過去30日の間に発生したサイバー攻撃による被害を調査してみたところ、11月もやはり「Conti」「Ryuk」「Clop」などのランサムウエアによる被害が多く、サイバー攻撃の対象が公的な機関と医療機関へ集中している傾向がみられました。また、以前の記事(NetWalkerランサムウエア感染急増!身代金要求ビジネスの被害にご注意を)でもご紹介しましたが、特定の企業を狙った所謂「標的型攻撃」へのサイバー攻撃のシフトが見られました。
「Conti」「Ryuk」「Clop」について、ご存じでない方も多いと思いますので、簡単にそれぞれのランサムウエアの特長をご紹介しておきます。
目次
Conti ランサムウエアとは
Contiランサムウエアは、感染したPCのデータを暗号化し、復号化キーと引き換えに身代金を要求する一般的なランサムウエアで、主にメールへの添付ファイルを通じて、感染経路を広げる手口で知られています。一旦感染してしまうとデータベース、画像、音声、ビデオなど多くのファイルが「.CONTI」の拡張子を付けられた状態で暗号化されます。
Ryuk ランサムウエアとは
Ryuk ランサムウエアは2018年頃にその存在が明らかになった標的型ランサムウエアで、Hermesランサムウエアの亜種として知られています。Ryuk ランサムウエアはexeファイルで配布され、Ryuk ランサムウエアの起動に管理者権限は必要なく起動することができます。その動作は配布されるexeにより多少の挙動の変更があるものの、基本的な目的であるファイルの暗号化に変わりなく動作します。
最新のRyuk ランサムウエアでは、ランダム名の子プロセスを作成し、作成した子プロセスにシャットダウンしているPCを強制的に起動させ、暗号化するWake-On-Lan(WOL)による暗号化機能を担当させます。そして、ネットワーク上にあるシャットダウンやスリープしているPCの起動を次々と試み、暗号化の対象となるPCの拡大を続けるといった動作が確認されています。
Clopランサムウエアとは
Clopランサムウエアは2019年2月頃にその存在が発見されたランサムウエアで、2019年に米国の企業やオランダの大学などでその被害が確認されていましたが、2020年11月23日に韓国の小売り大手であるE-LandRetailがClopランサムウエアによる攻撃を受け、NewCoreとNCデパートの23施設を閉鎖したとの情報が公になっています。
また、200万枚にも及びクレジットカード情報も盗み出されたとの情報もあり、セキュリティ各社は、監視と脅威検出の強化を訴えている真っ最中です。。
Clopランサムウエアも、暗号化したファイルに「.Clop」の拡張子を付加し、各フォルダに「ClopReadMe.txt」という名前の身代金メモを残します。
South Korean retail giant E-Land Retail suffers Clop ransomware attack https://t.co/89R6cqzJGp pic.twitter.com/7rRS442nkV
— Baltazar Torres (@baltazar_techie) December 4, 2020
2021年もセキュリティ対策を
未だ、収まる傾向を見せていない新型コロナウイルスの影響がおそらく来年も続くだろうと予想される中、サイバー空間の中でもこの混乱に便乗したサイバー攻撃が活発化することが予想されています。
2021年がどんな一年になるのか、正直、わかりませんが、「サイバー攻撃への備えあれば憂いなし」ということで、2020年以上にセキュリティ対策への強化に取り組んでいきましょう。
