年3月頃には被害が急増。これまでに2500万ドルが身代金として支払われたと報告されています。McAfee Blogの中で「NetWalker RaaSは、量よりも品質を優先し、ロシア語を話し、大規模なネットワーク経験を持つものを探している」と記載されていることから、「NetWalker」の開発元は、またロシアの集団なのではと予想されているようです。

ランサムウエアの定義

ランサムウエア(Ransomeware)とは、感染したPCのシステムやファイルへのアクセスをロックするマルウエアの一種で、アクセス拒否の解除の代わりに身代金の支払いを要求するものです。身代金は暗号通貨やクレジットカード、追跡不可能なギフトカードなどで要求されるケースが多いようですが、仮に身代金を支払ったとしてもアクセス権の復旧につながる保証はどこにもありません。

ランサムウエアの侵入経路

ランサムウエアの主な侵入経路は、eメールです。メールによるフィッシング、スパムによって添付ファイルを実行もしくはメール本文に記載されたURLリンクをクリックすることによりランサムウエアがダウンロード・実行され感染します。

ランサムウエアに感染後は、ランサムウエアは感染したPC内にあるメールアドレス等の情報にアクセスし、感染拡大を繰り返します。

2020年9月時点におけるNetWalkerの特長

  • フィッシング等のeメールに添付されたファイルの実行による感染。
  • リフレクティブDiffロードと呼ばれる検出回避技術でセキュリティ製品による検出回避行動を持っている。
  • 欧米諸国及び米国を拠点とした大企業を主なターゲットとしている。
  • NetWalkerグループが要求する身代金の支払いに応じない場合は、被害データを公開すると宣言している。
    • 脅威検知のサイバーセキュリティ企業である「Cygilant(サイジアント)」のCFOChristina Lattucaが「ランサムウエアの攻撃を確認した」と発表。その後、ダークウェブサイトで同社の情報が公開されていたという情報があります。
  • 暗号化の対象は、Officeドキュメント、PDFファイル、テキスト、ビデオ、画像など一般的に使われるファイル。

ランサムウエア被害の主な回避方法

  • 定期的なデータバックアップ
  • Eメール利用者への情報周知・リテラシーの向上
  • ファイルダウンロードのモニタリング及び制限
  • メールサーバー及びエンドポイント上でのホワイトリストの導入及び充実
  • 多レイヤーでのセキュリティ対策、ゼロトラストの実施
  • Powershellログモニタリング

今回は、欧米など世界各地で被害が拡大しているNetWalkerランサムウエアについての現状をまとめてみました。日本国内での報告は現在のところ少ない状況ではありますが引き続き注視する必要があります。ご注意ください。