United States Computer Emergency Readiness Team (US-CERT)は2020年10月28日(米国時間)、「Ransomware Activity Targeting the Healthcare and Public Health Sector |CISA」において、米国のThe Cybersecurity and Infrastructure Security Agency (CISA)、FBI(The Federal Bureau of Investigation)、およびHHS(The U.S. Department of Health and Human Services)が、国内の医療機関や医療関係者などの公衆衛生セクターに対してサイバー犯罪の脅威が増大しているというアドバイザリを発表したと伝えた。

アドバイザリでは、サイバー犯罪者が公衆衛生セクターに対して使用する攻撃の戦術や技術、手順について説明した上で、主に使用されるランサムウェアについて詳細に解説している。

  • Ransomware Activity Targeting the Healthcare and Public Health Sector

    Ransomware Activity Targeting the Healthcare and Public Health Sector

CISA、FBI、HHSによる調査結果の要旨は、以下のとおり。

  • 悪意のあるサイバー攻撃者が、TrickBotおよびBazarLoaderなどのマルウェアを利用して、公衆衛生セクターを標的に活動している。これはランサムウェア攻撃やデータの盗難、医療サービスの中断などにつながる可能性が高い。
  • これらの問題は、COVID-19パンデミックへの対応中の組織にとっては特に大きな驚異となる。管理者は、このリスクを考慮してサイバーセキュリティに対する投資を決定する必要がある。

攻撃に利用される主なマルウェアとしては、「TrickBot」と「BazarLoader(またはBazarBackdoor)」の名前が挙げられている。TrickBotはトロイの木馬型マルウェアの一種で、対象のシステムに進入して、資格情報の収集やメールの漏洩、暗号化、POSデータの漏えいなどを行う。

また、「Ryuk」や「Conti」などのランサムウェアをインストールすることもあるとのこと。最近では、一般的なネットワークセキュリティ製品による防御を回避して悪意のある通信をDNSトラフィックに紛れ込ませるというTrickBotモジュールも確認されているという。

BazarLoaderはTrickBotと同様のトロイの木馬型マルウェアの一種で、Ryukをはじめとしたランサムウェアを展開することによって、サイバー犯罪者による収益化に用いられている。

一般的に、TrickBotやBazarLoaderは添付ファイルや悪意のあるWebサイトへのリンクを含んだフィッシングメールによって感染させられるケースが多いという。

アドバイザリでは、これらのマルウェアやランサムウェアによる攻撃を回避するための一般的な対策やチェック項目について詳しく解説されている。医療機関の関係者に限らず、組織のセキュリティ担当者やシステム管理者は一読しておくことをお勧めしたい。