  |
はてなキーワード: ランサムウェアとは
Akira Ransomwareは、近年特に注目されているランサムウェアの一つで、その動作は高度で多様な手法を取り入れています。以下に、Akiraランサムウェアの動作について詳しく説明します。
侵入経路
Akiraは主にフィッシングメール、リモートデスクトッププロトコル(RDP)の悪用、既知の脆弱性の悪用などを通じてシステムに侵入します。特に、未修正のソフトウェアやシステムの脆弱性を狙うことが多いです。
初期感染と展開
システムに侵入すると、Akiraはネットワーク内で横移動を試みます。これは、ネットワーク内の他のデバイスにも感染を広げるためです。横移動には、認証情報の窃取や利用可能なネットワーク共有の探索が含まれます。
ファイル暗号化の前に、Akiraはターゲットシステムの特定のディレクトリをスキャンし、暗号化対象のファイルをリストアップします。次に、強力な暗号化アルゴリズム(通常はAESとRSAの組み合わせ)を使用して、ファイルを暗号化します。
最近のバージョンでは、部分的な暗号化手法(インターミッテント暗号化)を採用することで、暗号化速度を上げつつ、検出を回避する手法が確認されています (Bitdefender)。
データの窃取
暗号化に加えて、Akiraは重要なデータを盗み出し、そのデータを公開することで二重に脅迫することがあります。これにより、被害者に対する身代金要求の圧力を強化します。
暗号化が完了すると、被害者のデスクトップに身代金要求メッセージが表示されます。このメッセージには、データを復号化するための手順と支払い方法が記載されています。通常、暗号通貨(ビットコインなど)での支払いが求められます。
特徴的な技術
RustとC++の利用
Akiraの一部バージョンはRustというプログラミング言語で書かれており、これによりコードの安全性が向上し、セキュリティ研究者による逆コンパイルが難しくなっています。また、C++で書かれたバージョンも存在し、多様な環境での実行が可能です (CISA)。
VMware ESXiの標的化
Akiraは特にVMware ESXi仮想マシンを標的とすることが多く、これにより企業の仮想環境全体に影響を与えることができます。
Akiraは単純なファイル暗号化にとどまらず、データ窃取やネットワーク内での横移動、他のマルウェアの導入など、多層的な攻撃手法を組み合わせています。これにより、攻撃の成功率を高め、被害者に対するプレッシャーを強化します。
ランサムウェアによる暗号化を解除するためにドワンゴCOOの栗田穣崇さんが取締役会の承認を経ずに4億7千万円相当のビットコインをハッカー側に送金してしまった」というのが最大の注目点ではないでしょうか。私もこれにはとても驚きました。
さらに現在は「身代金をハッカー側に送金したことで味を占められて今度は13億円の追加の身代金を要求されている」という蟻地獄のような状況になっているようです。
これマジ?
グローバル企業は取引先候補として「IT脆弱国に本社があってサイバーセキュリティ軽視する企業」は選びたくないので、グローバル競争の中で負けるようになる→国力が落ちる
ドワンゴのランサムウェア攻撃で、こういう話がようやく一般人の間でも議論されるレベルになってきた? まだこれからかな?
世界中の政府、企業がランサムウェアの被害を受けててどこもIT脆弱だから、実際に競争の中で負けて国力がすぐ落ちるということにはならないけど、
5年、10年後は↑のような価値観も浸透しているかもしれない。
政府は調達条件でNIST SP800-171準拠を義務付ける形で政府と関係のある企業のサイバーセキュリティを底上げしようとしはじめてるのが
去年少し話題になったけど、IT脆弱国っていう評価は何としても避けなきゃいけない。サイバーセキュリティの理解があらためて広まることは良いことかな。
政府、サイバー対策で米基準義務付け 委託先1000社超に 23年度中に指針変更 アクセス制限や通信管理など
https://www.nikkei.com/article/DGXZQOUA2899V0Y3A420C2000000/
ランサムウェアに感染してトラブってる時点で「漏洩してない」っていうのは苦しくないか
復号できた実績があるほど、信頼できるランサムウェア犯罪グループとして次の被害者が払ってくれる可能性が高まるじゃん。
