ランサムウェア攻撃は2019年以降増加しており、2021年のパンデミック時にピークに達し、世界中で組織の68%がランサムウェア攻撃を経験したと報告しました。同じ年に、被害者によるランサムウェアの支払いは米国で70%増加しました。フランスでは2021年にランサムウェアの被害が特に多く、55億ドルの損害が報告されました。これは米国に次ぐ損害額です。
ランサムウェアを経験している企業と政府機関の多くはランサムウェア攻撃の原因について固く口を閉ざしていますが、多くの企業が、従業員がフィッシングメールをクリックしたことが感染の原因だと認めています。MSPを対象とした世界規模の調査で、Statistaは、ランサムウェア攻撃の54パーセントにおいてフィッシングやスパムメールが発端となっていることを明らかにしました。
MSPに対する多くの注目を集める攻撃の場合と同様に、RMMソフトウェアを使ってリモートで行うなど、ランサムウェアを送り込む方法は他にもあります。しかし、リモート攻撃をしかけるには高度なレベルの技術が必要であり、すべてのハッカーがそれを備えているわけではありません。そのため、フィッシングは最も簡単な配信方法となり、支払いへの最速ルートになります。
フィッシングメールは簡単に作成できる
フィッシングメールを作成するために高度なスキルは必要ありません。正当なメールだと思わせるために、ハッカーは、対象となるブランドのWebサイトやGoogle画像から得たブランド画像とロゴを使って、ブランドの見た目と雰囲気を模倣します。メールアドレスをなりすますために、ハッカーはどんなメールアドレスにも望み通りの表示名を簡単に追加することができます。これは表示名のスプーフィングとして知られています。あるいは、ハッカーはブランドのアドレスにそっくりな新しいメールアドレスを作成することができます。これはクローズカズンの名で知られています。
ハッカーが簡単に攻撃をしかけるために、オンラインでフィッシングキットも販売されています。典型的なフィッシングキットには、Webページを正当なものに見せるだけでなく、検出を回避するのに役立つ不正なWebページやツールなど、フィッシング攻撃に必要なすべての要素が含まれています。中には、標的を特定してフィッシングメールを作成し、データを収集するキットさえあります。フィッシングキットは、スポット購入、またはその他のSaaSモデルと同様に、「サービスとしてのフィッシング(PhaaS)」の名で知られるサブスクリプションモデルで利用することができます。このモデルには、定められた時間枠でソフトウェアを使用できるライセンスが組み込まれています。
メールフィルタをすり抜けるために、ハッカーには自由に使えるたくさんのツールがあります。しかも、その多くが無料です。URLの短縮ツールであるBitlyは、フィッシングURLという別名を持ち、メールを作成するために使われて、ブラックリストに掲載されているURLをスキャンするフィルタを欺きます。もう一つの手口は、正当なURLからフィッシングURLへURLのリダイレクトを作成する方法です。ハッカーは、公開リダイレクトを持つWebサイトをスキャンして、それらをフィッシングメールに挿入します。それから、メールが送付された後でそれらをフィッシングページにリダイレクトします。
ランサムウェアキットは安価なうえにすぐに送信できる
およそ500ドルのエクスプロイトキットにはマルウェアが含まれており、オンラインで購入できます。これにより、ハッカーはさほど労力を費やさなくても済むようになり、メールを使って攻撃をしかけるのが非常に簡単になります。さらに、多くのキットには通常3ケ月有効のライセンスが付与されているため、ハッカーはその期限内に実行できる限り多くの攻撃をしかけられます。
最も悪名高く、大きな被害を及ぼすマルウェアのいくつかはオンラインで購入できます。バルティモア市への攻撃で使われたランサムウェアRobbinhoodなど、中には、サービスとしてのランサムウェア(RaaS)として購入できるものもあります。
PhaaSと同様に、RaaSはハッカーが攻撃をしかけるために必要なすべてのものが含まれたサブスクリプションサービスです。さらに、中には、進行中の攻撃のリアルタイムレポートを表示するダッシュボード機能などのランサムウェアに特有の追加のツールを含むサービスもあります。RaaSモデルでは、RaaSの販売業者はランサムウェアで得た利益の一部を受け取ります。
EmotetはRyukランサムウェアの起動パッドとして使われるマルウェアですが、2021年に一時的に休止した後、再び販売されています。Ryukは2019年12月に起きたニューオーリンズ市へのランサムウェア攻撃の原因だと考えられています。同市の職員によると、それはフィッシングメールのリンクによって送り込まれました。それにより同市は、現在サイバー保険で支払っている300万ドルを大幅に上回る損害を被ることになります。その後、RyukはContiランサムウェアへと進化しました。どちらも、ロシアのサイバー犯罪集団であるWizard Spiderによって開発されたと見られています。
ハッカーはソーシャルエンジニアリングを使って完璧なメールを作り出す
CEOとCISO(情報セキュリティ最高責任者)は、例外はありますが、フィッシングメールに引っかかりにくい傾向があります。その一方で、ビジネスに慣れていない新入社員はフィッシングに騙される傾向がより高くなります。ハッカーは、オンラインで、特にソーシャルメディアのプラットフォームで簡単に社員に関する情報を見つけることができます。
LinkedInのプロフィールを使って、ハッカーは入社したばかりの社員や経験の浅い社員が誰なのかを把握できます。また、社員の役職や任務も明らかになるため、ハッカーはそれらの情報を基に、Microsoft 365のサブスクリプション料金の未払いを伝えるMicrosoftからの警告や、不審な行動が検出されたという銀行からの通知など、どの種類のメールに被害者が反応するのかを判断することができます。どのメールも不安を呼び起こし、即時の反応を引き出す意図で作られています。フィッシングの兆候を見抜くトレーニングを受けていない社員は、よく考えずにフィッシングリンクをクリックしてしまうかもしれません。
メールの添付ファイルと共有ファイルがペイロードを送付する
多くのメールフィルタはメールの添付ファイルのリンクをスキャンできません。そのため、ハッカーは添付ファイルにフィッシングリンクを隠します。これはフィッシングURLをメールフィルタから隠す簡単な方法です。ランサムウェアを含む添付ファイルを送付する一般的な方法は請求書フィッシングを使う方法です。ユーザは、同僚や業者から請求書を受信したと思い込みます。添付ファイル内のリンクは、クリック時にマルウェアをダウンロードします。その他のケースでは、添付ファイルの開封時にランサムウェアのダウンロードが自動的に始まるものがあり、これはWord文書やPDFのマクロや.zipファイルの悪意のあるスクリプトを使って実行されることが多いです。
もう一つのランサムウェア攻撃をしかける方法は、SharePointやOneDriveのような偽のファイル共有通知を使うやり方です。ユーザは、同僚やファイル共有サービスの名を語るなりすましメールを受信します。OneDriveやSharePointのリンクはフィッシングリンクが収められた文書に繋がります。場合によっては、自動ダウンロードでランサムウェアを送付するフィッシングサイトをリンクが提示する場合もあります。その他のケースでは、リンク自体がペイロードを送付することもあります。
メールは始まりに過ぎないこともある
適切なトレーニングを受けた知識のあるメールユーザは、なりすましのメールアドレスの見分け方を知っています。それは必ずしも簡単ではありませんが、明らかな兆候があることが多く、それがハッカーたちの仕事をはるかに困難にします。ハッカーたちがマルチフェーズ攻撃を用いるのはそのためです。この攻撃は、フィッシングメールから始まって、スピアフィッシングを使った社内攻撃に姿を変えます。
ハッカーは一度Microsoft 365のログイン情報などの会社の機密情報を入手すると、正当なアカウントから社内メールを送信できるようになり、社内で社員たちにスピアフィッシング攻撃をしかけられるようになります。社員は、同僚から、場合によってはマネージャーから連絡を受けたのだと信じ込みます。これにより、ハッカーは外部からフィッシング攻撃をしかけた場合よりもずっと大きな被害を及ぼすことができるようになります。
ハッカーは検出されることなく数か月間システム内に潜伏することができるため、その組織や組織内の手続きについて学んだり、将来の攻撃のために情報を集めたり、金額が小さければ気づかれることのない漸進的な金銭取引を実行したりします。ハッカーが最終的にランサムウェアやその他のマルウェアの亜種の実行に取りかかることを決めた時には、すでに被害が及んでいるのです。
ランサムウェアの予防法
ほとんどのランサムウェアはフィッシングメールから始まるので、フィッシング対策トレーニングは企業を保護するために不可欠です。トレーニングを受けることで、社員はさらに注意深くなり、よく考えてからリンクをクリックしたり、添付ファイルを開封したりするようになります。しかし、誰にでも弱みを見せてしまう瞬間があります。ハッカーたちは、私たちが時たまうっかりミスをするのを常に当てにしています。そうなった場合には、フィッシングの明らかな兆候を掘り下げられる次のようなテクノロジーが必要です。
- フィッシングURLを最終到達地点まで追跡し、短縮されたリンクとリダイレクトをスキャンし、Webページをスキャンして悪意のあるコンテンツを追跡する。
- PDF、Word文書、.zipファイルをリアルタイムで解析して、添付ファイルに隠されたリンクやランサムウェア/マルウェアコードを難読化する悪意のあるコードを調べる。
- SharePointやOneDriveなどの共有ファイルをスキャンしてフィッシングやマルウェアリンクの有無を調べる。
- EvernoteやOneNoteなどのサービスからのファイルを分析して、悪意のあるリンクを探す。
- ブラックリストに載せられているフィッシングメールを単独のメールとして見せるために操作されたリモート画像や画像、ロゴ、QR Codeを識別する。
MSPは、MSPの顧客、中でも政府機関への侵入を企むランサムウェアグループの巨大なターゲットになっています。ますます洗練されてきたランサムウェアに対応するには、セキュリティ技術を出し抜こうと企む犯罪者たちの一歩先を行く、同等に洗練されたテクノロジーが必要です。
