今回の脅威動向レポートでは、ランサムウェアと、それがクラウドサービス、特にSalesforceに及ぼす影響に焦点を当てます。攻撃者がクラウドサービスや一般公開アプリを標的とするケースが増加していることに加え、2024年第2四半期のSalesforceにおける悪意あるファイルの検知件数が2023年第2四半期と比較して366%増加していることから、Salesforceのセキュリティ戦略において、ランサムウェアは決して軽視できない脅威となっています。

サイバー脅威の動向は、クラウドおよびSaaSの悪用へとシフトしている

サイバー脅威の状況は、クラウドへの注目が高まっています。攻撃者は最近、正規のファイル転送サービスやクラウドサービスを悪用し、その活動をますます円滑化させています。これらのサービスは、従来の方法のようにセキュリティアラートをトリガーしにくい、目立たずコスト効率の高いインフラを提供します。

シマンテックのThreat Hunter Teamは最近、クラウドサービスを利用した3つの新たなスパイ活動を特定し、開発中の追加の悪意のあるツールを発見しました：

• GoGra (Trojan.Gogra)：南アジアのメディア組織を標的とし、MicrosoftのGraph APIを利用して電子メール経由でC&C通信を行い、メッセージをAES-256で暗号化しています。Go言語で開発され、2023年11月から活動しています。
• Firefly Tool：Fireflyグループが東南アジアの軍事組織からデータを盗み出すために使用しています。System32フォルダ内の.jpgファイル（実際には暗号化されたRARファイル）を検索し、Google Drive経由でアップロードします。
• Trojan.Grager：台湾、香港、ベトナムの組織を標的とし、OneDrive経由でMicrosoftのGraph APIを使用してC&C通信を行います。トロイの木馬化された7-Zipインストーラーを通じて配布され、UNC5330グループと関連しています。
• MoonTag：中国語圏の攻撃者と関連する開発中のバックドア。Graph APIの使用が特徴であり、Googleグループでも議論されている。

SalesforceおよびSaaSアプリケーションは、脅威グループUNC3944の標的となっている

SalesforceやSaaSは、脅威の情勢においてますます普及しつつある。Google Threat Intelligenceは、少なくとも2022年5月から活動している金銭目的の脅威グループUNC3944の活動を観測しており、同グループは最近SaaSアプリケーションを標的としている。当初は認証情報の収集やSIMスワッピングに重点を置いていたUNC3944は、その後、主にデータ窃取を伴う恐喝へと手法を転換し、標的となる業界を拡大するとともに、アクセスを得るために恐怖を煽る戦術を利用している。彼らは手法を適応させ、SaaSアプリケーションからの窃取から攻撃者所有のクラウドストレージへの転送まで行い、攻撃を容易にするために様々な高度な技術を採用しています。

UNC3944は、シングルサインオン（SSO）システムを悪用して盗んだ認証情報を使用し、SalesforceをはじめとするSaaSアプリケーションにアクセスしました。彼らはこれらのプラットフォーム内で偵察を行い、おそらくデータ流出を目的としており、AirbyteやFivetranなどのサードパーティ製クラウド同期ツールを使用して、データを外部のクラウドストレージに転送していました。

UNC3944の主な戦術、技術、手順（TTPs）：

• ソーシャルエンジニアリング： 彼らは被害者の個人情報を悪用して企業のヘルプデスクを巧みに操り、特権アカウントへのアクセス権を取得し、多要素認証（MFA）を回避することに成功した。
• SaaS権限の悪用： UNC3944は、Oktaなどのアプリケーションの権限を悪用し、オンプレミスインフラとクラウドベースのアプリケーションの両方を網羅して、標的のシステム内でのアクセス範囲を拡大した。
• 仮想マシンの侵害： このグループは、SSOアプリケーションを通じて取得した管理者権限を使用して新しい仮想マシンを作成し、その後の悪意のある活動や従来のセキュリティ制御の回避に利用した。

攻撃者によるクラウドサービスの利用は、ステルス性を維持し、コスト効率の良い運用を行うための好ましい手法になりつつある。攻撃者たちは互いに学び合い、様々なスパイ活動グループやサイバー犯罪グループ間で成功した手法を取り入れている。セキュリティ戦略において、クラウドおよびSaaS環境を網羅的にカバーすることは、かつてないほど重要になっている。

ディズニー、1TBのデータ漏洩を受けSlackから撤退 – 人為的ミスが原因とみられる

大規模なデータ侵害事件において、ディズニーは企業データの重大な漏洩に見舞われた。これは、従業員の個人用ゲーム用PCの脆弱性が原因である可能性がある。この侵害により、Slackを通じて1TBを超えるデータがダウンロードされ、その結果、社内コミュニケーション用プラットフォームの利用が停止された。

当チームはこの件に関するフォレンジックデータを入手していないが、一部の専門家は、この侵害がディズニーやSlackのシステムの欠陥による直接的な結果ではなかったと主張している。その代わりに、ある従業員が誤ってマルウェアに感染したゲームの改造版をインストールしたことが原因であるとされている。このマルウェア（情報窃取型）は認証情報を盗み出し、Slackにアクセスして、侵害された従業員のコンピュータを悪用した。パスワード管理ツールに多要素認証（MFA）が導入されていなかったため、攻撃者は膨大な量の機密データに容易にアクセスすることができた。

一部の専門家は、攻撃者が内部関係者の協力を得ていたのではないかと疑っており、また別の専門家は、この侵害がディズニー側の防御メカニズム全般の欠如に起因するものだと指摘している。

2022年、ある10代の少年がSlackを悪用し、ゲーム会社ロックスターから未発売の『GTA 6』に関する詳細情報を盗み出した。この攻撃者は終身刑を言い渡された。

2023年には、別の攻撃者がSlackチャンネルへのアクセス権を悪用し、世界有数のカジノ・リゾート企業であるMGMリゾーツに対してマルウェア攻撃を仕掛けた。

ServiceNow KBインスタンスのほぼ半数が機密データを漏洩

AppOmniによる調査によると、過去1年間でServiceNowナレッジベース（KB）インスタンスの45％近くが、個人識別子、内部システムの詳細、稼働中のシステム認証情報などの機密データを漏洩させていたことが明らかになった。これらの情報漏洩の原因は、古くなった、あるいは設定ミスによるアクセス制御だった。これは、KBのアクセス制御に対する広範な誤解や、インスタンス間で設定ミスが複製されたことが原因である可能性がある。

ServiceNowは2023年、認証されていないデータアクセスを制限することを目的としたセキュリティ更新を行ったが、極めて機密性の高い内部データを含むことが多いKBに対しては、これらの更新の多くが効果を発揮しなかった。同社はこれに対応し、顧客と協力してKBのアクセス制御設定ミスを修正している。

Lockbitランサムウェアグループは活動縮小しているが、まだ消滅していない

かつて最も活発なグループの一つであったLockbitランサムウェアグループは、米国司法省、連邦捜査局（FBI）、英国国家犯罪対策庁（NCA）、オーストラリア連邦警察をはじめとする国際的なパートナーによる標的型法執行措置を受けて、その活動を大幅に縮小させている。

この打撃により被害者数は急減し、報告された事例は一桁台にまで落ち込んだ。こうした挫折にもかかわらず、同グループは活動を再構築しようとする顕著な試みを見せている。例えば、データ漏洩サイト（DLS）への実験的な変更や、DDoS防御の更新を行っている。こうした動きは、検知を回避し犯罪活動を継続するための戦略的な再調整を示唆している。

法執行機関による大規模な介入にもかかわらず、Lockbitグループが適応し、インフラの再構築を試みている事実は、現代のランサムウェア活動がいかに強靭で執拗であるかを示している。これらのグループは介入から素早く学び、しばしばより洗練され、対処が困難な形で再出現する。

2024年のサイバー犯罪のビジネスモデルは「RaaS（Ransomware-as-a-Service）」

主要なランサムウェアグループへの打撃により、ランサムウェアのアフィリエイトは再編され、確立されたRansomware-as-a-Service（RaaS）ネットワークへと集まりつつある。RaaSはサブスクリプション型のモデルであり、アフィリエイトが事前に開発されたランサムウェアツールを使用してサイバー攻撃を実行できるようにする。Software-as-a-Service（SaaS）と同様に、RaaSプロバイダーは悪意のあるソフトウェアをレンタルまたは手数料ベースで提供し、アップデートやサポートも行う。

総じて、RaaSモデルを通じたランサムウェア活動の専門化は、サイバーセキュリティ防御にとって新たな課題をもたらしています。これらのモデルは、経験の浅いサイバー犯罪者にとって参入障壁を低くし、活動の急速な拡大を可能にします。RaaSプラットフォームの魅力により、新たなランサムウェアの亜種が氾濫しており、それに応じて多層的な防御戦略が求められています。

新たな脅威の台頭：旧グループが解体される一方で新グループが形成される

当社の調査チームは、Cicada3301、SenSayQ、WikiLeaksV2といった新たなプレイヤーの台頭も確認しています。各グループは、金融ソフトウェア企業を標的としたり、医療セクターの機密データを流出させたりするなど、独自の標的選定パターンや被害傾向を示しています。こうした点から、これらの新興グループはランサムウェア・エコシステムの動的な性質を浮き彫りにしています。彼らは新たな戦術や標的を駆使して絶えず進化し続けています。

グループの動向は絶えず変化しています。例えば、2023年に当研究チームが追跡した活動中のランサムウェアグループ67グループのうち、31グループは2024年第2四半期には活動していませんでした。また、当チームは2024年に31の新たなランサムウェアグループを確認しています。これらのプロジェクトのうち、生き残るものはほとんどないでしょう。

RansomHubの急速な台頭と積極的なアフィリエイト戦略

2024年初頭から活動を開始し、ロシアを拠点とすると見られる新たな恐喝プラットフォーム「RansomHub」は、アフィリエイトに有利な条件を提示することで急速に地位を確立し、ランサムウェアのアフィリエイト市場に大きな影響を与えています。RansomHubは、アフィリエイトが被害者から直接支払いを受け取った後、その分け前をRansomHubに送金する仕組みを採用することで、RaaS（Ransomware-as-a-Service）分野に革新をもたらしています。さらに、アフィリエイトが身代金の大部分を保持し、RansomHubがわずかな手数料のみを徴収する仕組みにより、RansomHubはScatteredSpiderやLockbitのメンバーといった経験豊富なグループを引き付けることに成功した。

その結果、RansomHubの運用能力、脅威レベル、および被害者数は増加している。当社の調査チームによると、RansomHubは現在、この分野で観測される中で最も活発なプラットフォームである。同様に、ZeroFoxは、2024年第3四半期の全サイバー攻撃の14.2％をこのプラットフォームが占めていると報告している。被害者の大半は北米（39.4％）と欧州（34.3％）に集中している。被害者は製造業、小売業、医療、テクノロジーなど、多岐にわたるセクターに及んでいる。

同時に、CISAはFBI、MS-ISAC、HHSと共同で、RansomHubランサムウェアに関するサイバーセキュリティ勧告を公表しました。この勧告では、最近のFBIの調査結果や第三者機関の報告を基に、RansomHubに関連する侵害の兆候（IOC）や戦術・手法・手順（TTP）といった重要な詳細情報をネットワーク防御担当者に提供しています。

RansomHubは、高度なEDR無効化実行ツールを使用しています。これは、エンドポイント検出・対応（EDR）ソフトウェアを無効化し、侵害されたデバイス上で特権を昇格させる一方で、一般的なマルウェア対策ツールを複数回避するように設計されています。このマルウェアは、EXEやPowerShellスクリプトなど、多くの形式で確認されています。

ランサムウェア被害の現実的な影響

金銭目的のランサムウェア攻撃は、被害者に極めて深刻な影響を及ぼすことで知られています。全体として、当社の調査チームは、2024年上半期において、身代金支払いやインシデントの件数が過去数年と比較して依然として高い水準にあることを確認しました。

過去最高額の身代金支払いの背後にいる「Dark Angels」

2024年初頭、ZscalerとChainalysisは、ランサムウェアグループ「Dark Angels」が管理する仮想通貨ウォレット宛てに、7,500万ドルという巨額の身代金が支払われたことを検知しました。標準的な報告慣行に従い、被害者の身元は明らかにされていませんが、支払者はフォーチュン500にランクインする製薬会社Cencoraであった可能性が高いと強く示唆されています。なぜそう言えるのか？ Cencoraは2024年2月、ランサムウェア攻撃とデータ盗難を公に認めており、同社が有力な候補であると考えられる。時価総額100億ドル、2023年の年間売上高262億ドルに達する同社は、業務を復旧し、さらなるデータ漏洩を防ぐために支払いが不可欠であると判断した。

さらなる調査により、この攻撃の影響はセンコラ社だけにとどまらないことが明らかになった。同社は少なくとも2つの子会社と共に、規制当局にデータ盗難を報告しており、影響を受けた組織のネットワークがより広範囲に及んでいることが示唆されている。5月には、このデータ侵害がファイザー、バイエル、ノバルティスなど多数の主要製薬企業に影響を与えていたことが追加情報で明らかになった。これらのパートナー企業も、特にLashグループの子会社を通じて、センコラ社の侵害されたシステムに関連する侵害被害を受けていた。

この単一の事件から得られた巨額の身代金は、ダーク・エンジェルズの影響力の大きさを浮き彫りにしている。ダーク・エンジェルズが採用した戦略は、高価値な標的（しばしば「ビッグゲーム・ハンティング」と呼ばれる）に焦点を当てたものであることを示唆しており、これは多数の小規模な攻撃を行うよりも、少数の極めて収益性の高い攻撃を行うことを意味する。ダーク・エンジェルズが意図的にビッグゲーム・ハンティングの戦略を採用しているのか、それとも単に運が良かっただけなのかは断定しがたい。

（少なくとも現時点では）大規模なシステム停止や業務中断の報告はない。しかし、合計売上高が数兆円規模に及ぶ企業ネットワークを巻き込んだ今回の攻撃の広範な影響は、重要産業の主要企業を標的としたランサムウェア攻撃が引き起こし得る甚大な損害と混乱の可能性を如実に示している。

ランサムウェア攻撃の余波で日本のメディア大手、時価総額が急落

別の例として、日本のメディア企業である角川グループに対するランサムウェア攻撃は、こうした攻撃が企業に及ぼしうる広範かつ長期的な影響を痛感させる出来事となった。この攻撃は日常業務を混乱させただけでなく、深刻な財務的・評判的損害をもたらした。6月初旬の攻撃前、角川グループの時価総額は約4,650億円（30億米ドル）であった。この事件を受け、同社株価は15％急落した。その結果、時価総額から700億円（5億米ドル）が消失した。この大幅な株価下落は、もっぱらランサムウェア攻撃に起因するものと見られ、サイバーセキュリティが、業務遂行能力だけでなく、財務の安定性や世間の評価を守る上でも極めて重要であることを浮き彫りにしている。

公衆衛生が危機に瀕する

南アフリカの国立保健研究所（NHLS）は6月22日にランサムウェア攻撃を受けた。この攻撃は7月に入ってもサービスの混乱を引き起こし続けた。この攻撃は、MPOX（モンキーポックス）の流行の最中に検査結果へのアクセスを妨げたという点で、特に深刻な事態であった。この事案は、ランサムウェアが世界中の公衆衛生と市民の安全にどれほど重大な影響を及ぼすかを示している。

身代金を支払うか、支払わないか

ランサムウェアグループは、身代金の支払いを条件にデータの復旧を約束することで被害者との信頼関係を築こうとし、業務が正常に戻るという誤った期待を抱かせることが多い。ランサムウェアの運営者は、プロフェッショナルな印象を与え、データの削除や復号について被害者を安心させる意図で、自らを「ペネトレーションテスター」と称することがよくある。

それにもかかわらず、身代金を支払った組織の大多数はその後も攻撃を受け、以前よりもさらに高額な要求を突きつけられるケースが少なくない。Cybereasonの調査によると、二次攻撃を受ける被害者の割合は78%にも上るとされています。

ランサムウェアの運営者は信頼できず、被害者を再び標的にしないという彼らの保証を信用すべきではありません。したがって、こうした犯行グループへの信頼に基づいて身代金を支払うことは推奨されません。ランサムウェア犯行グループの欺瞞性を数値化した調査結果を認識することは極めて重要です。なぜなら、それらは規制法と相まって、ランサムウェアの情勢に大きな影響を与えるからです。

現在の脅威情勢がSalesforceのセキュリティに与える影響

新たなランサムウェアグループの出現と戦術の進化は、従来型で検知されやすい攻撃経路に代わる選択肢として、Salesforce環境がますます標的とされる可能性を示唆しています。実際、2024年第2四半期には、2023年第2四半期と比較して、Salesforce上の悪意あるファイルが366%増加したことが確認されています。

Salesforceにおいては、マルウェアの配布経路としてSalesforceを利用したり、ユーザーをフィッシングサイトに誘導するためのソーシャルエンジニアリング戦術を用いたりするランサムウェアキャンペーンに対して、常に警戒を怠らないことが重要です。人的ミスに加え、新たなキャンペーンでは、クラウド環境の脆弱性やサードパーティ製統合機能を標的とする可能性があります。

Salesforceセキュリティ推奨事項の要点

絶えず変化する脅威に対抗するには、多層的かつ予防的なサイバーセキュリティアプローチが必要です。特効薬はありません。そのため、最近のサイバー犯罪の動向を踏まえ、Salesforceセキュリティに関する包括的な推奨事項をまとめました：

• 監査： Salesforceを含むクラウド環境を網羅する包括的な監査機能を有効化し、セキュリティ上の脆弱性を特定して修正してください。
• アンチウイルス：SalesforceなどのエントリポイントにおけるWithSecure™ Cloud Protection for Salesforceソリューションなどの脅威対策と、エンドポイントセキュリティを組み合わせることで、ファイルベースのランサムウェア脅威の大部分をブロックできます。ソリューションが最新の脅威インテリジェンスソースを備えていることを確認してください。
• 従業員のトレーニングと意識向上：ソーシャルエンジニアリングは依然として重大な脅威ベクトルです。Salesforceユーザーに対し、フィッシングの試みやその他のソーシャルエンジニアリングの手口を見抜くようトレーニングすることは極めて重要です。
• フィッシング対策： Salesforceレベルでフィッシング対策ソリューションを導入することで、フィッシング攻撃を自動的に阻止できます。電子メールのような従来の攻撃経路にとどまらず、より広範な対策を行うことが重要です。
• アクセス制御の強化： 認証情報の漏洩リスクを軽減するため、厳格な条件付きアクセスを適用してください。Salesforce環境では、最小権限の原則を採用すべきです。権限を定期的に監査してください。
• サードパーティのリスク管理： Salesforceは多くのサードパーティ製アプリケーションと連携することが多いため、ランサムウェアの拡散やデータ漏洩を防ぐには、これらの接続の安全性を確保することが不可欠です。セキュリティツールは、統合の容易さを基準に選び、ネイティブソリューションを優先すべきです。
• データ管理ポリシー： Lockbitが削除したと主張したデータを保持していたことが発覚した事実は、データの取り扱いと保存に伴うリスクを改めて強く認識させるものです。潜在的な被害を最小限に抑えるため、堅牢なデータ暗号化、定期的な監査を実施し、厳格なデータ取り扱いおよび削除プロトコルに従う必要があります。
• BYODの制限：ディズニーのSlackデータ漏洩は、従業員の個人端末へのマルウェア感染が原因でした。これは、個人端末の社内システムへの持ち込みを制限すべきであることを改めて示しています。
• 身代金要求への備えと対応：インシデント対応戦略にSalesforceを含める必要があります。これには、セキュリティチームとSalesforceチーム間の緊密な連携、安全かつ検証済みのSalesforceバックアップの確保、そして身代金要求に対処するための明確なコミュニケーション計画の策定が含まれます。

参考資料

AppOmni. Enterprise ServiceNow Knowledge Bases at Risk: Extensive Data Exposures Uncovered.

CISA. CISA and Partners Release Advisory on RansomHub Ransomware.

Cybereason. Ransomware: True Cost to Business 2024.

Dark Reading. Thousands of ServiceNow KB Instances Expose Sensitive Corporate Data.

Google. UNC3944 Targets SaaS Applications.

National Crime Agency. The NCA announces the disruption of LockBit with Operation Cronos.

National Crime Agency. International investigation disrupts the world’s most harmful cyber crime group.

NCSC. NCSC and international partners shine a light on Lockbit ransomware threat.

Salesforce. Multi-Factor Authentication for Salesforce Orgs.

Symantec. Cloud Cover: How Malicious Actors Are Leveraging Cloud Services.

The Cyber Express. Data Breach Fallout: Disney Severs Ties after Slack Hack?.

The Hacker News. RansomHub Group Deploys New EDR-Killing Tool in Latest Cyber Attacks.

The Hacker News. RansomHub Ransomware Group Targets 210 Victims Across Critical Sectors.

U.S. Department of Treasury. United States Sanctions Senior Leader of the LockBit Ransomware Group.

WithSecure. Threat Highlights Report June 2024.

WithSecure. Threat Highlights Report July 2024.

WithSecure. Ransomware landscape H1/2024.