新種のランサムウェアRobbinHoodがアメリカの自治体を攻撃

 

Cities and government agencies are under attack from RobbinHood

最も広く企業、政府機関、消費者を脅かすマルウェアの1つとして、ランサムウェアは2019年も猛威をふるい続け、ほぼ毎日のように新種が現れています。中でもRobbinHood (原文のまま)と呼ばれる厄介な新種は、つい最近、北米の2都市、ノースカロライナ州グリーンビルとメリーランド州ボルチモアの重要なITシステムをロックし、対応する公共サービスを停止させました。

政府の情報機関はランサムウェアのギャング集団が、最近、地方や地域の行政機関を格好の餌食として積極的に狙うようになっていることを確認しています。というのも都市や郡、州は、できるだけ短いダウンタイムでデータのロックを解除し、構成サービスをオンラインで復帰させたいがために、すぐに高い身代金に応じる可能性が高いからです。

地方自治体を標的とした例はこの他にも枚挙にいとまがなく、ペンシルバニア州ワシントン、フロリダ州スチュアート、カリフォルニア州インペリアル郡、ユタ州ガーフィールド郡、ニューヨーク州オールバニー、テキサス州アマリロ、同じくテキサス州デル・リオ、ジョージア州ジャクソン郡、マサチューセッツ州レミンスター、オハイオ州クリーブランド・ホプキンス国際空港、ジョージア州オーガスタ・シティセンター、ニューメキシコ州タオスのスクールシステムなどが被害に遭いました。

事実、2018年にジョージア州アトランタ市を襲った悪名高いランサムウェアは、行政機関を狙った攻撃としては最も被害額が大きかったものの1つで、後処理の費用は最終的に1,700万ドルに達しました。

ランサムウェアRobbinHood の詳細

RobbinHoodの亜種は新たな作戦を2、3採り入れ、ますます厄介になってきています。

多くの有害なランサムウェアとは異なり、ワーム機能を使って拡散せず、個々のマシンを注意深く狙っているのです。いったん標的を感染させると(実際の攻撃ベクターは依然として謎のまま)、ウイルス対策やデータベース、メールサービス、そのほか、ファイルが開いたままだと暗号化の妨げとなる処理も含め、あわせて200近いWindowsサービスをシャットダウンしてしまいます。

そして標的のファイルをロックしたら、ロックを解除するキーと引き換えに何万ドルもの身代金を要求する脅迫状を提示。支払いを急かすために、攻撃の4日後から1日につき1万ドルの延滞料が加算していきます。

評判を失墜させるというリスク

もう1つの作戦が、インシデントを公にしないという暗黙の約束です。身代金の要求の中で、RobbinHoodの配信者は被害者のプライバシーに配慮しており、支払いが行われ次第、被害者のIPアドレスと暗号化キーを削除すると述べているのです。このメッセージは明らかに、迅速に支払いに応じることで、被害者は情報漏洩の開示義務、そして恐らくコンプライアンス違反に対する違反金の支払義務という不面目を免れることができる、と信じ込ませることが目的です。

どうやらRobbinHoodの背後にいる犯罪者は、攻撃のニュースが公になった場合に起こりうる処分に恐怖する官僚たちの心を弄んでいるようです。民間企業で起きていることを見れば、公共部門のリーダーたちにとってそれは十分な動機となるでしょう。

ランサムウェアRobbinHoodを阻止する

現時点では、成功したRobbinHood攻撃から身代金を払わずに回復する方法はありません。それに復号化キーを手に入れたとしても、それがちゃんと使える確率はわずか50%程度なのです。やはり、より良い方法は保護戦略に積極的に取り組むことでしょう。RobbinHood、そしてまだ見ぬ未来のランサムウェアを阻止する予防措置を取るのです。

もし現在、RobbinHoodのようなランサムウェアの脅威への対策を探して奔走しているなら、アクロニスがお手伝いできます。アクロニスならではのユニークなアプローチにより、使いやすくて信頼できるサイバープロテクションソリューションを、個人ユーザー、企業ユーザー、行政機関のユーザーに提供しているからです。

データ、アプリケーション、システムを安全に保つ

アクロニスでは、いずれのソリューションにおいても「サイバープロテクションの5つのベクトル」に取り組むよう設計しています。すなわち、Safety(安全性)」「Accessibility(アクセシビリティ)」「Privacy(プライバシー)」「Authenticity(真正性)」「Security(セキュリティ)」(SAPASと称します)を保証しているのです。

サイバー犯罪者が生み出す、進化し続けるオンライン上の脅威に対抗できるセキュリティを提供するため、アクロニスは業界初のAIベースのマルウェア対策を企業や行政機関を対象とした法人向け Acronis Backupと個人ユーザー向けAcronis True Imageに搭載しました。

Acronis Active Protectionというランサムウェア対策機能は、AI(人工知能)と機械学習(ML)を使用して、RobbinHoodを含む何千というランサムウェアの亜種を自動的に検知して停止し、被害から復旧します。また、検知方法が「ふるまい」に基づいているため、署名ベースのウイルス対策ソリューションよりも、効果的にゼロデイ(未知の)ランサムウェア攻撃を阻止することができます。事実、昨年は40万件のランサムウェア攻撃を停止させることに成功しました。

Acronis Active Protection detects RobbinHood ransomware

(実は、RobbinHoodには1点だけ自慢できることがあります。Acronis Active Protectionは首尾よく攻撃を検知して終了させたのですが、RobbinHoodもAcronisの警告機能をシャットダウンすることに成功したのです。つまり、RobbinHoodによる感染はうまく阻止できましたが、攻撃があったという事実は、あとでAcronisバックアップログを調べるまで気づかれないままだったのです。この小さな問題については、近々予定されているリリースで修正してまいります。)

最後に

現在、RobbinHoodがニュースのヘッドラインに上がっているかもしれませんが、サイバー犯罪者は常に新たなランサムウェアのバリアントを生み出してユーザーの防御をくぐりぬけようとしています。従来のウイルス対策ソリューションは古いウイルスを捕まえられるかもしれませんが、そのような署名ベースの対策の分が悪いのは徐々に明らかになってきています。

オペレーティングシステムとアプリケーションに定期的に修正パッチをあて、さらに頻繁にきちんとバックアップを取ることで、ある程度、攻撃の影響を軽減することはできるでしょう。ただ、積極的なサイバープロテクションを行うならば、外見ではなくふるまいによって脅威を特定する、AIと機械学習を搭載した対策を採用して、ランサムウェア攻撃に後れを取らないようにする必要があります。

RobbinHoodであれ、この先現れるどのようなランサムウェアであれ、最善の防御策はAcronis Active Protectionと言えます。

ぜひ30日無料で使用できるAcronis BackupまたはAcronis True Imageを実際にお試しください。既にご利用いただいている個人ユーザーのお客様はAcronis True Image でAcronis Active Protectionがデフォルトで有効になっていますが、Acronis Backupをご利用いただいている企業ユーザーのお客様の場合は、ご利用前に当該機能を有効にしていただく必要がありますのでご留意ください。