The Hacker Newsは12月19日(現地時間)、「Double-Extortion Play Ransomware Strikes 300 Organizations Worldwide」において、ランサムウェア「Play(別名:Playcrypt)」を用いる脅威グループが世界の300に及ぶ組織に対し攻撃を実行したことが確認されたとして警告した。

米国連邦調査局(FBI: Federal Bureau of Investigation)および米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は、オーストラリア通信電子局(ASD: Australian Signals Directorate)のオーストラリアサイバーセキュリティセンター(ACSC: Australian Cyber Security Centre)と共同で、「Play」に関するサイバーセキュリティアドバイザリ(CSA: Cybersecurity Advisory)を発表している(参考:「FBI, CISA, and ASD’s ACSC Release Advisory on Play Ransomware | CISA」)。

  • Double-Extortion Play Ransomware Strikes 300 Organizations Worldwide

    Double-Extortion Play Ransomware Strikes 300 Organizations Worldwide

ランサムウェア「Play」を用いた攻撃の実態

サイバーセキュリティアドバイザリによると、Playを操るランサムウェアグループは北米、南米、ヨーロッパ、オーストラリアの幅広い企業や重要インフラに影響を与えているという。その影響は2023年10月の時点で、約300の組織に達しているとのこと。通常のランサムウェアと同様に二重の脅迫システムを採用しており、データの窃取と暗号化を行い身代金を要求する。身代金の要求方法は通常と異なり、被害者は攻撃者にメールで連絡する必要があるとされる。

The Hacker Newsによると、このランサムウェアグループはMicrosoft ExchangeサーバとFortinetアプライアンスの脆弱性を悪用して企業に侵入し、ランサムウェアを展開するという。セキュリティ企業の「Adlumin」は先月発行したレポートで、ランサムウェア「Play」が他の脅威アクターにサービスとして提供され、ランサムウェア・アズ・ア・サービス(RaaS: Ransomware-as-a-Service)としての運用が開始された可能性があると指摘しており、被害のさらなる拡大が懸念されている。

ランサムウェア「Play」を用いた攻撃への対抗策

サイバーセキュリティアドバイザリでは、この攻撃に対する緩和策として以下を提示している。

  • 機密データや独自データとサーバのイミュータブルバックアップを複数作成する。バックアップは物理的に分離された安全な場所に保管する
  • ログインを必要とするすべてのアカウントに対し、「CPG Report | CISA」の項目2.B、2.C、2.Gを適用する。加えてパスワードマネージャーの使用、パスワードの「ヒント」を無効化、パスワードの再利用の禁止、パスワードの定期的な変更を要求しないことが推奨される
  • 可能な限りすべてのサービスに多要素認証(MFA: Multi-Factor Authentication)を要求する
  • すべてのオペレーティングシステム、ソフトウェア、ファームウェアを最新に保つ
  • ネットワークをセグメント化して横移動とランサムウェアの拡散を防止する
  • 高度なエンドポイント検出応答(EDR: Endpoint Detection and Response)を可能とするセキュリティソリューションを導入する
  • ネットワークトラフィックをフィルタリングし、内部システムと未知または不審な発信元との通信をブロックする
  • すべての端末にアンチウイルスソフトウェアを導入し、リアルタイム検出を有効にする
  • ドメインコントローラ、サーバ、ワークステーション、Active Directoryに不審なアカウントが存在しないことを確認する
  • 最小権限の原則に従ってアクセス制御を構成する
  • 未使用の通信ポートを閉じる
  • 受信したメールのリンクを無効にする
  • 管理者以上の権限をもつアカウントのアクセスに時間制限を設ける

さらに、サイバーセキュリティアドバイザリでは、アドバイザリで提供している「MITRE ATT&CK TACTICS AND TECHNIQUES」にマッピングされている脅威の動作について組織のセキュリティプログラムを実行、テスト、検証することを推奨している。また、2023年10月の時点で米国連邦調査局から得られたセキュリティ侵害インジケータ(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。