カプコンは11.5億円支払い拒否！ランサムウェア被害でも身代金は払うべきでない理由

ランサムウェアの発見が難しい背景
狡猾なサイバー犯罪集団の罠

　サイバーセキュリティ対策会社であるサイバーリーズン・ジャパンは、そのウェブサイト上で、今回の進化型とも言えるRagnar Lockerによるランサムウェアの攻撃の特徴について、以下のように説明している。

　　　　　　　　　　　　　　　　　　　　◇

（一部抜粋）
　Ragnar Lockerの特徴は、自身がセキュリティツールによって検知されることを、これまで以上に巧みにかわしている点にあります。昨今では多くの企業・組織がサイバー攻撃対策の強化に取り組んでいるため、正面切って攻撃ターゲットのネットワークに侵入するのは難しくなってきています。

　そこでRagnar Lockerは、ターゲット企業・組織のシステムそのものではなく、システムの運用を請け負っているマネージド・サービスプロバイダー業者が利用する管理ソフトウェアの弱点を突き、侵入の足掛かりを確保します。

　続いて、Windowsの正規の管理ツールであるWindowsグループポリシーオブジェクト （GPO） を用いて、マルウェア本体が含まれるインストールパッケージファイルをダウンロードさせます。

　そして、同じく正規のツールであるPowerShellを用いて、ネットワーク内での偵察や攻撃を行います。これらのプロセスは正規のツールを使って動作するため、セキュリティツールによる検知を困難にしています。

　さらにRagnar Lockerは、仮想化ソフトウェア「Oracle VirtualBox」を用いて、仮想マシン上で動作するよう設定されます。仮想マシン内で具体的にどんな処理が行われているのか、外部からその詳細を知ることは容易ではありません。仮想マシンの外で動作しているセキュリティツールの側から見ると、Ragnar Lockerによる攻撃行動も「Oracle VirtualBoxによる正規のプロセス」としてしか認識できないため、やはり攻撃の検知を極めて難しくしています。

　　　　　　　　　　　　　　　　　　　　◇