日本企業を標的にしている可能性があるとして、以前本コラムでも取り上げたランサムウェア「ONI(オニ)」について、米国のセキュリティ企業 Cybereasonは10月31日、その実態について詳しい考察を公式ブログにて公表しました。
この調査によると、「ONI」は少なくとも2017年7月から日本の企業を標的として活動をしていたとされています。さらに、「ONI」と同じ標的型攻撃で併用されたブートキットを利用した新種のランサムウェアが確認されています。Cybereasonではこのランサムウェアを「MBR-ONI」と呼んでいます。「ONI」と「MBR-ONI」との違いは、「ONI」はファイルを暗号化しますが、「MBR-ONI」はディスクパーティションを暗号化するため、システムへの影響がより大きくなります。
調査で確認された攻撃活動の概要は以下のとおりです。
この両ランサムウェアの使用について、Cybereasonでは、攻撃者の真の動機を隠すためのワイパー(システムの破壊目的)ではないかといった考えを示しています。
上記の活動内容から、「ONI」は社内ネットワークに入り込んでから暗号化を実施するまでの間にネットワークを完全に制御して、様々な活動を行っている可能性が見えてきました。例えば、侵入後に機密情報を盗んで他社に販売している可能性などもあると考えられます。暗号化はこれらの活動の証跡を消すための隠れ蓑とも捉えることができます。
更にCybereasonでは「ランサムウェアや痕跡消去やワイパーが関係する標的型攻撃が世界的に増加しており、それが日本でも確認された」としています。
こうしたことから、攻撃者のプロファイリングや、真のモチベーションの見極めが増々重要になってきています。
参考
【関連リンク】