70カ国を狙うランサムウェア集団「Ghost」の攻撃を防ぐ方法とは

ランサムウェア攻撃は特定の目標を狙う場合もあれば、的を定めずに広範囲を狙う場合もある。広範囲を狙う攻撃を避ける方法があるという。

[David Jones，Cybersecurity Dive]

　政府当局はランサムウェア攻撃集団「Ghost」が特定のソフトウェアやファームウェアに依存しているインターネット接続サービスを広く攻撃しており、2025年1月には攻撃に成功したと警告した。

70カ国を狙うランサムウェア集団「Ghost」の攻撃を防ぐ方法とは

　このような標的を定めないランサムウェア攻撃を防ぐ方法があるという。

　2025年2月19日に警告文章を公開したのは米国の連邦当局だ。連邦捜査局（FBI）やサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）などの勧告によると（注1）、この攻撃に関連している脅威グループは「Cring」とも呼ばれており、中国に拠点を置いている。

　同グループは2001年以降、学校や医療機関、政府機関、製造業者をはじめとするさまざまな重要インフラプロバイダーを標的にしてきた。

　勧告によると、Cringは「FortiOS」や「Adobe ColdFusion」「Microsoft SharePoint」「Microsoft Exchange Server」の脆弱（ぜいじゃく）性を利用する。

　CISAとFBIは経済的な動機を有するさまざまな脅威グループが主要産業を標的にしていると警告しており、今回の共同勧告もその一環だ。

どのようにランサム攻撃が進むのか

　勧告によると、Ghostは侵害されたサーバにWebShellをアップロードする。その後、「Windows」のコマンドプロンプトやPowerShellを利用して、商用ペネトレーションツール「Cobalt Strike」をダウンロードする手法を駆使しているようだ。通常、標的のネットワークに攻撃者が滞在するのは数日間のみであり、侵入に成功した当日にランサムウェアを展開するため動きが素早く、対応が難しい。

Cobalt Strikeはどのようなソフトウェアなのか

　Cobalt Strikeは2012年に開発されたレッドチーム演習やペネトレーションテストを目的とした攻撃シミュレーションのための商用ツールだ。Fortraが提供する。サイバーセキュリティの専門家がネットワークの脆弱性を評価して、実際の攻撃者の戦術や技術、手順を模倣するために使う。

　ビーコンやポストエクスプロイト、秘匿通信、フィッシング、攻撃ツール、チーム連携などの機能を備えており、悪用されると非常に危険だ。

　コマンドと制御機能を提供するビーコンと呼ばれるエージェントを利用でき、システムに侵入した後は、ポストエクスプロイト機能を用いて、PowerShellスクリプトの実行やキーストロークの記録、スクリーンショットの取得、ファイルのダウンロード、権限昇格、水平移動などの機能を提供する攻撃モジュールを利用できる。

　サイバー攻撃者はFortraの正規のソフトウェアをクラックして不正に利用している。（キーマンズネット編集部）

　脅威グループは共通脆弱性識別子（CVE：common vulnerabilities and exposures）で管理されている「CVE-2018-13379」「CVE-2010-2861」（注2、3）、「CVE-2021-31207」（注4）、「CVE-2021-34473」などの古い脆弱性を悪用していた（注5）。

悪用されている古い脆弱性の内容は

CVE-2018-13379
　この脆弱性を悪用すると、攻撃者は認証されることなくFortiOSシステムファイルを読み取ることができ、機密情報が漏えいするリスクがある。FortiOSに存在するSSL VPN機能の不適切なパス制限という脆弱性だ。

CVE-2010-2861
　Adobe ColdFusionで遠隔地の攻撃者が任意のファイルを読み取ることが可能になる。特定のパラメータを操作することで、システム内の機密ファイルにアクセスできるため、情報漏えいにつながりかねない。この脆弱性はAdobe ColdFusionの管理コンソールに存在するディレクトリトラバーサルの脆弱性だ。

CVE-2021-31207
　 攻撃者がこの脆弱性を悪用すると、Microsoft Exchange Serverで遠隔操作によるコード実行が可能になり、システムの完全な制御を奪われるリスクがある。Microsoft Exchange Serverにおけるセキュリティ機能のバイパスを可能にする脆弱性だ。

CVE-2021-34473
　特定の条件下で攻撃者がMicrosoft Exchange Serverを通じて悪意のあるコードを実行し、システムに対する完全なアクセス権を得ること可能になる。Microsoft Exchange Serverに関連するリモートコード実行の脆弱性だ。（キーマンズネット編集部）

　以上の脆弱性は古い。つまり、対策の第一は次の（1）だ。

（1）脆弱性の管理
　自社が利用しているOSやソフトウェアの一覧を作り、ベンダーやCISAなどが発表する脆弱性情報を確認しながら、ソフトウェアを計画的に更新する。

　当局はセキュリティチームに対して、攻撃から身を守るために脆弱性の管理の他、次の4つの対策を講じるよう推奨している。

（2）ネットワークのセグメント化
　攻撃者の侵入を許したとしても横方向の移動を制限でき、重要な情報にアクセスしにくくする。

（3）特権アカウントと電子メールサービスアカウントに対するアクセスの保護
　フィッシングに耐性のある多要素認証を義務付ける。

（4）PowerShellの不正使用を監視する
　PowerShellは強力で攻撃者が頻繁に利用するため、特に監視が必要だ。

（5）使用していないポートを閉じる
　攻撃者が入り込む入り口を閉じる効果がある。ポートスキャンを実行して攻撃対象を探し出す行為は珍しくない。情報通信研究機構が2023年に発表した「NICTER観測レポート」によれば、2023年に観測した全パケットのうち、約63.8％が調査スキャンのパケット数、つまりポートスキャンだったという。

出典：US authorities warn Ghost ransomware leverages older CVEs（Cybersecurity Dive）
注1：#StopRansomware: Ghost (Cring) Ransomware（CISA）
注2：CVE-2018-13379 Detail（NIST）
注3：CVE-2010-2861 Detail（NIST）
注4：CVE-2009-3960 Detail（NIST）
注5：CVE-2021-34473 Detail（NIST）