米国連邦捜査局(FBI: Federal Bureau of Investigation)は2023年9月27日(米国時間)、「Two or More Ransomware Variants Impacting the Same Victims and Data Destruction Trends - FBI」において、脅威アクタが複数のランサムウェアを使用した攻撃をおこなう傾向にあるとの注意喚起の報告書(PDF)を公開した。

  • Two or More Ransomware Variants Impacting the Same Victims and Data Destruction Trends - FBI

    Two or More Ransomware Variants Impacting the Same Victims and Data Destruction Trends - FBI

報告書によると、2023年7月の時点でランサムウェア環境には次のような2つの傾向がみられるとしている。

  1. 脅威アクタはAvosLocker、Diamond、Hive、Karakurt、LockBit、Quantum、Royalのうち2つ以上のランサムウェアの亜種を展開して、データの暗号化、データの窃取、身代金の要求を複合的に発生させている。すでに侵害されているシステムに対する2回目の攻撃は、被害者に大きな損害を与える可能性がある
  2. 2022年の初頭から、複数のランサムウェアグループにおいてカスタムデータの窃取、ワイパーツール、マルウェアの使用が増加している

FBIはこれらの新たな活動傾向に対して被害を軽減するために、複数の対策を講じることを推奨している。そのうちいくつかを要約して次に示す。

  • データのオフラインバックアップを維持し、バックアップの復元を定期的にテストする。また、すべてのバックアップデータが暗号化され、イミュータブルであり、組織のデータインフラストラクチャ全体をカバーしていることを確認する
  • サードパーティベンダーや相互接続しているベンダーのセキュリティ体制を確認する。サードパーティベンダーと外部とのソフトウェア、ハードウェアのすべての接続が監視されていることや、不審なアクティビティがないことを確認する
  • 確立されたセキュリティポリシーの下で許可されたプログラムのみ実行できるようにする
  • 組織はリモート接続に対して文書による承認を必要とする監視体制を作る。また、未承認のソリューションがインストールされていないことを確認する
  • パスワードを必要とするすべてのアカウントに対し、「NIST Special Publication 800-63B」に準拠していることを確認する。また、可能な限りすべてのアカウントに対してフィッシング耐性のある多要素認証(MFA: Multi-Factor Authentication)による認証を行う
  • ネットワークをセグメント化してランサムウェアの拡散を防止する
  • すべてのホストにアンチウイルスソフトウェアをインストールし、リアルタイム検出を有効にする
  • すべてのオペレーティングシステム、ソフトウェアを常に最新の状態に維持する

脅威アクターは金銭を窃取するために常に新しい攻撃手法を開発しており、今後も大規模なキャンペーンなどにより企業に大きな損害を与える可能性がある。セキュリティ対策においては、このような未知の新しい攻撃に常に備えることが求められる。FBIは上記以外にも推奨される対策を提示しており、組織のセキュリティ担当者は必要に応じてこれら対策を行うことが望まれている。