日本の大手企業を襲ったランサムウェア・グループ「ブラックスーツ」の手法とは？

日本の金融業・製造業の企業が、最新サイバー攻撃から企業のデータを守るため、 Vectra AIのソリューションを選んだ理由

ハイブリッドおよびマルチクラウド企業向けのAI主導型サイバー脅威検知・対応のパイオニアであるVectra AI（本社：カリフォルニア州サンノゼ、CEO：ヒテッシュ・セス）の日本法人であるVectra AI Japan では、昨今報道されている日本の大手企業を攻撃したロシアのランサムウェア・グループである「ブラックスーツ」をはじめとして、昨今数多くの被害が報告されている4つのサイバー攻撃についてまとめました。Vectra AIは、特化型AIにより、あらゆるサイバー攻撃に対する優れた検知・対応を行い、日本の製造業、金融業の企業をサイバー攻撃から守った実績があります。

大手のIT企業であれば、セキュリティ専属のスタッフを採用することが可能かもしれません。しかし、サイバーセキュリティの知識を持つ専門スタッフを配置している日本企業は限定的です。セキュリティソリューションの導入や運用は総務部などが兼任しているケースが多いといわれています。

今回のケースでいえば、ネットでの様々なサービスやコンテンツ提供、個人情報の安全管理には十分な対策を立てていたと想定されますが、そのような企業でもランサムウェアの被害を受けています。被害を受けた企業は知名度が高く、被害額も大きいことなどから、多くの報道がされました。このような情報漏洩のセキュリティインシデントは毎日のように発生しているのが現実です。

Vectra AIは最先端のセキュリティ特化型AI技術を開発・提供するサイバーセキュリティ専門企業です。多数のセキュリティ専門家を採用しており、彼らが世界中の企業がサイバー攻撃から自社のデータとシステムを守るお手伝いをしています。AIと専門家の連携により24時間365日ネットワークやクラウドを監視し、異常を検知し、直ちに対応しています。一方で新たなサイバー攻撃手法への対抗手段を分析しています。

Vectra AI Japanのシニアセキュリティエンジニアである福田一夫が、被害が拡大しているサイバー攻撃とトレンドとともにVectra AIが取り組んでいるサイバー攻撃対策に対応するための方策を提案します。

1.  ブラックスーツ

ブラックスーツは、2023年4月上旬から5月上旬に浮上したプライベート・ランサムウェア/恐喝グループです。ロイヤル・ランサムウェアと多くの類似点があるため、この種類の派生版または改名である可能性が高いといわれています。ロイヤル・ランサムウェアは、それ自体がロシアのランサムウェア・グループ「Conti」をもとにして新たに開発したリブート版です。重要インフラ分野に対する高度に標的を絞った攻撃と、初期アクセスの取得、権限の昇格、検出の回避を行う高度な手法で悪評を得ました。ブラックスーツは、ロイヤル・ランサムウェアから洗練された技術と恐喝への集中的なアプローチで遺産を引き継いでおり、同様の高価値産業を標的にし、高度な戦術を活用して被害者のネットワークを侵害して暗号化します。

ブラックスーツの標的国:

ブラックスーツは世界規模で事業を展開しており、SOCraderhttps://socradar.io/dark-web-profile-blacksuit-ransomware/　によれば、以下の地域で重要な活動が報告されています。

北米では特に米国とカナダは標的にされています。ヨーロッパではイタリアと英国での注目すべき事件が発生しており、アジアでは韓国において複数の攻撃が報告されています。そして南米においてはブラジルが注目すべきターゲットになっています。

ブラックスーツが狙う業種:

SOCradarによると、ブラックスーツは主に次の業界をターゲットにしています。

• 教育サービス(22.7%):教育機関がランサムウェア攻撃に対して脆弱であることを反映して、最も標的にされているセクターです。
• 行政(13.6%):政府機関が頻繁に攻撃され、公共サービスに大きな混乱を引き起こしています。
• 建設業、専門職、科学・技術サービス業、卸売業、製造業(各9.1%):これらのセクターは、その重要な性質と混乱の影響が大きい可能性があるため、大きく標的にされています。
• その他の産業:小売業、運輸・倉庫業、情報サービス、芸術、娯楽・娯楽、ヘルスケア、その他のサービス(それぞれ4.5%)。

ブラックスーツの犠牲者:

Ransomeware.live＜https://ransomware.live/＞によると、ブラックスーツは96人以上の被害者を標的にしています。被害者として注目を集めているのは、大手教育機関、政府機関、建設会社、専門サービス会社、医療従事者などです。これらの攻撃は、多くの場合、重大な運用の中断とデータ侵害を引き起こします。

攻撃方法:

ブラックスーツは、主にフィッシングメール、公開アプリケーションの脆弱性、悪意のある添付ファイルやリンクを利用して初期アクセス権を取得します。彼らはセキュリティツールの無効化、コードの難読化、信頼できるシステムプロセスの悪用など、検出を回避するための技術を用いています。さらに、キーロガー（PCやスマートフォンなどデバイスの入力を記録するソフトウェア、またはデバイスのこと。もともとは、PCやキーボードの操作を記録するためのものだが、サイバー攻撃による情報の窃取に悪用される）、クレデンシャルダンプツール（OSに格納された資格情報（パスワード・ハッシュやパスワード）を窃取する）、ブルートフォース攻撃（「総当たり攻撃」と訳される、暗号解読や認証情報取得の手法。主にパスワードを不正に入手するために用いられる）を使用して、ユーザー名とパスワードを盗みます。

ネットワーク内では、広範な偵察を行い重要なシステムやデータを特定し、正規の管理ツールや侵害された認証情報を利用して横断移動を行います。機密データを収集し盗み出し、被害者に身代金を要求する場合もあり、その手段としてランサムウェアを展開します。最終的には、データとシステムを暗号化し、復号化のための身代金を要求することで攻撃を完了させます。ブラックスーツは、その攻撃手法としてフィッシング、脆弱性悪用、悪意のあるファイル利用を主に活用し、検出を避けるために高度な技術を駆使します。

報道されている日本の大手企業グループは、ブラックスーツによるランサムウェアを含む大規模なサイバー攻撃を受けて従業員や一部取引先の情報などが漏えいしました。SNSなどで漏えい情報を拡散する行為のうち、悪質な例が473件あると発表しています。

Vectra AI Japanのシニアセキュリティエンジニアの福田一夫は、「当社では、ブラックスーツに対する効果的な防御策として、強力なフィッシング防御、定期的な脆弱性パッチ適用、堅牢な認証情報管理、拡張検出の実装とレスポンス (XDR)ソリューションを推進しています。日本の大手企業の情報漏洩被害のニュースを見て、対策を模索している企業のセキュリティ対策担当の方たちから問い合わせを受けることが増えました。その際当社では、①アタックサーフェス全体の脅威可視化、②攻撃者の振る舞いにフォーカスしたAIエンジンの採用、③リアルタイムの検知レスポンスをエージェントレスで提供、これらを実現する XDRソリューションを提案しています」と述べています。

2.  Scattered Spider

Vectra AIは、ハッカーグループ「Scattered Spider」によるID情報を狙った攻撃に対する防御方法を提案しています。<https://prtimes.jp/main/html/rd/p/000000020.000108014.html >

Scattered Spiderはランサムウェア攻撃をビジネスモデルとするグループであり、特にクラウド環境での活動が目立ちます。彼らはSMSフィッシングやSIMスワッピングを使ってID情報を盗み、Azureなどのクラウドサービスに侵入し、そこからランサムウェア攻撃を展開します。

Vectra AIの提案する防御策:

1)攻撃の可視化と検知: Vectra AIはネットワークとクラウドの間での異常な活動を検知し、攻撃のサインを特定します。

2)迅速な対応と遮断: 異常なシグナルが検知された場合、Vectra AIは自動的にレスポンスを行い、Azure ADやActive Directoryでのアカウントの無効化、エンドポイントの保護を強化します。

3)MITRE ATT&CKフレームワークに基づく対策: Vectra AIはScattered Spiderの攻撃手法を理解し、それに対する対策をMITRE ATT&CKフレームワークに基づいて構築しています。

4)クラウドからエンドポイントまでの包括的な可視性と防御: クラウドからネットワークコンポーネント、そしてエンドポイントまでの全体的な可視性を確保し、適切な防御策を展開します。

3.  生成AIを悪用する攻撃

Vectra AIは、日本企業のセキュリティを強化するために、生成AIを悪用する攻撃に対抗するAIプラットフォームの機能を拡充しました。https://prtimes.jp/main/html/rd/p/000000021.000108014.html

拡充ポイントは以下の通りです。

1)不審なアクセス、データ発見、「脱獄」攻撃など、Microsoft Copilotの悪用に対する生成AIの検出。

2)Microsoft Entra ID、Microsoft 365、AWS、Active Directoryにまたがるアイデンティティと生成AI検出の相関と帰属関係の明確化。

3)ネットワーク(Vectra NDR)、アイデンティティ(Vectra ITDR)、クラウド(Vectra CDR)にまたがる検出とMicrosoft Copilot 生成AI検出の優先順位付け。

4)ネットワーク、アイデンティティ、クラウド、生成AIの攻撃領域にまたがるメタデータの統合による迅速かつ高度な調査の実行。

5)攻撃に関与したホストとアカウントをロックダウンするためのネイティブ、自動化、管理された対応アクションの実行。

テクノロジーの進歩により、生成AIツールの普及が加速しており、これによって新たなサイバー攻撃が増加しています。Vectra AIは、AIと機械学習を活用し、ネットワーク、アイデンティティ、クラウド、SaaS、生成AI攻撃全般の脅威を検知する能力を強化しました。Vectra AI独自のセキュリティ特化型AIである「Attack Signal Intelligence」は、生成AIを悪用する攻撃者から企業を防御し、セキュリティ・チームが迅速に攻撃を隔離・封じ込めることを支援します。

Vectra AI Japanのカントリー・ビジネス・リードである佐々木 元威は、「今回の記事で説明したサイバー攻撃の報道に伴い、様々な日本企業から、攻撃されたあるいは攻撃の予防策を検討しているといった問い合わせが増えています。Vectra AIでは、この特定のサイバー攻撃で注意すべき点は、認証基盤を中心としたアタックサーフェスを網羅的に保護することであるとお伝えしています。そのためにはエージェントレスで顧客システムに影響を与えることなく迅速に展開できるソリューションを検討することをお勧めしています。Vectra AIのXDRソリューションは、ネットワーク、認証基盤、クラウド等のハイブリッド環境に対して横断的に同一プラットフォームで脅威の可視化を実現可能です。実際、当社のXDRを導入した金融業、製造業の企業では、深刻度の高いサイバー攻撃をリアルタイムに検知できたことで被害を未然に防ぐことができたという実績があります。Vectra AIでは、10年以上にわたって、高度で新たな脅威と戦うために最先端のAIを活用しています。従業員の生産性を向上させるために生成AIツールを活用する企業が増える中、セキュリティ・チームはAIでしか保護できない新たな攻撃対象に直面しています。生成AI攻撃に対する当社の新しいAI駆動型検知は、SOCチームがAIとAIで戦う力を与え、攻撃者と同じスピードと規模で活動できるようにします」と述べています。

4.  Midnight Blizzardへの対応策

ロシアの対外諜報（ちょうほう）機関とつながりがある「Midnight Blizzard（ミッドナイトブリザード）」による米国大手IT企業に対する巧妙なサイバー攻撃の2024年1月に報道を受け、セキュリティ専門家や担当者が同様の攻撃から企業のデータやシステムを防御するために知っておくべき8つのポイントを発表しました。<https://prtimes.jp/main/html/rd/p/000000018.000108014.html>

1)攻撃の定義と特徴:

• Midnight Blizzardの攻撃は、フィッシングやサプライチェーンの侵害から始まり、Azure ADの設定ミスや権限制御の脆弱性を悪用してデータを盗む。
• MFAをバイパスする手法も使用される。

2)攻撃の進入経路:

• Active Directoryの設定ミスや未パッチの脆弱性、フィッシング、ソーシャルエンジニアリングを利用してアクセスする。

3)攻撃の初期兆候:

• 異常なユーザー活動、予期せぬシステムアクセス、サイバー攻撃者の回避テクニック、異常なアウトバウンド接続、エンドポイント保護システムからの警告、システムログの異常、フィッシングの急増を監視する。

4)攻撃の影響:

• 財務上の損失、操業中断、データ漏洩と風評被害、法的および規制上の影響が懸念される。

5)防御のための要件:

• AI主導のセキュリティソリューションが必要であり、Vectra AIは高度な機械学習と行動分析を駆使して攻撃を検出し、防御する能力を持つ。

6)AI技術の重要性:

• Vectra AIのAI技術は、新たな攻撃戦術やテクニックに対応し、攻撃者の行動をリアルタイムで学習、予測することができる。

7)正確な脅威検知のための対策:

• 教師なし機械学習、振る舞い異常検知、脅威モデルに基づく相関分析、継続的なモデルの改良が重要である。

8)既存のインフラの強化:

• Vectra AIは既存のセキュリティツールと統合し、データの一貫性を持った可視化を実現する。

サイバーセキュリティレベルを向上させ、企業のデータ漏洩を防ぐVectra AI のXDR

サイバー攻撃、ランサムウェアの技術進歩は著しくその手法は巧妙化しています、Vectra AIをはじめとするサイバーセキュリティベンダーの技術開発のスピードと質の向上への期待は高まるばかりです。市場の期待に応えVectra AIは2024年4月に日本企業のXDR（拡張型検知・対応）ソリューションの活用促進を目指し、「Vectra AI統合プラットフォーム」の提供を開始しました。<https://prtimes.jp/main/html/rd/p/000000016.000108014.html>

XDR はサイバー脅威の検知・対応機能の拡張バージョンで、エンドポイント、ネットワーク、SaaS、クラウドなど、あらゆる種類のアタックサーフェス（サイバー攻撃の対象となりうるIT資産や攻撃点ならびに攻撃経路、攻撃対象領域）を 1つのプラットフォームに接続して、カバレッジと可視性を向上させます。 <https://ja.vectra.ai/blog/what-is-xdr-the-promise-of-xdr-capabilities-explained>

Vectra AI のプラットフォームをどのように使用するべきなのか、提供する技術に満足しているかなど顧客企業からのフィードバックを受け、私たちは顧客本位の技術統合を進めています。その一環としてこのたびVectra AI Platform を強化し、さらに質の高いXDRを提供するため、Vectra AI統合プラットフォームを日本企業に対して提供することとなりました。<https://ja.vectra.ai/platform-integrations>

Vectra AI Japanの佐々木 は、「Vectra AIのAI主導のVectra AI Platform Integrations によって、サイバー攻撃を防御するための環境に必要な XDR 戦略を効果的に展開することが可能です。 当社には 30 を超える独自の技術統合の実績があり、顧客企業のSOCチームに対して当社のプラットフォームと SIEM、EDR の両方から豊富なコンテキスト情報を提供します。さらにVectra AIは、サイロ化されたアタックサーフェスを統合し、オープン なXDR ソリューションを通じて日本組織のセキュリティ機能強化をお手伝いいたします」と述べています。