脅威の暗号化速度を誇るRorschachランサムウェア
セキュリティを高めたい
先生、「Rorschachランサムウェア」って最近ニュースで見たんですが、どういうものなんですか?なんか、すごく速いらしいんですけど…
情報セキュリティ専門家
「Rorschachランサムウェア」は、確かに最近見つかった新しいランサムウェアだね。パソコンの中の大事なファイルを勝手に暗号化して、その解除と引き換えにお金を要求する、悪質なプログラムだ。君の言う通り、その処理速度はこれまでで最速と言われているんだ。
セキュリティを高めたい
えー!そんなに速いんですか?!どうしてそんなに速いんですか?
情報セキュリティ専門家
実は、ある会社のセキュリティ対策ソフトの弱点をついた、巧妙な方法を使っているんだ。そのソフトの一部になりすまして侵入し、素早く暗号化を行うので、発見が遅れてしまうことが多くなってしまうんだ。
Rorschachランサムウェアとは。
「ロールシャッハ ランサムウェア」という言葉を最近耳にするかもしれません。これは「バブロック ランサムウェア」とも呼ばれ、2023年4月頃から猛威を振るい始めた、コンピュータウイルスの一種です。このウイルスは、皆様の使っているパソコンやネットワークに侵入すると、ファイルの中身を勝手に暗号化し、元に戻すことと引き換えに金銭を要求してきます。セキュリティ対策ソフトの会社であるチェック・ポイント社によると、ロールシャッハによる暗号化のスピードは凄まじく、これまで最も速いとされていた「ロックビット」というウイルスを上回る速さだと言われています。さらにタチが悪いことに、広く普及しているセキュリティ対策ソフトの一つである、パロアルトネットワークス社の「コルテックス エックスディーアール」の仕組みを悪用し、巧妙にウイルスを拡散させていることも分かっています。具体的には、「コルテックス エックスディーアール」が正常に動作する際に使用する「シーワイ ドット イーエックスイー」というツールを介して、「ウィンユーティルズ ドット ディーエルエル」という悪意のあるプログラムを読み込ませます。そして、この悪質なプログラムが「コンフィグ ドット アイエヌアイ」というファイルの暗号を解くことで、ウイルスのプログラムが起動するという仕組みです。もしも、このウイルスがネットワークの中枢である「ドメインコントローラ」上で実行されると、ネットワーク全体に瞬く間に拡散してしまうだけでなく、ウイルス対策ソフトによる検知を逃れる機能も確認されています。
概要
– 概要2023年4月に初めて確認されたRorschachランサムウェアは、比較的新しい脅威です。別名「BabLockランサムウェア」とも呼ばれるこの悪質なソフトウェアは、多くのランサムウェアと同様の手口を用います。まず、標的のコンピュータシステムに侵入し、業務に不可欠なファイルやデータを暗号化します。そして、その暗号化を解除し、データへのアクセスを回復する対価として、金銭を要求するのです。Rorschachランサムウェアの特徴は、その攻撃速度の速さにあります。侵入から暗号化までを、驚くべき速さで行うことが報告されています。これは、企業にとって大きな脅威となります。なぜなら、従来のセキュリティ対策では、侵入を検知し、対応する前に、重要なデータが暗号化されてしまう可能性があるからです。さらに、Rorschachランサムウェアは、暗号化に高度な技術を採用しているため、復号が非常に困難とされています。身代金を支払わずにデータを回復することは、極めて難しい状況です。このようなRorschachランサムウェアの脅威から身を守るためには、従来のセキュリティ対策に加え、最新の脅威情報を入手し、システムの脆弱性を解消することが重要です。また、万が一感染した場合に備え、データのバックアップを定期的に取得しておくことも必要不可欠です。
脅威 | 特徴 | 対策 |
---|---|---|
Rorschachランサムウェア (別名: BabLockランサムウェア) | – 標的のシステムに侵入し、重要ファイルを暗号化 – 暗号化解除と引き換えに身代金を要求 – 攻撃速度が速い – 高度な暗号化技術を採用 |
– 最新の脅威情報の入手 – システムの脆弱性解消 – データのバックアップ取得 |
脅威の特徴
– 脅威の特徴昨今、ランサムウェアによる被害が拡大を続けていますが、その中でも「Rorschach」と呼ばれる新たな脅威がセキュリティ研究者の間で注目を集めています。 Rorschachがこれほどまでに警戒されている理由は、その脅威的な特徴にあります。まず、Rorschachは非常に高速でファイルを暗号化することが挙げられます。セキュリティ対策の専門機関であるCheckPoint社の調査結果によると、Rorschachは、これまで最速の暗号化速度を誇っていた「LockBit」と呼ばれるランサムウェアの記録を上回っていることが判明しました。これは、企業などがRorschachの侵入に気付く前に、ネットワーク上の広範囲に及ぶ重要なデータが暗号化され、使用不能に陥る可能性があることを意味しており、極めて深刻な脅威と言えるでしょう。さらに、Rorschachは暗号化の際に、「断続的暗号化」と呼ばれる高度な技術を採用している点も見逃せません。これは、ファイルを丸ごと暗号化するのではなく、ファイルの一部を断続的に暗号化する手法です。従来のランサムウェア対策ソフトの中には、ファイル全体の暗号化を検知して動作するものがありましたが、断続的暗号化は検知が難しく、結果として被害の拡大に繋がってしまう恐れがあります。このように、Rorschachはこれまでにない速度と高度な技術を兼ね備えた、極めて危険なランサムウェアです。企業は、従来のセキュリティ対策を見直し、Rorschachへの感染防止策を早急に講じる必要があります。
脅威名 | 特徴 | 詳細 |
---|---|---|
Rorschach | 高速な暗号化 | 従来のランサムウェア”LockBit”よりも高速にファイルを暗号化できる。 |
断続的暗号化 | ファイルを丸ごと暗号化するのではなく、断続的に暗号化するため、従来のランサムウェア対策ソフトでは検知が難しい。 |
高度な侵入手法
昨今、サイバー攻撃の手口は巧妙化しており、従来型のセキュリティ対策では防ぎきれないケースも増加しています。特に、「Rorschachランサムウェア」に見られるような、高度な侵入手法を用いた攻撃は、その脅威の大きさから深刻な問題となっています。
Rorschachランサムウェアの恐ろしさは、その巧妙な拡散方法にあります。セキュリティ対策ソフトを開発する会社であるPaloAlto Networks社が提供している「Cortex XDR」という製品があります。この製品は、セキュリティ上の脅威からシステムを保護する機能を備えていますが、Rorschachランサムウェアはこの製品に搭載されているダンプサービスツールを悪用します。
具体的には、「DLLサイドローディング」と呼ばれる高度な技術を用いることで、システムにランサムウェアを侵入させます。Cortex XDRの正規のツールである「cy.exe」を利用し、悪意のあるプログラムである「winutils.dll」を読み込ませることで、システムを汚染します。さらに、この「winutils.dll」は「config.ini」というファイルを解読することで、ランサムウェアの本体を実行します。
このように、本来セキュリティを守るためのツールを逆手に取ることで、検知をより困難にする、極めて悪質な点が特徴です。
脅威 | 特徴 | 侵入手法 |
---|---|---|
Rorschachランサムウェア | 高度な侵入手法を用いており、セキュリティ対策ソフトを開発するPaloAlto Networks社の「Cortex XDR」でさえも悪用する。 | DLLサイドローディング – Cortex XDRの正規のツール(cy.exe)を利用し、悪意のあるプログラム(winutils.dll)を読み込ませる。 – winutils.dllはconfig.iniを解読し、ランサムウェアの本体を実行する。 |
拡散と隠蔽工作
近年、身代金要求型ウイルスによる被害が深刻化しています。企業や組織の重要な情報を暗号化し、その復号と引き換えに金銭を要求する攻撃は、世界中で猛威を振るっています。
その中でも、「ローシャッハ」と呼ばれる新たな脅威が確認されており、セキュリティ専門家の間で警戒感が高まっています。
「ローシャッハ」は、従来の身代金要求型ウイルスと比べて、感染拡大能力が極めて高い点が特徴です。
具体的には、組織内のネットワークを管理する重要な装置である「ドメインコントローラ」への侵入に成功すると、「グループポリシー」と呼ばれる設定情報を操作することで、ネットワークに接続された多数の端末に自身のコピーを拡散することが確認されています。
また、「ローシャッハ」は、自身のプログラムコードを複雑化させることで、セキュリティ対策ソフトによる検知を回避する機能も備えています。これは、一般的なウイルス対策ソフトの多くが、既知のウイルスの特徴を基に検知を行う仕組みであることを悪用したものです。
このように、「ローシャッハ」は、高度な技術と巧妙な戦略を駆使することで、従来のセキュリティ対策を容易にくぐり抜け、組織全体に甚大な被害をもたらす可能性があります。
脅威 | 特徴 | 対策困難な点 |
---|---|---|
身代金要求型ウイルス (ローシャッハ) |
– 企業や組織の重要な情報を暗号化し、復号と引き換えに金銭を要求 – 感染拡大能力が極めて高い – 組織内のネットワークを管理する「ドメインコントローラ」への侵入 – 「グループポリシー」を操作し、多数の端末に自身のコピーを拡散 |
– セキュリティ対策ソフトによる検知回避 – プログラムコードを複雑化 – 従来のセキュリティ対策を容易にくぐり抜け、組織全体に甚大な被害をもたらす可能性 |
対策
– 対策
昨今、身代金要求型ウイルスによる被害が拡大しており、企業にとって大きな脅威となっています。中でも、「ローシャッハ」と呼ばれる新型ウイルスは、その高度な技術と執拗な攻撃性で、企業に甚大な被害をもたらす可能性があります。そのため、早急かつ多角的な対策を講じることが重要です。
まず、システムの脆弱性を解消するために、常に最新の状態に保つことが重要です。これは、ソフトウェアの更新プログラムを速やかに適用することで実現できます。
また、不正アクセスを阻止するために、複数の認証要素を組み合わせた認証方式を導入する必要があります。これにより、たとえ一つの認証要素が突破されても、他の要素で防御することが可能となります。
さらに、ウイルス対策ソフトは常に最新の状態に保ち、最新の脅威情報に対応できるようにしておく必要があります。 これらのソフトは、ウイルスの侵入検知や駆除だけでなく、怪しいウェブサイトへのアクセスを遮断する機能も備えています。
最後に、従業員一人ひとりがセキュリティの重要性を認識し、適切な行動をとることが重要です。そのため、定期的な研修や訓練を通じて、パスワード管理の徹底や不審なメールへの対応方法などを周知徹底する必要があります。
「ローシャッハ」のように、サイバー攻撃の手法は日々進化しています。企業は、最新の情報を収集し、セキュリティ対策を継続的に強化していく必要があります。
対策 | 詳細 |
---|---|
システムの脆弱性対策 | ソフトウェアの更新プログラムを速やかに適用する |
不正アクセス対策 | 複数の認証要素を組み合わせた認証方式を導入する |
ウイルス対策ソフトの導入 | ウイルス対策ソフトを常に最新の状態に保ち、最新の脅威情報に対応できるようにする 怪しいウェブサイトへのアクセスを遮断する機能も活用する |
セキュリティ意識の向上 | 定期的な研修や訓練を通じて、パスワード管理の徹底や不審なメールへの対応方法などを周知徹底する |