米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)はこのほど、「#StopRansomware: Royal Ransomware|CISA」において、新たなランサムウェアに関するサイバーセキュリティアドバイザリ(CSA: Cybersecurity Advisory)を公開したと伝えた。

「Royal」と呼ばれるランサムウェアの戦術、技術、手順(TTPs: Tactics, Techniques, and Procedures)およびセキュリティ侵害インジケータ(IoC: Indicator of Compromise)が紹介されている。

  • #StopRansomware: Royal Ransomware|CISA

    #StopRansomware: Royal Ransomware|CISA

Royalはアンチウイルスソフトを無効にして大量のデータを流出させた後、最終的にランサムウェアを展開してシステムを暗号化するマルウェアとされている。2022年9月頃からRoyalの亜種が米国にある組織や国際的な組織を狙って攻撃しており、製造業、通信、ヘルスケア、教育機関などさまざまな重要インフラセクタをターゲットにしていることが確認されている。

このランサムウェアの初期アクセスは一般的にフィッシングメールとされている。その他にもリモートデスクトッププロトコル(RDP: Remote Desktop Protocol)の侵害や公開アプリケーションの悪用、初期アクセスブローカ(IAB: Initial Access Brokers)経由によるシステムへの侵入が多いことも判明している。

米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁はRoyalの被害者にならぬよう、既知の悪用された脆弱性を優先して修復することやフィッシングに関するユーザー教育を行うこと、多要素認証(MFA: Multi-Factor Authentication)を有効化するなどのセキュリティ対策を実施するよう推奨している。また、身代金を支払ったとしても暗号化されたファイルが復元される保証はないとし、たとえランサムウェアに侵害され身代金を要求されたとしても絶対に支払わないよう注意を呼びかけている。