ランサムウエア攻撃に追加されるもう一つの圧力

ほぼこもセキュリティニュース By Terilogy Worx

ランサムウエア攻撃とはどういうものでしょうか。

これまでのランサムウエア攻撃では、次のように進む例が多くありました。

  • 暗号化して恐喝文を残す
    この段階ではその組織が攻撃状態にあることはまだその組織しか把握していない状態です。
  • リークサイトの一覧に企業名を表示する
    この段階ではその組織が攻撃状態にあることはそのサイトを見ることができるすべての人に公開されます。

さらにその先としては、盗み出されたデータが他のグループに販売されてしまう、だとか、盗み出されたデータが公開されてしまう、というように進みます。

ここに新たな圧力として検索機能を追加する脅威アクターがいくつも出てきました。

  • 攻撃中の組織名を検索する
    一覧で表示するだけでなく、組織名を検索できます。
    従来よりもより一層簡単に特定の情報にたどり着くことができるようになりそうです。
  • 顧客の情報を検索する
    被害組織がホテルだった場合の例があります。
    被害組織の盗まれた情報の中に顧客情報があったとしましょう。
    その顧客情報のなかの名前、到着日、滞在費用が公開され検索できます。
    そういった状態にあるという情報とそれが公開されているURLがメールでそのホテルの従業員に案内されます。
  • 従業員の情報を検索する
    同じく被害組織がホテルだった場合の例があります。
    被害組織の盗まれた情報の中に従業員情報があったとしましょう。
    その従業員情報のなかの名前、社会保障番号、生年月日、電話番号、電子メールアドレスなどが公開され検索できます。
    そういった状態にあるという情報とそれが公開されているURLがメールでそのホテルの従業員に案内されます。

従来のリークサイトはダークウェブ上に設置されるのが通常でした。
しかし最近確認されているこういったいくつかの検索機能のサイトは、ダークウェブではなくパブリックインターネットに設置されています。
データが公開されている期間などによってはここで公開されている情報はどこかの検索エンジンに記録されてしまうかもしれません。
魚拓機能のあるサイトに記録されてしまうかもしれません。
非常に大きな脅威です。

また、自分たちの情報が公開されていることを知った顧客や従業員から大きな圧力がかかることも容易に想像できます。

こういった検索機能はまだ広がりを見せた段階という感じがします。
いくつかの脅威アクターが採用を開始していますが、まだその機能は洗練されていないように思えます。
しかし、時間の経過とともに採用する脅威アクターは増えていくことが考えられますし、その完成度も上がっていくことが予想されます。

脅威は増していきます。
脅威に遭遇しなくする特効薬はまだありません。
やるべきことを的確に淡々と運用していくことが選択できる対抗策ということは変わりなさそうです。

参考記事(外部リンク):Ransomware gang now lets you search their stolen data
www.bleepingcomputer.com/news/security/ransomware-gang-now-lets-you-search-their-stolen-data/