実際の攻撃事例から解説 身代金を支払わせるための「二重恐喝戦略」とは
ランサムウェア攻撃を仕掛ける犯罪者の中には技術的な優位性よりも、事前準備の緻密さに重点を置く者がいる。新聞社が攻撃された事例を紹介しよう。
有力な新聞ネットワークを攻撃したサイバー犯罪グループは巧妙な戦術を採った。ランサムウェア攻撃を仕掛ける際に技術的な優位性以外の部分に注力しているという。
身代金を支払わせるための「二重恐喝戦略」とは
ランサムウェア攻撃は2025年2月3日に発生した。どのような経緯をたどったのだろうか。
米国の大手新聞チェーンLee Enterprisesはこのサイバー攻撃についての内部調査の結果(注1)、攻撃者が重要なアプリケーションを暗号化し、一部のデータを流出させたことが判明したと発表した。同社はこの攻撃が財務状況に重大な影響を及ぼすと見込んでいる。
同社は米国証券取引委員会(SEC)に提出した報告書「8-K」において(注2)、「ランサムウェア」という言葉を使用していない。だが、インシデントに関する説明には、ランサムウェア攻撃の本質的な要素が含まれていた。同社の関係者は法執行機関に通報し、関係する全ての連邦や州の機関、消費者保護当局へ通知する予定だ。
同社は機密データや個人を特定できる情報が漏えいしたかどうかについて、引き続き調査中だ。
Lee Enterprisesは米国中西部の日刊紙「Omaha World Herald」や「Buffalo News」「St Louis Post-Dispatch」をはじめとする主要な地方新聞を発行して、全米25州、72の市場で事業を展開している。サイバー攻撃により紙媒体の発行が遅れ、請求や集金、取引先への支払いに影響が出た他、オンライン業務も一部制限されたという。
同社は2025年2月12日の時点で全ての紙媒体の発行が通常のスケジュールに戻ったと発表した。しかし、総収益の5%を占める週刊誌や、それに付随する出版物はまだ復旧していない。
Gartnerのカテル・ティールマン氏(バイスプレジデント兼アナリスト)によると、今回の危機は攻撃と業務への影響に対して、企業が適切に予防することの必要性を浮き彫りにしたという。
ティールマン氏は、「Cybersecurity Dive」に対して次のように述べた。
「多くの場合、サイバー攻撃によって重大な影響が生じるのはバックオフィスのシステムに支障が生じたときではなく、ビジネスオペレーションが影響を受けたときだ。企業は必要に応じて手動またはインターネット接続が不要な業務に切り替えられるようにしておかなければならない。そのような手順書を作ったとしても、実行できることを確認できていなければ、インシデント対応計画としては役に立たない」
証券取引報告によると、Lee Enterprisesは重要な業務機能を維持する一時的な対応として、取引を手作業で処理し、代替の配信方法を利用しているという。
同社はインシデント対応やフォレンジック調査、規制上の罰金、業務中断などを補償する包括的なサイバー保険に加入していた。ただし、この保険には控除額や補償範囲の制限がある。
その後どうなったのか
2025年3月3日時点で、Lee Enterprisesに対するサイバー攻撃について、状況がよりはっきりしてきた。犯行声明を出したのはランサムウェア・アズ・ア・サービス(RaaS)の「Qilin」を使う攻撃グループだ。
SentinelOneの研究者によると、攻撃グループは350GBのデータを盗んだと主張した。同グループは2025年3月5日に盗んだデータを流出させると脅したが、具体的な身代金の要求額は明らかになっていない。
SentinelOneのジム・ウォルター氏(脅威研究員)によると、Qilinグループは、2022年に「Agenda」ランサムウェアオペレーションがリブランドして登場した(注3)。同グループはリークサイトに約60件の被害者とされる情報を掲載している。
同グループが好んで用いる攻撃方法は、盗まれたまたは侵害された認証情報を悪用したり、スピアフィッシングを通じて侵入したりすることだ。
ウォルター氏によると、Qilinグループは「Linux」と「Windows」システム用のペイロードを持っており、仮想化環境(「VMware ESXi」環境)を頻繁に標的にしている。
Darktraceの研究者によると、Lee Enterprisesへの攻撃は、Qilinの二重恐喝戦略の全ての特徴を備えていた(注4)。まず、機密データを盗み、残ったデータを暗号化することで、被害者に身代金を払うように複数の圧力ポイントを作り出す。
「Qilinの特徴は必ずしも技術的に洗練されているところではない。忍耐強く、綿密なアプローチを採ることにある。広範囲にわたる偵察の後、暗号化証明書を使用して通信を偽装し、正当なものであるかのように見せかけ、最終的な攻撃を仕掛ける前に、何を盗むかを慎重に厳密に選択する」(Darktraceのトビー・ルイス氏《脅威分析部門の責任者》)
出典:Lee Enterprises says cyberattack will likely have material impact(Cybersecurity Dive)
注1:Lee Enterprises investigating cyberattack that disrupted operations across multiple news outlets(Cybersecurity Dive)
注2:LEE ENTERPRISES, INCORPORATED(SEC)
注3:Agenda (Qilin)(SentinelOne)
注4:Qilin Ransomware: Detection and Analysis(Darktrace)
© Industry Dive. All rights reserved.
関連記事
ランサム攻撃を発見する陰の実力者 EDRよりも優れていたのは【読者調査】
ランサムウェア攻撃は激化を続け、対策を打たなければ自社が危険にさらされる段階に入った。攻撃の結果、どのような被害を受けたのだろうか。誰が攻撃を検知したのだろうか。
ランサムウェア攻撃を受けたとき、身代金を払う前にやるべき10のこと
ランサムウェアに備えるには防御策を固めると同時に、いざ攻撃が受けたときにすべきことを事前に決めておくことが必要だ。
あなたの会社を狙う「ランサムウェア」 その対策で守り切れますか?
ランサムウェアはサイバー攻撃の中でも特に危険だ。「自社の業務が1カ月単位で停止したらどうなるか」を考えれば、無策というのはありえない。ランサムウェアの脅威や攻撃の糸口、対抗策をもう一度抑えておく必要がある。