Contiランサムウェアとは

サイバーセキュリティにおいて、Contiとは、最も安全なシステムやネットワークまでも無効化できる悪質なハッカー集団を連想させる言葉です。また、こうした犯罪者が世界中の組織を標的にする目的で開発、使用する高度なランサムウェアのことも意味します。活発に活動していた期間はわずか数年だったものの、Contiを利用していたロシア系のランサムウェアハッカー集団は、あらゆるタイプの悪意あるツールと積極的な恐喝戦術により、数億ドルもの身代金を奪いました。このグループは現在は機能していませんが、Contiや同様のランサムウェアツールは健在です。

Contiはサイバー犯罪者によって標的のネットワークに展開されると急速に感染し、データを暗号化してリモートの場所に転送してしまいます。被害者のデータを完全に制御し、二重恐喝という形で身代金を要求することが目的です。復号化キーがないと、被害者はデータにアクセスできなくなります。また、攻撃者はデータをダウンロードしているため、機密情報の公開をほのめかすことでさらに脅しを加えてきます。データアクセスの消失と機密情報の漏洩はいずれも組織に深刻な損害をもたらす可能性がある一方で、要求された身代金を支払った場合でも、事態が改善されないケースが多く見られます。

動作のしくみ

Contiグループは、Ransomware-as-a-Service（RaaS）アフィリエイトプログラムとして運営されていました。2019年に現れたこのグループは別のギャングに取って代わり、高度なContiランサムウェア技術を販売とリースを通じて攻撃者に提供し始めました。攻撃にはContiランサムウェアの導入が必要ですが、ほとんどの場合は、実際の攻撃者がさまざまなツールや手法を使用してシステムをクラックします。

このため、組織はあらゆる可能性に備える必要があります。備えの出発点としては、非営利団体MITERによって開発されたATT&CKフレームワークが適しています。このフレームワークは、攻撃と対応戦略に関する包括的な知識ベースです。実際のサイバー攻撃を観察して開発されたもので、組織がこれらの脅威を特定して防御するのに役立つ詳細な手順を提供します。

初期アクセス

ランサムウェア攻撃は、攻撃者が被害者のネットワークに侵入しようとするところから始まります。典型的なアプローチに、一見無害に見えるWord文書やzipファイルが添付されたメールを使ったフィッシング攻撃があります。ただし、この添付ファイルはCobalt Strikeなどの第1段階のエクスプロイトを展開するマルウェアです。別の手口としては、ネットワークスキャンにより、開いているRDPポートを検索し、そのポートを使用して、盗んだログイン情報でログインするというものがあります。いったん内部に侵入すると、攻撃者はさまざまなツール（悪意のあるツールとオープンソースツールの両方）を使用してネットワーク内を移動してデータストアを見つけ出し、セキュリティを侵害します。リモートワーカーアクセスを行う組織に慎重なプロビジョニングと厳重なセキュリティが不可欠なのはこのためです。

他の手法として、パスワードハッシュをディスクとメモリに保管しているActive Directoryのような、標準的なツールの弱点を利用することもあります。これらはmimikitzなどのツールで容易に抽出でき、攻撃者に管理者のログイン情報とネットワークおよびそのデータへの幅広いアクセスを与えます。Windows Serverを採用している企業にとっては、Active Directoryを保護する内部機能を導入することが賢明な選択肢と言えます。

ラテラルムーブメント

攻撃者はネットワークに侵入すると、ネットワーク全体に拡散するようContiランサムウェアを展開します。拡散しながら、Contiの高度なコードがマルチスレッド技術を通じてデータを素早く暗号化します。また、複数の難読化技法によってさまざまなセキュリティレイヤーを回避します。この戦略によって、エンドポイントソリューションが攻撃を検知して阻止する前に、Contiによるダメージが最大化されます。

Contiの伝搬におけるスピードと効率性は、ネットワーク上でのラテラルムーブメント、具体的にはServer Message Block（SMB）プロトコルによって実現されています。すべてのMicrosoft Windowsシステムは、SMBを使用してネットワークプリンタなどのデバイスと通信します。Contiは従来のネットワークデバイスではなくSMBプロトコルを介して拡散するため、検出と封じ込めが非常に困難です。Windows SMBクライアントパラメーターを構成することで、このラテラルアプローチのリスクを軽減することができます。 

データ窃取と暗号化

ネットワークが完全に侵害されると、攻撃者はRcloneなどのオープンソースツールを使用して、被害者のデータをクラウドストレージプロバイダーに盗み出します。その目的は、不審なネットワークアクティビティを監視するセキュリティシステムによるフラグ付けを防ぐことです。一方、攻撃者は戦略の一環として、バックアップの削除や破壊も試みます。これによって、被害者が身代金を支払わずにデータを復元することがより難しくなります。多くのチームは、安全なバックアップを隔離された場所に保管するという戦略を見落としています。しかし、ランサムウェアが関与している場合、この見落としの代償は大きなものになるでしょう。

恐喝（ランサムウェア）

多くの場合、攻撃者はネットワーク内で数日から数週間を費やし、データを暗号化して転送し、バックアップを破棄します。身代金を要求された時には、もう手遅れです。被害者のデータはすでに暗号化されているため、復号化キーがないとアクセスできません。攻撃者はこのキーと引き換えに数百万ドルを要求します。大量のデータを失うことはどのような組織にとっても壊滅的な打撃となるため、組織がこうした要求を呑んでしまうことは珍しくありません。

Conti攻撃には、データ漏洩の脅威も伴います。攻撃者は、身代金要求を支払わなければ機密情報を漏らすと脅すことで、被害者にさらなる恐喝を重ねます。企業の機密データや顧客のデータが漏洩する恐れがあるため、多くの企業が身代金の支払いを余儀なくされています。

Conti攻撃の歴史と今後

Contiランサムウェアを使用するギャングは、歴史上最も悪名高いサイバー犯罪組織の一つとして知られています。このグループは、わずか数年の間に、企業、医療施設、地方自治体、さらには国家に対するサイバー攻撃など、数多くの注目を集める攻撃を行ってきました。

組織、メンバー、構造

2019年または2020年頃に出現したContiグループは、ランサムウェアおよびハッカーギャングであるRyukの後継として結成されました。ほとんどのセキュリティアナリストは、Ryukと同様、Contiはロシアとつながりのあるハッカーによって率いられていたと考えています。Contiグループは「Ransomware-as-a-Service」を提供する組織として活動しており、それを利用して攻撃を仕掛けようとする他のグループやハッカーに技術とインフラストラクチャをリースして、成功した攻撃の手数料を受け取っていました。

Contiのインフラストラクチャの一部は、成功した攻撃によって窃取された機密データを漏洩するためのWebサイトでした。このサイトは2020年8月に開設され、同年末までに150以上もの組織からのデータがここで流出していました。サイバー犯罪において、利益と引き換えに他のハッカーにマルウェアやインフラストラクチャを提供することは珍しくありませんが、Contiグループのアプローチは独特のものでした。

Contiグループはハッカーを従業員として雇うなど、攻撃においてより積極的な役割を果たしていました。テクノロジー企業に共通するビジネス慣行に従って手厚い福利厚生と高額の報酬を約束する採用活動を行い、一時期は人事部が活発に活動していました。Contiグループが犯罪シンジケートとして認識され、現在もそれが続いている状況は驚くべきことではありません。

主な攻撃

2021年3月、Contiはアイルランドの保健サービス局に侵入し、70,000台のデバイスを含むネットワーク全体にアクセスしました。Contiは2021年5月14日までに、テラバイト単位のデータを暗号化して病院のインフラストラクチャを無効化しました。Contiは、患者、従業員、請負業者の個人情報を含む700GB以上のデータを盗み出したことを発表し、これを解消するのに2000万ドルを要求しました。

当時のアイルランド首相マイケル・マーティン氏は、政府が身代金に応じないことをテレビを通じて発表しました。5月20日、FBIは声明を発表し、Contiが米国と世界中の医療ネットワークやファーストレスポンダーネットワークに対して同様の攻撃を行ったことを説明し、Contiの活動に関する情報を求めました。

2021年9月29日、JVCKenwood社は欧州にある同社サーバーの一部が不正にアクセスされ、顧客データが漏洩した可能性があることを明らかにしました。翌日、ニュースサイトであるBleeping Computerには、JVCKenwood社に送られた身代金メモのコピーが届き、攻撃を仕掛けて身代金を要求しているのがContiであることが特定されました。Contiはメモの中で約2TBのデータを盗んだと述べ、700万ドルを要求していました。

2021年5月には、米国オクラホマ州タルサで同様の攻撃が発生し、ランサムウェアによって市のネットワークが遮断されてオンラインシステムが中断しました。Contiグループは犯行声明を出し、約19,000件のファイルを公開しましたが、そのほとんどが警察の違反通知や内部のWord文書でした。これを受けて、市はファイルの漏洩により個人情報が流出したとして警告を発しました。

Contiの最も悪名高い攻撃は、2022年4月中旬～5月下旬にかけて発生しました。何週間にもわたって攻撃に耐えたコスタリカでは、政府がサイバー攻撃に対して初となる国家非常事態宣言を出しました。Contiはランサムウェアを使って、同国の財務省や労働社会福祉省など、数十の政府機関のネットワークとシステムを攻撃しました。政府はこの壊滅的な攻撃によって数百万ドルの損害を被りました。ハッカー集団は国全体を混乱させてしまえることが示されたのです。

リブランド

多くのサイバーセキュリティ会社は、Contiギャングによるコスタリカへの攻撃は、Contiのリブランディングの取り組みに注目を集めるための巧妙な策略であると考えています。攻撃が始まる直前に、グループはContiブランドを解体するプロセスを開始していました。2022年5月、サイバーセキュリティ会社のAdvIntel社は、このハッカー犯罪者グループが公式に停止したことを発表しました。

確かなことは誰にもわかりませんが、多くの専門家は、2022年2月24日のロシアのウクライナ侵攻後、内部分裂を理由にグループが解散したと考えています。侵攻開始の翌日に、Contiはロシアへの支持を表明しています。その2日後の2月27日、新しいTwitterアカウントにより、このグループの170,000件以上もの内部チャットログと、Contiランサムウェアのソースコードが流出しました。

この流出により、ハッカーたちが世界中の組織に侵入するために使用した正確なツールや方法など、セキュリティアナリストにとって非常に貴重な情報がもたらされました。また、このグループが、コーダー、システム管理者、リクルーター、経営陣などの役割と階層が確立されたハイテクスタートアップ企業のように運営されており、いかによく組織化されていたかも明らかになりました。

コスタリカへの攻撃が終了した1か月後の6月24日、Contiグループの最後のWebサイトがアクセスできなくなり、歴史上最も悪名高いサイバー犯罪シンジケートの一つが終焉を迎えました。しかし、Contiに参画していた正体不明のハッカーたちが刑務所に送られたり、姿を消したりすることはありませんでした。ハッカーたちは最後の攻撃が行われている間に静かに姿を消し、新しいグループやギャングとして活動を始めるようになりました。

Conti攻撃の検出方法

Conti攻撃は多面的なものであると定義されます。攻撃には、通常は数日間にわたって行われる複数の攻撃ベクトルが含まれます。攻撃全体を通じて、攻撃者は手に入りやすい、よく使用されるツールを利用するため、その検出は困難です。しかし、何に注意すべきかを理解していれば、攻撃の兆候を見つけることができます。1つの方法は、入念なネットワーク監視です。リアルタイム監視ツールは、あるイベントが一定のしきい値（ログイン試行の失敗や複数のポートのスキャンなど）に達したときに管理者に警告を発します。

兆候を示すもう一つの指標として、フィッシングメールの増加があります。ランサムウェアの攻撃者はフィッシングを活用してログイン情報を盗み、ネットワーク上のシステムを侵害してアクセスを取得します。従業員が不審なメールを正しく認識してフラグを立て、セキュリティチームに警告できる体制を整えることで、企業は攻撃を最も早い段階で検出できる確率を高めることができます。

Conti攻撃の緩和方法

すべてのユーザーに向けてマルチファクター認証を実装することは、Contiなどのランサムウェア攻撃から組織を保護するうえで最も効果的な手段の一つです。マルチファクター認証は、ユーザーがセキュアアカウントにアクセスするために2つ以上の認証方法を要求します。そのため、侵害したパスワードを通じてハッカーがアクセスすることが非常に難しくなります。

堅牢なネットワークセグメンテーションを実装して維持することは、ランサムウェアの脅威から組織を保護するためのもう1つのステップです。ネットワークセグメンテーションは、ネットワークと機能を相互に分離し、Contiなどのランサムウェアの水平移動を防ぐことで、マルウェアの拡散を減らすのに役立ちます。 

その他のセキュリティ戦略には、次のようなものがあります。

• セキュリティソフトの活用：エンドポイントと検出応答ツールを使用して、エンドポイントセキュリティの可視性を高めつつ、悪意のあるサイバー攻撃者から保護します。ウイルス対策プログラムとマルウェア対策プログラムを設定して、最新の署名を使用してネットワーク資産の定期的なスキャンを実行します。
• ネットワークアクセスの制限：使用しない場合は、リモートデスクトッププロトコル（RDP）を制限します。RDPが必要であると判断された場合は、リスクを評価した後、発信元を制限し、マルチファクター認証を要求します。
• アプリケーションポリシーの活用：オペレーティングシステムやアプリケーションを含む、ネットワークに接続されたすべてのソフトウェアが即座にアップグレードされることを確実にします。一元化されたパッチ管理システムを使用してポリシーを定義することを検討してください。
• アプリケーションセキュリティの管理：日常業務に不要なアプリケーションをすべて取り除きます。Conti脅威アクターは攻撃時に多くのデフォルトツールを利用するからです。サイバー犯罪者が使用しているソフトウェアについては、CISAのツールリストを確認してください。

ランサムウェア対策として安全なバックアップを確保することは、組織がデータに関する脅迫の影響を無効化するうえで最も効果的な方法です。安全で堅牢なバックアップ戦略を策定することで、組織は暗号化や窃取によるデータ消失に対する保護を確立できます。

感染した場合の対処法

サイバーセキュリティは絶え間ない戦いです。厳重なセキュリティを採用している組織でも、今後新たに発見される脆弱性に対しては効果がない可能性もあります。ランサムウェア攻撃の対処方法を知っておくことで、こうした状況における事態の悪化を防ぐことができます。最悪と考えられるのは、身代金を支払うことです。

組織は、ランサムウェア攻撃で要求される身代金を支払うべきではありません。CISA、FBI、NSAだけでなく、独立系セキュリティ会社も、満場一致で支払いを思いとどまらせようとしています。身代金を支払うことで、元の脅威アクターや新たなグループからのさらなる攻撃が助長されます。身代金を支払った場合でも、攻撃者が復号化キーを提供しなければ、組織の状況はさらに悪化します。

身代金を支払うのではなく、先述の組織によって推奨される以下の手順に従ってください。

1. 合同ランサムウェアガイドのランサムウェア対応チェックリストに従います。
2. 可能であれば、ウイルス対策プログラムでスキャンして、データのバックアップが感染していないことを確認します。
3. 直ちにCISA、地元のFBIフィールドオフィス、または米国シークレットサービスのフィールドオフィスにインシデントを報告します。

攻撃を受けた場合、組織は迅速に行動して被害を封じ込め、さらなる拡散を防ぐ必要があります。復旧を開始する前に、関係しているランサムウェアのタイプを特定し、被害の程度を判断することが不可欠です。復旧の取り組みでは、最初に最も重要なシステムとデータを復元することに重点を置き、優先順位を付けたアプローチでダウンタイムを最小限に抑え、攻撃の影響を制限する必要があります。

ランサムウェア攻撃からの復旧は至難の業です。システム、サービス、データの復旧には時間とコストがかかりますし、業務の中断が発生することは言うまでもありません。利害関係者および顧客とのコミュニケーションも同様に重要であり、関係の再構築も同じく重要です。大切なのは、包括的なバックアップと復元戦略を策定したうえで定期的なテストを実施することです。これによってランサムウェア攻撃の最悪のシナリオのリスクを最小限に抑えることができます。

Veeamが提供する支援

Conti攻撃や同様の攻撃に対する最も効果的なランサムウェア対策は、堅牢なデータのバックアップと復元戦略の確立です。Veeamの保護、検出、リストアのアプローチなら、暗号化や破損によるデータ消失を防止してランサムウェアの影響を軽減できます。ランサムウェア攻撃を免れられる組織はありませんが、Veeamなら取り返しのつかない消失からデータを保護し、危険なサイバー犯罪グループとのかかわりを回避することができます。