二重脅迫型ランサムウェア「Rhysida」の脅威
セキュリティを高めたい
「Rhysida」って、どんなものですか?
情報セキュリティ専門家
「Rhysida」は、2023年に確認された比較的新しい身代金要求型のコンピュータウイルスの一種だよ。まず、企業のネットワークに侵入して、機密情報などを盗み出す。そして、盗んだ情報を公開すると脅して、お金を要求するんだ。
セキュリティを高めたい
へえー。でも、ウイルス対策ソフトとかで防げないんですか?
情報セキュリティ専門家
Rhysidaは、日々進化しているから、常に最新の状態に保たれたウイルス対策ソフトを使うことが重要だよ。また、怪しいメールを開かないなど、一人ひとりが注意することも大切なんだ。
Rhysidaとは。
「リサイダ」は、2023年に現れた、身代金を要求するコンピューターウイルスの仲間です。このウイルスは、まずメールなどを使い、狙った組織のネットワークに侵入します。そして、「コバルトストライク」のような、コンピューターを遠隔操作するための道具を使って、組織のシステムに侵入し、悪意のあるプログラムを送り込みます。組織の重要なデータを見つけ出し、暗号化して使えなくした後に、そのデータを盗み出したことを明らかにします。そして、盗んだデータを闇サイトで公開すると脅し、身代金を要求します。報道によると、これまでにチリ共和国の陸軍などが被害にあっています。このウイルスは、2023年6月の時点では、ウイルス対策ソフトに検出されないように、バックアップデータを消す機能などが備わっていませんでした。そのため、まだ開発途中の段階だと考えられています。2023年10月には、ブラジルで広く使われている電子決済システム「PIX」を狙って、個人情報を盗み出す「ルマー」と呼ばれるウイルスと組み合わせて攻撃したという報告がありました。さらに同年12月には、世界で事業を展開する日本のメーカーのゲーム開発会社が攻撃を受けたという報道がありました。同じく12月には、韓国のセキュリティ機関であるKISAが、「リサイダ」の暗号化の仕方に欠陥があることを見つけ、データを復旧するためのツールを公開しました。
「Rhysida」とは
– 「Rhysida」とは
「Rhysida(リサイダ)」は、2023年に初めて確認された、比較的新しいランサムウェアです。ランサムウェアとは、身代金(ransom)を要求する目的で開発された不正なプログラムのことです。
従来型のランサムウェアは、感染したコンピュータやサーバに保存されているファイルなどを暗号化し、その解除と引き換えに金銭を要求するものが主流でした。しかし近年、Rhysidaのように、暗号化に加えて、盗み出したデータをインターネット上で公開すると脅迫する、二重脅迫型のランサムウェアが増加しています。
Rhysidaによる攻撃では、企業の重要な情報や個人のプライバシーに関わる情報が危険にさらされる可能性があります。そのため、Rhysidaは従来型のランサムウェアと比べて、より深刻な脅威と言えるでしょう。
Rhysidaから身を守るためには、セキュリティソフトの導入やOS・ソフトウェアの最新状態の維持など、基本的な対策を徹底することが重要です。また、怪しいメールの添付ファイルを開かない、不審なウェブサイトにアクセスしないなど、利用者一人ひとりがセキュリティ意識を高めることも重要です。
項目 | 内容 |
---|---|
ランサムウェア名 | Rhysida(リサイダ) |
出現時期 | 2023年 |
特徴 | 暗号化 + 情報公開の二重脅迫 |
従来型との違い | より深刻な脅威 |
対策 | セキュリティソフト導入、OS・ソフト更新、怪しいメール対策、不審サイトアクセス防止 |
侵入経路
– 侵入経路
Rhysidaは、標的とする組織のネットワークに侵入するために、さまざまな方法を駆使します。
最も頻繁に確認されているのがフィッシングメールを悪用した攻撃です。これは、実在する企業や組織からのメールになりすまし、添付ファイルを開いたり、本文中のリンクをクリックしたりするように仕向けます。そして、メール受信者がうっかりと操作してしまうと、マルウェアがダウンロードされ、端末がRhysidaに感染してしまうのです。
フィッシングメールで使用される偽装は巧妙化しており、一見しただけでは見破ることが困難になっています。そのため、メールの送信元や本文の内容をよく確認し、少しでも不審な点があれば、安易に添付ファイルを開いたり、リンクをクリックしたりしないよう、注意が必要です。
また、Rhysidaは、ウェブサイトやウェブアプリケーションの脆弱性を突いて侵入を試みることもあります。特に、セキュリティ対策が不十分なウェブサイトやアプリケーションが格好の標的となります。
さらに、リモートデスクトッププロトコル(RDP)の脆弱性も悪用されるケースが増えています。RDPは、離れた場所からコンピュータを操作できるようにする便利な仕組みですが、セキュリティ設定が不適切だと、Rhysidaのようなランサムウェアに侵入されてしまう危険性があります。
このように、Rhysidaはさまざまな経路から侵入を試みてきます。常に最新のセキュリティ対策を施し、怪しいメールやウェブサイトにアクセスしないなど、日頃からセキュリティ意識を高めておくことが重要です。
侵入経路 | 詳細 |
---|---|
フィッシングメール | 実在する企業や組織からのメールを装ったメールに、マルウェアを仕込んだ添付ファイルやリンクを仕込む。メール受信者がそれを開くことで端末にマルウェアがダウンロードされ、感染する。 |
ウェブサイト/ウェブアプリケーションの脆弱性 | セキュリティ対策が不十分なウェブサイトやアプリケーションの脆弱性を突いて侵入する。 |
リモートデスクトッププロトコル(RDP)の脆弱性 | セキュリティ設定が不適切なRDPを悪用し侵入する。 |
攻撃の特徴
– 攻撃の特徴Rhysidaによる攻撃は、組織のシステムに侵入し、機密情報を盗み出して身代金を要求する、巧妙かつ組織的なものです。以下に、その攻撃の特徴を詳しく見ていきましょう。-# システムへの侵入と探索攻撃者はまず、さまざまな侵入経路を駆使して組織のシステムに侵入します。侵入経路としては、脆弱性を持つソフトウェアの悪用や、フィッシングメールによる従業員のアカウント情報の詐取などが考えられます。システムへの侵入に成功すると、攻撃者は「Cobalt Strike」のようなツールを使って組織内のネットワークを探索し、重要なシステムやデータを特定しようと試みます。-# 管理者権限の取得と足場の築き侵入したシステム内で自由に活動するため、攻撃者は管理者権限の取得を目指します。管理者権限を手に入れることで、セキュリティ対策を無効化したり、重要なシステムにアクセスしたりすることが可能になります。そして、侵入したシステムを拠点として、組織内の他のシステムにアクセスするための足場を築きます。これにより、攻撃者は組織内のネットワークを自由に移動し、攻撃目標を達成するための最適な位置に身を置くことができるようになります。-# データの暗号化と身代金要求攻撃者は、組織内の重要なデータを見つけると、それを暗号化します。暗号化されたデータは、復号化のための鍵がない限りアクセスすることができません。その後、攻撃者はダークウェブ上に設置したサイトで情報を公開すると脅し、データの復号化と引き換えに身代金の支払いを要求します。身代金の要求額は、攻撃を受けた組織の規模や、盗み出したデータの重要度によって異なります。
攻撃フェーズ | 詳細 |
---|---|
システムへの侵入と探索 | – 脆弱性を持つソフトウェアの悪用、フィッシングメールなど – Cobalt Strikeなどのツールを用いたネットワーク探索 |
管理者権限の取得と足場の築き | – 管理者権限を取得し、セキュリティ対策の無効化 – 侵入したシステムを拠点に、組織内の他のシステムへアクセス |
データの暗号化と身代金要求 | – 重要なデータを暗号化 – ダークウェブ上で情報を公開すると脅し、身代金を要求 |
被害状況
– 被害状況Rhysidaによる攻撃は、世界中の様々な組織を標的として確認されており、その被害は拡大を続けています。特に注目すべきは、チリ共和国陸軍やゲーム開発会社といった、機密情報や知的財産を多く保有する組織が攻撃を受け、情報漏洩などの被害が発生している点です。国家機関や企業にとって、機密情報の保護は安全保障や競争力の維持に不可欠であり、Rhysidaによる攻撃は、その根幹を揺るがす深刻な脅威となっています。さらに、2023年10月には、ブラジルで広く利用されている決済システム「PIX」に対する攻撃が確認されました。これは、Rhysidaが金銭的な利益を目的とした攻撃にも積極的に利用され始めていることを示唆しており、その影響範囲は、国家機関や企業だけでなく、一般市民の生活にも及ぶ可能性があります。Rhysidaは、攻撃手法の改良や新たな機能の追加が活発に行われており、今後も攻撃の件数増加や、より巧妙な攻撃への進化が懸念されます。
攻撃者 | 標的 | 被害状況 | 時期 |
---|---|---|---|
Rhysida | 世界中の様々な組織 – チリ共和国陸軍 – ゲーム開発会社 – ブラジルの決済システム「PIX」 |
情報漏洩など – 機密情報 – 知的財産 – 金銭的な被害 |
– – – 2023年10月 |
対策
– 対策
Rhysidaによる被害を防ぐためには、多層的なセキュリティ対策が欠かせません。まず、従業員一人ひとりのセキュリティ意識を高めることが重要です。具体的には、フィッシングメールの特徴や見分け方、怪しいウェブサイトへのアクセスや不審な添付ファイルの取り扱いなど、具体的な事例を交えながら、定期的にセキュリティに関する研修を実施する必要があります。次に、パソコンやソフトウェアの脆弱性を解消することが重要です。そのためには、常に最新の状態を保つために、OSやソフトウェアの更新プログラムを速やかに適用する必要があります。さらに、セキュリティ対策ソフトを導入し、ネットワークの境界を保護することも重要です。具体的には、ウイルス対策ソフトや不正侵入防御システムを導入し、常に最新の状態に保つ必要があります。また、外部からの不正アクセスを防ぐために、ファイアウォールを適切に設定することも重要です。これらの対策に加え、IDとパスワード以外の要素を用いた認証システムを導入することで、セキュリティをより強固なものにすることができます。例えば、スマートフォンに送られてくる確認コードを入力してログインする、といった方法が考えられます。Rhysidaによる被害は、これらの対策を組み合わせることで、未然に防ぐことができる可能性が高まります。
対策 | 詳細 |
---|---|
従業員へのセキュリティ教育 | フィッシングメールの見分け方、不審なウェブサイトへのアクセスや添付ファイルの取り扱い方などを、具体的な事例を交えて定期的に研修する。 |
脆弱性の解消 | OSやソフトウェアの更新プログラムを速やかに適用し、常に最新の状態を保つ。 |
セキュリティ対策ソフトの導入 | ウイルス対策ソフトや不正侵入防御システムを導入し、最新の状態に保つ。 |
ネットワーク境界の保護 | ファイアウォールを適切に設定し、外部からの不正アクセスを防止する。 |
多要素認証の導入 | ID・パスワードに加え、スマートフォンへの確認コードなど、別の要素を用いた認証システムを導入する。 |
復旧ツールについて
– 復旧ツールについて2023年12月、韓国のセキュリティ機関であるKISAが、ランサムウェア「Rhysida」によって暗号化されたファイルを復号できるツールを公開しました。これは、Rhysidaの開発者が暗号化処理に不備があったことをKISAが突き止めたため実現しました。KISAが公開したツールを使えば、Rhysidaに感染し、身代金を要求されてしまっていても、支払うことなくデータを復旧できる可能性があります。しかし、Rhysidaのようなランサムウェアは常に進化しており、開発者はセキュリティ機関に対抗するために、プログラムを更新し続けています。そのため、KISAが公開した復旧ツールも、すべてのバージョンのRhysidaに対応できるわけではなく、今後開発される新しいバージョンには効果がない可能性もあります。ランサムウェアの被害に遭った際に、復旧ツールがあれば非常に心強いものです。しかし、復旧ツールはセキュリティ対策の万能薬ではありません。復旧ツールはあくまでも一時的な対策であり、常に有効であるとは限りません。ランサムウェアから大切なデータを守るためには、復旧ツールに頼るのではなく、日ごろからのセキュリティ対策を徹底することが重要です。具体的には、OSやソフトウェアを最新の状態に保つこと、怪しいメールやウェブサイトを開かないこと、セキュリティソフトを導入することなどが有効な対策として挙げられます。ランサムウェアの脅威から身を守るためには、日ごろからの意識と対策を継続することが重要です。
ランサムウェア対策 | 詳細 |
---|---|
KISAの復旧ツール | – 2023年12月、韓国のセキュリティ機関KISAがランサムウェア「Rhysida」の復号ツールを公開。 – Rhysidaの暗号化処理の不備をKISAが発見したため。 – 身代金を支払わずにデータを復旧できる可能性がある。 – ただし、すべてのバージョンのRhysidaに対応しているわけではない。 – 今後開発される新しいバージョンには効果がない可能性もある。 |
復旧ツールの限界 | – セキュリティ対策の万能薬ではない。 – あくまでも一時的な対策であり、常に有効とは限らない。 |
重要な対策 | – 日ごろからのセキュリティ対策を徹底すること。 – OSやソフトウェアを最新の状態に保つ。 – 怪しいメールやウェブサイトを開かない。 – セキュリティソフトを導入する。 – ランサムウェアの脅威から身を守るためには、日ごろからの意識と対策を継続することが重要。 |