ネットのサービスがランサム攻撃を受けると何が起こるのか ファイル転送サービスの事例

ランサムウェア攻撃ではファイルが暗号化されて身代金を要求される事例が多い。しかし、暗号化ではなく、他の目的を持った攻撃も広がっている。

[Matt Kapko，Cybersecurity Dive]

　サイバー当局は、Progress Softwareのファイル転送サービス「MOVEit」を利用している組織に対し（注1）、同社が2023年5月29日の週に公開したゼロデイ脆弱（ぜいじゃく）性の悪用に備えるよう警告した（注2）（注3）。

脆弱性を利用して何を盗もうとしているのか

　ランサムウェアグループClop（別名、TA505）は、2023年6月6日にダークWebでMOVEitに対する攻撃について声明を公表した。要求は何だろうか。

　ClopはMOVEitの脆弱性を悪用して何百もの組織からデータを外部へ持ち出した（注4）。被害者が彼らと連絡を取るための最初の期限を2023年6月14日に設定した。それまでに連絡がないと、組織の名前をリークサイトに掲載し、さらに2023年6月後半には盗んだデータを流出させると脅迫した。

　サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）とFBIは、2023年6月7日に共同勧告で次のように述べた（注5）。「TA505がこの脆弱性を素早く悪用した経緯と、これまでの攻撃キャンペーンを考慮すると、（今後も）プライベートネットワークとパブリックネットワークの両方において、パッチが適用されていないソフトウェアサービスの悪用（攻撃されること）が広範囲で起こるだろう」

　今回の事件は、2023年に起こったファイル転送サービスに関連するゼロデイ脆弱性の悪用としては3番目のものだ。これらの攻撃のうち2つにClopが関与している。同グループが2023年3月に悪用したFortraの「GoAnywhere」というファイル転送サービスのゼロデイ脆弱性の悪用もその一つだ（注6）（注7）。

暗号化よりもデータの持ち出しを試みる

　Clopは2020年と2021年に起きたAccellionのファイル転送サービスへのゼロデイ攻撃にも関与していた（注8）。同社のサービスは世界各国の3000以上の企業で利用されているという。「2021年以降の攻撃キャンペーンでは、Clopは暗号化よりもデータの外部への持ち出しを重視する傾向がある」と連邦当局は同勧告で述べた。

　今回の攻撃以前に、Clopが米国を拠点とする3000以上の組織と、その他の地域を拠点とする8000以上の組織に侵入したと、CISAとFBIは推定した。

　ReliaQuestのリック・ホランド氏（副社長兼CISO）は、Clopの戦術の変化を強調した。

　「Clopは危険なランサムウェアグループであり、純粋なランサムウェアだけでなく、盗んだデータを利用した恐喝をいち早く取り入れたグループの一つだ。ゼロデイ脆弱性を悪用する傾向があることから、Clopには他の恐喝グループを上回る技術があるのだろう。Clopは恐喝対象を選別することで知られており、最初は多くの組織を狙うが、身代金を支払う資金を持つ大きな組織に対してリソースを集中させることを好む」（ホランド氏）

　そのため、今回の広範な攻撃に巻き込まれた政府機関や都市、警察署からの情報を公開するつもりはなく、それらのデータは削除したとClopは主張している。"金にならない"と判断したからだ。

潜在的な被害者が大勢残っている

　ダークWebの声明で同グループが示した幾つかの内容から読み取ることができるのは、ClopがMOVEitのゼロデイ脆弱性を大規模に悪用したことによる潜在的な被害者の数だ。

　「Clopは被害者の数に圧倒されている」とMandiant Cyber Security Consultingのチャールズ・カーマカル氏（CTO）は2023年6月6日にLinkedInに投稿した（注9）。

　「以前の攻撃キャンペーンとは異なり、電子メールや電話で被害者に直接接触する代わりに、Clopは被害者自ら電子メールで連絡を取るように求めている。2023年6月14日までに連絡を取らない被害者の名前をClopのリークサイトに掲載するという脅しだ。これは大きな混乱を呼ぶだろう」（カーマカル氏）

　期限に達した時点で、Clopは被害に遭った数十もの組織の名前を公開した。米国の組織が多いものの、スイスやカナダ、ベルギー、ドイツに拠点を置く組織の名前もあった。

脆弱性の悪用はいつ始まったのか

　今回の脆弱性の悪用時期については、専門家の間でも意見が分かれている。Progress Softwareは、2023年5月29日以前にはMOVEitの脆弱性が積極的に悪用された事実を把握していないと述べた。Trustwave Holdingsは、少なくとも2023年2月からMOVEitのアプリケーションを悪用するソースIPの活動を観測していたと述べた。

　Mandiantは悪用を示す最も早い証拠の発見が2023年5月27日にさかのぼると発表した。2023年5月15日にMOVEitのインスタンスで偵察を行う攻撃者を確認したとも述べた。

　サイバー当局やインシデント対応をうたう企業、脅威ハンター、研究者は、組織が潜在的なリスクを評価し、対処するために、検出方法や侵害の指標、その他の観察された悪意のある活動に関する知見を共有している。

　2023年6月6日に、MandiantはMOVEitの顧客向けに31ページにわたる封じ込めと強化のガイドを公開した（注10）。

　ProgressはClopによるデータ漏えいの脅威や、被害組織の数に関する質問について回答を避けている。CISAやCrowdStrike（注11）、Mandiant（注12）、Microsoft、Huntress（注13）、Rapid7（注14）はインシデント対応と継続的な調査を支援すると述べた。

　「MOVEitのゼロデイ脆弱性キャンペーンはまだ初期段階であり、今後数週間ないし数カ月にわたって展開されるだろう。これまでの攻撃キャンペーンにおける被害者の数はまだ分からないが、脆弱なMOVEitソリューションをインターネットで公開した組織は侵害があったと仮定すべきだろう」（ホランド氏）

出典：Clop claims hundreds of MOVEit vulnerability victims（Cybersecurity Dive）

注1：Worries mount for MOVEit vulnerability, as likelihood of compromise expands（Cybersecurity Dive）

注2：NATIONAL VULNERABILITY DATABASE（nvd.nist）

注3：MOVEit zero-day vulnerability under active exploit, data already stolen（Cybersecurity Dive）

注4：What we know about the MOVEit vulnerabilities and compromises（Cybersecurity Dive）

注5：#StopRansomware: CL0P Ransomware Gang Exploits CVE-2023-34362 MOVEit Vulnerability（cisa）

注6：NATIONAL VULNERABILITY DATABASE（nvd.nist）

注7：Clop ransomware group triggers new attack spree, hitting household brands（Cybersecurity Dive）

注8：Accellion breach victim lists grows as Kroger discloses compromise（Cybersecurity Dive）

注9：June 6 update on the MOVEit mass zero-day exploitation campaign (CVE-2023-3436):（linkedin）

注10：MOVEit Transfer: Containment and Hardening Guide（mandiant.widen）

注11：Movin’ Out: Identifying Data Exfiltration in MOVEit Transfer Investigations（crowdstrike）

注12：Zero-Day Vulnerability in MOVEit Transfer Exploited for Data Theft（mandiant）

注13：MOVEit Transfer Critical Vulnerability CVE-2023-34362 Rapid Response（huntress）

注14：Rapid7 Observed Exploitation of Critical MOVEit Transfer Vulnerability（rapid7）