SamSam: 600 万ドル (約6億7000万円) 近くの身代金を手にしたランサムウェア

Sophos Press Release

ネットワークおよびエンドポイントセキュリティのグローバルリーダー企業である英国ソフォス (LSE: SOPH 日本法人:ソフォス株式会社 東京都港区 代表取締役 中西 智行) は本日、2015 年 12 月に初めて確認された SamSam ランサムウェアについて調査した結果をホワイトペーパーとして公開しました。この独特なランサムウェア攻撃を包括的に理解できるよう、『SamSam: 600 万ドル (約6億7000万円) 近くの身代金を手にしたランサムウェア』と題したホワイトペーパーでは攻撃者が使用したツール、技術、およびプロトコルに関する重要な調査結果が要約されています。

極めて高度な暗号化ツールである SamSam は、多くのランサムウェアとは違い、業務用のデータファイルを使用できなくするだけでなく、Windows コンピュータの操作に必要なプログラム以外のプログラムまでもすべて暗号化します。そうしたデータの大部分は日常的にバックアップされていません。またSamSam の攻撃は手動で行われるという点がユニークです。そのため、攻撃者は多くのセキュリティツールを回避する対策を臨機応変に講じることが可能です。データを暗号化するプロセスが中断された場合には、SamSam は自身の痕跡をすべて完全消去して、インシデント調査を妨害します。さらに、被害を受けた状態から復旧するには、再度ソフトウェアのイメージ作成や再インストール、およびバックアップからの復元が必要になる場合があります。結果、攻撃を受けた多くの企業はビジネスを継続できるだけのレベルにまで、あるいは求められる期間内に復旧することができなかったため、身代金を支払わざるを得ませんでした。

SamSam に関するホワイトペーパーに記載されている主な調査結果は次のとおりです。

  • 確認されている被害者の 74% が米国に拠点を置く企業であることが明らかになりました。その他には、オーストラリア (2%)、インド (1%)、中東 (1%)、カナダ (5%)、英国 (8%) などの地域が攻撃の影響を受けました。
  • 広範なランサムウェア攻撃によって、病院、学校、市の行政機関などの大規模組織の業務が重大な影響を受けたと報告する被害者もいます。
  • 攻撃者が所有するウォレットアドレスへのビットコインの支払いを追跡したところ、SamSam はこれまで知られていた 8万5,000米ドルを遥かに上回る 590 万米ドルもの身代金を手にしていました。

ソフォスのグローバルマルウェアエスカレーションマネージャーである Peter Mackenzie は、次のように述べています。「ほとんどのランサムウェアは、単純な手法を用い、ターゲットを絞らずに大規模で目立つスパムキャンペーンを展開してユーザーに感染し、比較的少額な身代金を要求します。一方 SamSam は、被害を最大化するようにカスタマイズされた標的型攻撃であり、身代金の要求は数万ドルで単位であることが特徴的です。攻撃では驚くほどの手作業が必要となっており、ガラスを破って盗む強盗というよりも、空き巣に近いやり方です。そのため、攻撃者はセキュリティツールを回避する対策を講じることができ、攻撃が中断された場合には直ちに痕跡をすべて削除して、調査を妨害します」
Mackenzie は次のようにも述べています。「SamSam は、セキュリティ戦略を継続的に改善する必要があることを企業に思い知らせるものです。企業は多層防御アプローチを導入することで、ネットワークを攻撃者から見えに難くし、攻撃にさらされ難くできます。こうすることで、ハッカーにとって格好の餌食にならずに済みます。IT 管理者には、『強度の高いパスワードを用いる』、『パッチは厳密に適用する』といったセキュリティ上のベストプラクティスの実行をお勧めします」

ソフォスは、次の 4 つのセキュリティ対策を推奨しています。

  • VPN を使用しているスタッフに限って任意のシステムにリモートからアクセスできるようにすることで、ポート 3389 (RDP) へのアクセスを制限します。またVPN アクセスには多要素認証を使用します。
  • ネットワーク全体で定期的な脆弱性スキャンとペネトレーションテストを実施します (最近のペネトレーションテストの調査報告書に従っていない場合、今すぐに対策を実施してください)。
  • LAN または VPN を使用している従業員についても、特に取り扱いに注意が必要な内部システムでは多要素認証を実施します。
  • オフラインでオフサイトのバックアップを作成するとともに、データおよびシステム全体の復元に関する災害復旧計画を策定します。

詳細については、詳しく解説したこちらのホワイトペーパーと Naked Security のこの記事をお読みください。 

為替レートは急激に変動することから、ソフォスはコストを正確に推定するために SamSamの攻撃者は直ちに現金化したと仮定して、攻撃者がビットコインを取得した日のビットコインの価値に基づいて計算しています。

ソフォスについて

次世代型サイバーセキュリティにおいて世界をリードする企業としてソフォスは、世界 150ヶ国以上、 40万社を超えるあらゆる規模の組織を今日の高度なサイバー脅威から保護します。グローバルに展開する脅威解析およびデータサイエンスチームである SophosLabs を活用することで、 クラウドネイティブと AI 機能強化ソリューションは、エンドポイント (ノート PC、サーバー、モバイルデバイス) およびランサムウェア、マルウェア、エクスプロイト、データ窃取、アクティブな攻撃による侵害、フィッシングなど進化するサイバー攻撃の技術に対抗してネットワークを保護します。Sophos Central は、クラウドネイティブの管理プラットフォームで、Intercept X エンドポイントソリューションや XG 次世代型ファイアウォールなどの次世代製品のポートフォリオ全体を API セットを介してアクセス可能な単一の「Synchronized Security」システムに統合します。ソフォスは、クラウド、機械学習、API、自動化、MTR (Managed Threat Response) などの高度な機能を活用して、あらゆる規模の組織にエンタープライズクラスの保護を提供することで、次世代型サイバーセキュリティへ移行を推進しています。ソフォスは、 世界各地の 53,000社を超えるチャネルパートナーとマネージドサービスプロバイダー (MSP) を通じて、当社の製品とサービスを独占販売しています。ソフォスはまた Sophos Home を通じて革新的な商業用技術を消費者に提供しています。本社は英国オックスフォードにあります。詳細については www.sophos.com をご覧ください。