Clopランサムウェア亜種のインシデント分析レポート

調査日: 2020-11-27

【Clopランサムウェア亜種分析】

Clopランサムウェアの亜種と推定される侵害事案が発生したため、状況確認と注意喚起を以下の通り報告いたします。

本レポートは、2020年11月22日(日)に発生したと推定されるClopランサムウェア亜種による社内複数システムへの被害事象に関する分析結果をまとめたものです。主にWindows 7以降の一般PCおよびサーバーOSが標的となり、ディスク全体およびネットワーク共有リソースが暗号化されました。具体的な侵入経路は現在調査中ですが、従来のClop攻撃の傾向に基づき、既知の脆弱性や設定不備を突いた侵入が想定されます。

  • 確認日時 2020年11月23日(月)
  • 被害発生日 2020年11月22日(日)頃、該当グループ社内にて複数被害を確認
  • 対象OS Windows 7以降の一般PCおよびサーバーOS全般
  • 攻撃対象 ディスク全体、ネットワーク共有データ

ランサムウェアの侵入経路と想定される攻撃手法

本件における直接的な侵入経路および拡散手法については現在調査中であり、特定には至っていません。しかし、過去のClop攻撃事例や入手したサンプルに基づき、以下の侵入経路が強く疑われます。

【サーバーおよびPC共通の懸念事項】

  • セキュリティ設定の不備を悪用した感染が発生し、主要なデータの流出に至った状況が確認されています。
  • 推測容易なパスワードの使用や、外部からのアクセス制御ポリシーの欠如がある場合、広く知られているリモートポート(RDP 3389、SSH 22)への接続が、SMB脆弱性を悪用した内部侵入の起点となる可能性が高いです。
  • 内部ネットワークへのアクセスを許可するVPN環境において、アカウント管理や接続システムに対するセキュリティアップデートが適用されていない場合、管理者アカウントの漏洩を契機とした大規模な内部感染・拡散のリスクが増大します。
  • サポートが終了し、セキュリティパッチが適用されていないOSやソフトウェアを使用し続ける場合、攻撃者の意図に基づいたシステム被害が発生する可能性が極めて高くなります。

【エンドユーザーPC環境に特化した懸念事項】

エンドユーザー環境では、セキュリティ遵守の徹底が不十分な場合に、マルウェア感染後の追加的なランサムウェア被害が発生するケースが多く見られます。

  • 業務連絡、履歴書、見積書などを装った悪性メールの添付ファイルを安易に実行する。
  • P2Pプログラム経由でダウンロードされた違法なコンテンツ(映画など)を偽装したファイルを実行する。
  • 脆弱なバージョンのブラウザ(例:Internet Explorer)を継続利用中に、悪性コードが埋め込まれたウェブサイトにアクセスしただけで、システム内にマルウェア(ランサムウェア)が侵入・実行される。

特に、Windows 7やWindows Server 2008/2008 R2は2020年1月14日をもってサポートが終了しており、セキュリティパッチが提供されていません。最新のWindows 10やWindows Server 2019環境であっても、新たなランサムウェアがシステム脆弱性を突いて実行される場合、感染および被害発生は避けられないと判断されます。

Clop亜種ランサムウェアの実行から暗号化に至るまでの主要な動作プロセスは以下の通りです。

  • Clopランサムウェアの実行後、実行コードをメモリ上に確保する。
  • 自己削除処理(Self-Deletion)を実行後、主要コードの実行を開始する。
  • ランサムウェア自身をシステムサービスとして登録し、実行権限を確保する。
  • 自己の重複実行をチェックし、システム権限の取得を試みた後、追加プロセスを実行する。
  • イベントログを削除し、ローカルドライブ全体をスキャンした後、暗号化処理を開始する。
  • ネットワーク経由で接続可能な領域を探索し、暗号化を試みる。
  • システムCドライブ内のファイルを対象に暗号化を実施する。
  • 暗号化完了後、ランサムノート(README_README.txt)を生成する。
  • 復旧費用の支払いを要求し、応じない場合は被害者のデータを公開すると脅迫する追加の要求を行う。

本亜種によるファイル暗号化が行われた場合、ファイル拡張子に変更が加えられ、身代金要求ファイルが生成されます。具体的な暗号化後の拡張子に関する情報は、現在調査中です。

の内容

被害者に対して復旧費用を請求し、支払いに応じない場合は窃取したデータ(データ漏洩/二重脅迫)を公開すると脅迫する文言が記載されています。具体的なノートの例は以下の通りです。

(※注:具体的なランサムノートの画像やテキストの抜粋は、本報告書では割愛しますが、一般的に攻撃者が使用する定型文に基づいています。)

【防御・予防策】

  • 最新のサポート対象オペレーティングシステムへの移行を強く推奨します。
    [サーバー: Windows Server 2012, 2016, 2019]
    [PC: Windows 10]
  • OSのセキュリティアップデートを常に最新の状態に維持してください。
  • セキュリティ脆弱性が未修正のブラウザ(IEなど)の使用は極力避けてください。
  • 出所不明のデータのダウンロードや、インターネット経由での動画の視聴・変換処理を控えてください。

【高度な防御策:Fileless対策】

本ランサムウェアは、実際のファイルとして存在しない形態(Fileless形式)での拡散が混在していると見られ、従来のシグネチャベースのアンチウイルス製品による事前検知が困難な特性を持ちます。

そのため、ランサムウェアの「振る舞い」に特化した検知機能を持つセキュリティ製品(例:挙動検知型ソリューション)による防御を最大限に図るべきです。加えて、セキュリティ脆弱性の最新化を維持し、重要データに対する定期的かつ隔離された環境へのバックアップを実施するセキュリティの基本原則を厳守してください。

(※注:本報告書に含まれる外部参照リンクは、セキュリティベンダーの関連動画情報に繋がるものと推測されます。)