脅威リサーチ

教育セクターを標的にするランサムウェア

投稿者 Shunichi Imano | 2021年10月18日

FortiGuard Labs Threat Research Report

影響を受けるプラットフォーム: すべてのOSのプラットフォーム
影響を受ける対象:       教育セクター
影響:             ランサムウェア感染の可能性、データ漏洩、システム侵害
深刻度:            クリティカル

このブログはPaolo Di Prodi、Fred Gutierrez、Val Saengphaibulの協力により作成されました。

2021年は私たちの日常生活に影響するほど大規模なランサムウェア攻撃が複数ありました。5月初旬、米国最大の精製石油パイプラインであるコロニアルパイプラインがDarkSideランサムウェアに感染しました。この感染により、同社は確認作業の間の予防措置としてパイプラインを停止することを余儀なくされ、東海岸のガソリンスタンドには給油を待つ車で長蛇の列ができました。同月後半には、世界最大の食肉加工会社であるJBSがREvilランサムウェアの攻撃を受け、同社の食肉生産は大混乱に陥りました。REvilは7月に再びマネージドサービスプロバイダーのKaseyaを攻撃し、同社の顧客に被害をもたらしました。攻撃者はKaseya VSA(Virtual System Administrator)ソフトウェアの認証バイパスの脆弱性を悪用し、ソフトウェアで管理しているホストを通して不正なペイロードをダウンストリームの顧客に配信しました。

ランサムウェアギャングは金銭的利益を主な目的としているため、これまで教育セクターは攻撃の対象にはならないと考えられていました。しかし、連邦捜査局(FBI)のレポートで報告された内容は異なっていました。FBIが3月16日にリリースしたFLASHアラートでは、米国と英国の教育機関を標的にしたPYSAランサムウェアの増加が報告されています。Mespinozaとも呼ばれるPYSAは「Protect Your System Amigo(友よシステムを保護せよ)」の略で、Vurtenランサムウェアと密接な関係があると考えられています。

PYSAは2019年12月に初めて確認されました。当時、暗号化するファイルに拡張子「.locked」を追加していましたが、その後、よりわかりやすい拡張子「.pysa」に変更されました。PYSAのエントリポイントは一般的にスパムメール、インターネットで公開されたRDP(Windowsホストへの侵入に使用)、中央管理コンソールと一部のActive Directory(AD)アカウント(ブルートフォース攻撃)の3つに分類されます。感染後、ProcDump、Mimikatz、Advanced IP Scannerなどのツールを使用してラテラルムーブメントと偵察を開始します。PYSAは侵入したマシンから窃取した情報を暗号化し、その復号化を盾に金銭を要求して、支払わないと公開すると脅す二重脅迫型ランサムウェアです。

Griefランサムウェアは2021年5月にミシシッピ州の学校の攻撃に使用されました。あるレポートによると、Griefのリークサイトには、ランサムウェアによって内部文書や個人情報を含む10 GB相当のデータが窃取されたという記述があるそうです。ワシントン州の別の学区の学校とバージニア州の学校もGriefの攻撃を受けたと報告されています。GriefOrPayとも呼ばれるGriefランサムウェアは、DoppelPaymerランサムウェアの名称を変更したものと考えられています。

DoppelPaymerはBitPaymerランサムウェアファミリーの一員として、少なくとも2019年7月から存在しています。DoppelPaymerからGriefへの名称変更の理由は確認されていませんが、コロニアルパイプラインの攻撃後に変更されています。この名称変更は警察の目を逃れるためという意見もあります。ランサムウェアギャングの手口は、被害者から十分な資金を集めた後に名前やロゴ、登録内容などを変更して警察の注意をそらす詐欺会社によく似ています。侵入方法は特定されていませんが、DoppelyPaymerのペイロードはDridexボットネットによって配信されると考えられているため、Griefの攻撃には間接的にスパムメールが使用されている可能性があります。別のレポートでは、Griefに感染した一部のマシンにCobalt Strikeが存在することが指摘されています。

Griefはファイルを復号化するために暗号通貨のMoneroで身代金を支払わないとデータを公開すると脅す二重脅迫型ランサムウェアです。最近、Griefの攻撃者は戦術をさらに強化しました。新しい身代金の要求では、被害者が警察や身代金交渉の専門家に連絡したら、暗号化したファイルを復元するために必要な復号化キーを消去すると脅迫します。そのため、Griefはランサムウェアでありワイパー型マルウェアでもあるといえます。

あるレポートによると、ランサムウェア攻撃は2020年に米国の約1,800校の教育機関の130万人以上の生徒に影響を与えました。この一連の攻撃の身代金は1件当たり1万ドルから100万ドル以上に上り、ダウンタイムによって教育機関にはさらに66億2,000万ドルの損失が発生しました。大学を攻撃しても、大企業を攻撃するほど高額の身代金は得られません。しかし、多くの大学のシステムには貴重な研究データに加え、大学に研究を依頼する政府機関、軍事企業、製薬会社の研究室などの連絡先情報やEメールアドレスが保存されているため、情報を窃取して利用すれば金銭的利益が得られます。

RaaS(サービスとしてのランサムウェア)のプロバイダーの一部には、ライフラインを担うセクター(ガス、石油、病院、原子力発電所など)、政府機関、軍事組織、非営利団体を攻撃対象領域から除外するルールがあることをFortiGuard Labsは認識していますが、それにより多くの教育機関も攻撃対象領域外とされています。ただし、これはその重要性を認めてのことではありません。これらの組織を標的にした攻撃には特に厳罰が科されるため、避けているにすぎません。また、アフィリエイトが必ずこのルールを遵守するという保証もありません。最近標的にされた割合を考えると、教育セクターがランサムウェア攻撃を免除されていないことは明らかです。

FortiGuard Labsは、教育セクターを標的とした20以上の異なるランサムウェアの感染を特定しました。これらの感染の大半は米国で発生し、その数は他の国を大きく上回っています。PysaとRyukのランサムウェアファミリーが最も多く、GriefとBabukがそれに続きます。興味深いことに、REvil、Blackmatter、Lockbit、DarkSide、Ragnar Lockerなど、よく知られたランサムウェアの亜種は学校を標的にしていませんでした。一部のランサムウェアグループのアフィリエイトは、健康や教育などの特定のセクターへの攻撃が禁止されていると前に説明しましたが、それが原因と思われます。

教育セクターのEメールアドレス収集

FortiGuard Labsは、OSINTから取得したドメイン名に「.edu」が含まれるEメールアドレスのリストも分析しました。2021年5月から8月の間に、米国50の州と準州にあるすべての教育機関の13万8,088のEメールアドレスが収集されていました。収集されたEメールはダークウェブで販売されることが多く、将来の攻撃に使用される可能性があります。

教育セクターのIPSによる検知

IPSの検知結果は、マルウェアが広がる状況について興味深い洞察を与えてくれます。すべてのランサムウェアを特定できるわけではありませんが、IPSシステムをトリガーしたランサムウェアは特定できます。以下の図は、2021年8月11日から9月10日までの米国と世界の教育セクターにおけるIPSの検知結果上位5つを示しています。これらの図では、米国のIPSの検知の傾向を世界の他の地域の傾向を比較できます。また、教育セクターを標的にしているサイバー攻撃の全体像がわかります。

さらに下の図は、2021年8月11日から9月10日までに教育セクターのIPSで検知された上位5つシグネチャを示しています。マシン別ではないため、実際の被害はこの数値を下回る可能性があります。このデータを見ると、過去30日間に教育セクターに対してさまざまなスキャンとエクスプロイトが試行されていたことがわかります。これらの攻撃は必ずしも教育機関が使用しているテクノロジーを標的にしているわけではありません。このデータはあくまでも教育セクターのネットワークのIPSシステムによって特定され、ブロックされた攻撃を示しています。

図1:米国の教育セクターのIPS検知結果トップ5(2021年8月11日から9月10日)

図2:世界の教育セクターのIPS検知結果トップ5(2021年8月11日から9月10日)
  • NTP.Monlist.Command.DoSはNTPサービスのサービス拒否の脆弱性に対する攻撃の試行を示します。シグネチャはCVE-2013-5211に関係します。
  • Nmap.Script.ScannerはNmapスクリプトエンジンスキャナーによるスキャンの試行を示します。それによって標的のシステムで実行しているサービスが特定され、その結果に基づいてさらに攻撃が実行されます。
  • SolarWinds.SUNBURST.BackdoorはSUNBURSTバックドアC2の通信がネットワークで検知されたことを示します。SunBurstは2020年後半に侵害されたSolarWinds OrionのIT監視および管理ソフトウェア更新システムによって配信されたバックドアプログラムです。
  • Port.Scanningでは標的のシステムで使用可能なポートまたはサービスを特定するためのポートスキャナーによるスキャンの試行を検知します。
  • Backdoor.DoublePulsarはDoublePulsarマルウェアの存在またはRDPプロトコルを使用したスキャンの試行のいずれかを示します。DoublePulsarは2017年3月のShadow Brokersグループによって流出したNSA(アメリカ国家安全保障局)のバックドア型マルウェアのトロイの木馬で、2017年5月のWannaCryランサムウェア攻撃で使用されました。
  • Qualys.Vulnerability.ScannerではQualys Vulnerability Scannerによるスキャンの試行を検知します。攻撃者はスキャナーを使用して標的のシステムのサービスを特定し、調査後、さらに攻撃を仕掛けます。

Nmap.Scirpt.ScannerとPort.ScanningQualys.Vulnerability.Scannerは教育セクターではよく見かける攻撃です。米国のIPSの検知ではSunburstバックドアが大きな割合を占めていますが、さらに調査したところ、驚いたことにその大半が1つの教育機関を標的にしていました。

2021年8月11日から9月10日まで、教育セクターが最も多くアクセスしたURLをいくつか調査したところ、それらのURLは分析の時点でGluptebaマルウェアの亜種にリンクしていたため、Backdoor.DouplePulsarが多いのは理解できます。GluptebaはGolangで記述されたクロスプラットフォームのトロイの木馬で、主に正規のWebサイトや広告ネットワークに挿入された不正な広告を通して拡散されます。当社の分析では、そのURLからダウンロードされたGluptebaの亜種には米国国家安全保障局(NSA)が開発し、2017年にShadowBrokersハッキンググループによって流出したEternalBlueエクスプロイトを起動するモジュールが含まれていることが確認されました。このエクスプロイトはその後、WannacryとnotPetyaの攻撃でも使用されました。不正なURLに接続すると、Gluptebaマルウェアがダウンロードされ、マシンにインストールされます。インストール後、追加の不正なコードを実行するため、EternalBlueを利用してShadowBrokersによって開示されたバックドアインプラントのDoublePulsarが配信されます。そのため、Backdoor.DoublePulsarが検知されたのでしょう。ブラジル、南アフリカ、インドで最も多く検知され、Backdoor.DouplePulsar全体の70%を占めています。

教育セクターにおけるボットネットとAVによる検知

次に、米国と世界で観察されたボットネットの活動を比較して、傾向を分析しました。その結果、それらはほぼ同期していることが判明しました。IPSの検知ではブロックした攻撃が記録されますが、ボットネットの検知ではネットワーク内のアクティブなボットネットマルウェアが示されます。米国も世界もMirai IoTボットネットが最多で、Gh0stRatとZeroaccessがそれに続いています。これらは、合計すると米国と世界の教育セクターにおけるボットネットの50%以上を占めています。これら3つのボットネットのマルウェアのソースコードはすぐに入手できるため、教育セクターはベテランと初心者の両方のボットネット攻撃の標的になる可能性があります。

図3:米国のボットネット(2021年8月11日~9月10日)

図4:世界のボットネット(2021年8月11日~9月10日)

以下のグラフは、2021年8月11日から9月10日までに米国と世界の教育セクターのAVの検知結果トップ5を示しています。データはこの期間にブロックされたマルウェアに基づいています。

図5:米国と世界のAVの検知結果(2021年8月11日~9月10日)

Cryxosはこの期間に米国だけでなく世界中で最も多く検知されたマルウェアです。この不正なJavaScriptの亜種は通常、電話サポートを装った詐欺に関係しています。被害者のマシンに重大な問題があることを示す偽のアラートがポップアップで表示され、機密データを失う可能性があるため、偽の電話サポートに連絡して修理するように指示されます。その後、詐欺師はクレジットカードまたはギフトカードのいずれかでの支払いを要求します。他の4つについては以下のとおりです。

  • W32/Swizzor!B.trは何年も前から存在しているWindowsの旧式のマルウェアです。このマルウェアは標的のマシンに不要な広告を表示すること、またはリモートファイルをダウンロードさせて実行することを目的としています。そのため、Swizzorに感染したデバイスにはこのマルウェアを通して他の攻撃害(データ漏洩)が実行される可能性があります。
  • JS/Miner.BP!trはユーザーに気づかれないように暗号通貨をマイニングするJavaScriptです。被害者のマシンはパフォーマンスが低下し、電力使用量が増加します。
  • W32/Agent.DRI!tr.dldrはリモートファイルをダウンロードして実行することを目的とするトロイの木馬の一種です。Switzzorと同様に、このマルウェアに感染したマシンは不正な振る舞いを示す可能性があります。
  • W32/RanumBot.X!trもトロイの木馬の一種で、バックドアを作成してコマンド&コントロールサーバーからのコマンドを待ちます。その振る舞いはリモートで受信するコマンドによって異なります。

結論:教育セクター

他の業界と同様に、教育界もサイバー攻撃を免れることはできません。バックドアに感染すると、教育機関の研究活動に不可欠な情報が漏洩し、学生、保護者、教職員の個人情報が窃取されます。攻撃が公になれば、経済的損失が発生し、ブランドが損なわれ、関係する企業やパートナーの信頼や評判を失うことにもなりかねません。さらに悪いことに、ランサムウェアギャングは脆弱なネットワークに侵入するだけでなく、侵入したネットワークのアクセス権をダークウェブで他のランサムウェアギャングに販売する可能性もあります。

ランサムウェアについては多様な研究が行われていますが、その多くでは、パッチを適用した既知の脆弱性が最も標的にされやすいとされています。そのため、サイバーハイジーンを最優する必要があります。また、重要なデータのバックアップを作成することも重要です。定期的なバックアップや適切な管理が行われていないと、影響するデバイスを交換するために数十万ドルの費用がかかることもあります。被害者がバックアップを適切に保護し、復旧計画を用意したとしても、攻撃者は窃取したデータを公開すると脅迫します。身代金を支払わないと、ダークウェブ上ですべてが公開されます。そのため、保存したすべてのデータの暗号化を含め、ランサムウェアの予防と復旧について万全の計画を用意することは不可欠です。

また、攻撃者のインフラストラクチャの一部として悪用される組織にとって、ボットネットは間接的な脅威となります。攻撃者は帯域幅を悪用して他の関係者にDDoS攻撃を仕掛けたり、水平方向に移動して他の機関を攻撃する可能性があります。また、クリプトマイニングやその他の違法な目的で悪用されることもあるでしょう。このような間接的な攻撃によっても、被害者の生産性と収益は損なわれます。

フォーティネットは今年、「教育機関のサイバーセキュリティを取り巻く脅威」というブログを投稿しましたが、その重要なポイントを以下に引用します。

「攻撃の予防にかかるコストと労力は、実際の攻撃の被害がもたらすコストを大幅に下回ることはよく知られています。つまり、サイバーセキュリティの枠を超えた包括的な戦略への投資は、機密性の高いデータとインフラストラクチャの保護のみならず、コスト削減にも役立ちます。」

フォーティネットのソリューションと推奨事項

FortiGuard Labsでは、このブログで取り上げた以下のマルウェアに対するAVを用意しています。

W32/Ransom.REVIL!tr
W32/Ransom_Revil.R03BC0DHU20
W32/DarkSide.B!tr.ransom
W32/Darkside.AO!tr.ransom
ELF/Darkside.A9B5!tr.ransom
W32/Darkside.50B7!tr.ransom
W32/Darkside.B7D5!tr.ransom
W32/Filecoder.NYO!tr.ransom
W32/Zudochka.DLR!tr.ransom
W32/DoppelPaymer.BM!tr
PossibleThreat.PALLASNET.H
W32/PossibleThreat
W32/RanumBox.X!tr
W32/Agent.BMGF!tr.dldr
JS/Miner.BP!tr
W32/Swizzor.B!tr
JS/Cryxos.DEB1!tr

FortiGuard Labsでは、このブログで取り上げた以下のマルウェアに対するIPSを用意しています。

Telerik.Web.UI.RadAsyncUpload.Handling.Arbitrary.File.Upload
PHPUnit.Eval-stdin.PHP.Remote.Code.Execution
Apache.Struts.2.Jakarta.Multipart.Parser.Code.Execution
ThinkPHP.Controller.Parameter.Remote.Code.Execution
Dasan.GPON.Remote.Code.Execution
NTP.Monlist.Command.DoS
Nmap.Script.Scanner
SolarWinds.SUNBURST.Backdoor
Port.Scanning
Backdoor.DoublePulsar
Qualys.Vulnerability.Scanner
Mirai.Botnet
XcodeGhost
Andromeda.Botnet
Torpig.Mebroot.Botnet
Zeroaccess.Botnet
Backdoor.Cobalt.Strike.Beacon
Kaseya.VSA.Remote.Code.Execution
Darkside.Botnet

フォーティネットのセキュリティ ファブリックはFortiMail(フィッシング攻撃と不正な添付ファイルのブロック)、Webフィルタリング(不正なURLのブロック)、FortiEDR(クラウドベースのリアルタイム保護)、FortiSandbox(未知の攻撃の特定と防止)、FortiToken(多要素認証)、および目的ベースのセグメンテーション(ラテラルムーブメントの防止)などのテクノロジーにより、教育機関にエンドツーエンドの保護を提供しています。

フォーティネットでは、社員が最新のフィッシング / スピアフィッシングの手法やそれらの手法を特定して対応できるよう、継続的にエンドユーザー向けのトレーニングを実施することを強くお勧めしています。また、不審な人物からの添付ファイルは決して開かないこと、記憶にない / 信頼できない送信者からのEメールは慎重に取り扱うことなどの注意を促すことも重要です。

ソーシャルエンジニアリングに分類されるフィッシング攻撃やスピアフィッシング攻撃はさまざまな手法が報告されているため、エンドユーザーにもさまざまな種類の攻撃に関する知識が必要です。クラウドベースのFortiPhishフィッシングシミュレーションサービスでは、トレーニングの効果を高めるために、実際のフィッシング攻撃と分析を使用してユーザーの理解と対応を抜き打ちでテストします。不正な添付ファイルやリンクを含むEメールの特定に関する定期的なトレーニングにこの抜き打ちテストと組み合わせると、ユーザーの意識が向上し、ネットワークへの最初の侵入を防ぐのに役立ちます。

ゼロトラストネットワークアクセス(ZTNA)はあらゆる種類の攻撃 / 脅威に対応できます。

  • 攻撃対象領域の削減 / ZTNAでは従来のVPNで提供されるネットワークレベルのアクセスではなく、要求されたアプリケーションへのアクセスのみが許可されます。
  • エンドポイントセキュリティのコンプライアンス / エンドポイントがセキュリティポリシーに準拠していること(重大な脆弱性がないこと、適切なセキュリティの適用など)を確認し、準拠しているエンドポイントへのアクセスのみを許可します。
  • リソースにアクセスするユーザーとデバイスの認証を検証 / セッションごとにデバイスとユーザーが特定され、その情報を使用してアプリケーションへのアクセスがより的確に判断されます(特定のデバイスの特定のアプリケーションへのアクセス、特定のジオロケーション、営業時間外のアクセスなど)すべてのエンドポイントはローカルネットワークに接続しているかドメインの一部であるため、すべてのエンドポイントにすべてのリソースへのアクセスを許可する必要はありません。

セグメンテーション:マルウェアのラテラルムーブメントを防ぐことにより、侵害された場合のリスクを低減します。