2021 年 3 月 23 日 Ryan Estes 著

世界中のネットワークをランサムウェアに感染させ、多額の金銭を要求し注目を集めているのが、ランサムウェアグループ「REvil」です。このグループはランサムウェアによる攻撃が成功した証拠を「Happy Blog」と呼ばれるブログに掲載していますが、直近の被害者として Acer がリストに掲載されています。Acer はまだ被害を認めていませんが、証拠から判断すると事実のようです。

LeMagIT と SearchSecurity による調査の結果、REvilグループは Acer に対し 5,000 万ドル（記事掲載時点での日本円で約54億9,000万円）という記録的な金額を仮想通貨 Monero（XMR）で支払うよう要求をしていることがわかりました。これまでの最高記録は、2020 年の 3,000 万ドルです。しかし、ランサムウェア攻撃で一般的になってきている「二重の恐喝」と呼ばれる戦術によって、3 月 28 日には要求額が 2 倍の 1億ドル(約109億8,000万円)になる可能性もあります。

このグループは侵入の証拠として、財務情報、顧客口座、その他の機密情報が表示された Acer の内部文書もブログに掲載しています。ウォッチガードでもこの Tor で保護されたサイトにアクセスしたところ、機密性が高いと思われる情報のサンプル画像を多数確認しました。また、このサイトにおけるチャットの仕組みを発見した人物もいます。このサイトでは、攻撃者が被害者と話をする際に、しばしば価格交渉をしようとします。このブログ記事のランディングページは、以下の画像でご覧いただけます。

Happy Blog に掲載された Acer 侵害の証拠サンプルファイル

今回の事件をさらに調査した結果、このランサムウェアをネットワークに展開するために使用された可能性のある攻撃方法が判明しました。Advanced Intel 社の CEO、Vitali Kremez 氏は、最近発見された ProxyLogon エクスプロイトを使用して、事件前に悪意のある人物が Acer の Exchange Server を標的にしていた、と報告しています。しかしこれも Acer が公式に認めた情報ではありません。

オンプレミスの Microsoft Exchange Server を使用している企業は、できるだけ早くシステムにパッチを適用してください。悪質な攻撃者はこれらの脆弱性を悪用して壊滅的な影響を与え続けています。ランサムウェアの感染から自分自身や企業を守るために、以下の点にもご注意ください。

• 不審な送信者、ハイパーリンク、添付ファイル、など、メールは全体的な内容を精査してください。
  • ランサムウェア感染の約 4 分の 1 はフィッシングによって起こっています。
  • 約 4 割の人が、1 日に 1 回以上、フィッシングメールのハイパーリンクをクリックしています。
• 悪意のあるコンテンツをより適切にフィルタリングするため、ソーシャルエンジニアリングに関するトレーニング、メールレベルのフィルタリングがまだ導入されていない場合は、それを提唱、導入してください。
  • 継続的、かつ包括的なフィッシングのトレーニングはあらゆる業界でフィッシングの被害を劇的に減少させます 。
• 優良とされるソフトウェアのみをダウンロードして使用してください。
• すべてのシステムとソフトウェアにパッチを適用し、最新の状態にしてください。
• 一般的なエクスプロイトやランサムウェアは、既存のネットワークセキュリティコントロールを利用してブロックしてください。たとえば WatchGuard Firebox はリモートの Hafnium エクスプロイト用の IPS シグネチャを持っており、ウォッチガードのアンチマルウェアサービスはほとんどのマルウェアを検出してブロックすることができます。
• エンドポイントセキュリティとウイルス対策ソフトウェアを導入してください。WatchGuard Adaptive Defense 360 (AD360) はその助けとなります。
• データは必ずバックアップを取ってください。