mailinspector’s blog

安全なメールへのご案内

カナダ・トロント州公共部門、ランサムウェア攻撃急増でサイバーセキュリティ非常事態

 

要約

サイバー攻撃が日増しに増加する中、公共機関もその被害から逃れることはできません。トロント国立図書館は、10月末にランサムウェア犯罪組織「Black Basta」からのメール攻撃を受け、大きな被害を受けました。メール内の悪意のある添付ファイルやURLを通じて犯罪が行われましたが、こうした攻撃は日常生活の中でも無意識のうちにクリックしてしまうことが多く、多くの人々を犯罪の標的にしやすいため、特に注意が必要です。国際電気通信連合(ITU)の国際メールセキュリティ標準に明記されている攻撃タイプと対応策を把握すれば、効果的な対応が可能です。

 

 

 

1. 概要

 

Deloitteの調査によると、すべてのサイバー攻撃の91%は、被害者に送られる標的型メールから始まります。数年にわたるメディアや企業のセキュリティプログラムを通じて、ユーザーにメールの危険性やその検出方法についての広範な教育を行ってきたにもかかわらず、これらの攻撃は依然として進化しています。

欧州連合サイバーセキュリティ庁の最近の研究結果は、サイバー攻撃の主要な木y表として浮上している政府および公共機関の行政の脆弱性に注目しています。政府や教育機関のような高価値なデータを持つ公共機関は、市民記録、財務情報、政府運営データなどを含む膨大な量の機密データを保有しています。これらの情報は、身元盗用や金融詐欺、ダークウェブでの販売によってサイバー犯罪者が収益化できる手段となり得るため、容易に標的とされます。また、日常生活と関連する重要なインフラやサービスを管理していることが多いため、フィッシングメール攻撃によって重要なサービスが中断されると混乱が生じる可能性があり、問題を迅速に解決する必要があるという緊迫感と圧力が生じます。そのため、攻撃者の身代金要求に応じる確率が高くなります。こうした高度なサイバー攻撃戦術に技術的に対処するためのセキュリティソリューションを記事で詳しく見ていきたいと思います。



 

2. サイバー攻撃事例分析 - 攻撃タイプ

 

ヨーク大学(2020年)、TTC(2021年)、ロンドン公共図書館(2023年)、トロント動物園(2024年)など、カナダの公共機関に対するランサムウェア攻撃は2020年から継続的に発生しています。カナダサイバーセキュリティセンター(Canadian Centre for Cybersecurity)の2023~2024年国家サイバー脅威評価報告書によれば、ランサムウェアは「カナダの組織が直面している最も破壊的な犯罪の一形態」とされています。このような攻撃のタイプや、被害を事前に防ぐための対策ソリューションについては、UNの専門機関であるITU(国際電気通信連合)の国際標準に詳細に説明されています。この記事では、サイバー攻撃の形態を分析し、タ標的となる企業が事前に予防できるようになることを目指しています。

 

2023年10月29日(日曜日)、トロント公共図書館TPL)の支店長は上司から「コンピュータにアクセスできないので、連絡先リストを確認し、他のスタッフに同じ問題が発生していないか確認するように」との指示を受けました。確認してみると、tpl.caのメインサイトがオフラインにされ、オンラインアカウントにアクセスできず、公共コンピュータや図書館支店の印刷サービス、「マイアカウント」機能などのサービスも利用できなくなっていました。

TPLの関係者は、全体のコンピュータシステムがダウンしたにもかかわらず、攻撃が特定のランサムウェアによるものだとは考えておらず、攻撃者が誰であるかも確認していませんでした。被害発生から48時間後、図書館の職員を支援するためにサイバーセキュリティニュースを提供するオンラインメディア『BleepingComputer』が、TPLワークステーションに表示されたランサムノートを確認し、その感染の後に「Black Basta」ギャングが攻撃の背後にいることを明らかにしました。

今回の攻撃者は、フィッシングメール、損傷したZIPファイルのウェブサイト(URL)、およびマルウェアに感染した添付ファイルなどの手段でコンピュータネットワークへのアクセス権を得ることを目的としました。感染したZIPファイルをユーザーがダウンロードすると、マルウェアがネットワークに侵入し、アンチウイルスシステムを無効化し、いわゆるミラーサイト(バックアップ)のデータを含むデータストレージを探し出して、それらのファイルを暗号化し、ネットワーク所有者がアクセスできないようにプログラムされていました。攻撃者は、ネットワーク所有者がデータに再びアクセスできるようにするために暗号通貨での支払いを要求したり、盗んだデータを公にアクセス可能なサイトに公開すると脅迫しました。

 

ブラックバスター攻撃の流れ

出典: パロアルトネットワークス ユニット42

 

メールセキュリティ標準では、上記の事例に該当するハッキングを「7.1 Malware email attacks」(7.1 マルウェアメール攻撃)として定義しています。マルウェアを利用した攻撃は、主にURLを介した二次的またはそれ以上の経由地に誘導するフィッシングメールと、添付ファイル内のURLにマルウェアを埋め込む形で行われる2種類に大別されます。

 

国際メールセキュリティ標準であるITU-T X.1236では、[7.1.2 Malware in an attachment](添付ファイル内のマルウェア)と[7.1.3 Malware in uniform resource locator](URL内のマルウェア)を次のように定義しています。

  • 7.1.2 Malware in an attachmen:攻撃者がドキュメント、画像、ビデオなどの形式でメールに含まれた添付ファイル内にマルウェアを隠すタイプの攻撃です。実行ファイルを使用する場合、送信者のアドレスをスプーフィングして、受信者がマルウェアが含まれたメールを開くように誘導することができます。
  • 7.1.3 Malware in uniform resource locator:ユーザーを悪意のあるウェブサイトに誘導するために、メール内にクリック可能なマルウェアを含むリンクを挿入する方法です。これは、メールが配信されるタイミングや、メールまたは添付ファイル内のURLをクリックしたときにマルウェアが実行される攻撃である可能性があります。 

 

 

 

3. サイバー攻撃事例分析 - ソリューション

 

このようなマルウェアを含む添付ファイルや悪意のあるURLから貴重な情報資産を保護するためには、国際標準を沿った対応策を遵守することが必要です。

国際標準の8.1番[Security requirements to counter malware email attacks](マルウェアメール攻撃に対するセキュリティ要件)と9.1番[Countermeasures for targeted email attacks](ターゲット型メール攻撃への対応策)を遵守することで、効果的に対応することができます。

 

添付ファイル内のマルウェア攻撃に対応するためには、以下のようなセキュリティ要件を遵守する必要があります。

 

  • 様々なファイル形式で偽造されたファイル拡張子を検出することを推奨します。

 

このようなセキュリティ要件を反映して、以下のようなソリューションを導入することで、添付ファイル内のマルウェア攻撃に対する先制的な対応が可能となります。

 

  • ビッグデータに基づく検査では、クラウドサービスを通じてユーザーの送受信すべてのメールデータを定期的にスキャンし、さらに検査が必要な悪意のある添付ファイルを抽出します。また、ビッグデータシステムに蓄積されたデータに基づいて、標的型メール攻撃のリスクがあるかどうかを判断します。この機能は、偽造されたファイル拡張子を識別・検出します。

 

URL内のマルウェア攻撃に対応するためには、以下のようなセキュリティ要件を遵守する必要があります。

 

  • 複数のリンク先(URL)内の最終目的地を追跡し、すべてのURLでマルウェアの有無検査を行う必要があります。

 

これらのセキュリティ要件を反映し、以下のようなソリューションを導入することで、この攻撃に対する先制的な対応が可能となります。

 

  • URL画像変換は、悪意のあるURLが添付されたと検知される危険な環境でURLリンクに接続するのを予防することができます。

 

このような先制的な対策を通じて、この攻撃タイプを持つメール攻撃の脅威を防ぐことができます。加えて、これらのメール攻撃タイプを把握し、対応策を講じるためには、国際標準に関する理解と、それに対応するソリューションの使用が重要です。Mail Inspectorプラットフォームには、これらの機能要件を反映したソリューションを提供しています。



 

4. 結論

 

組織化されたサイバー攻撃は政府を揺さぶることができます。政府はあらゆるサイバー攻撃の危機にさらされており、その被害は職員や一般市民に責任が転嫁されます。メールセキュリティ標準は、高度化されるメール攻撃に対応するためのソリューションを提供する中心的な役割を果たしています。ITU-T X.1236に基づいてメールセキュリティを診断することは、ハッキング技術に対する予防的な防御戦略と言えます。メールセキュリティ標準の遵守に関する診断は、Mail Inspectorで解決できます。

 

 

 

参照

 

<サイバー攻撃全体の91 %は、予期せぬ被害者へのフィッシングメールから始まります>

https://www2.deloitte.com/my/en/pages/risk/articles/91-percent-of-all-cyber-attacks-begin-with-a-phishing-email-to-an-unexpected-victim.html

 

<SPACING INVESTIGATIONトロント公共図書館ランサムウェア攻撃、PT.I>

https://spacing.ca/toronto/2024/03/27/spacing-investigation-toronto-public-library-ransomware-attack-pt-ii/

 

<ブラックバスタ・ランサムウェア攻撃による公共図書館の停止に関して>

https://www.bleepingcomputer.com/news/security/toronto-public-library-outages-caused-by-black-basta-ransomware-attack/

 

<トロント公共図書館ランサムウェア攻撃で盗まれたデータを確認した。>

https://www.bleepingcomputer.com/news/security/toronto-public-library-confirms-data-stolen-in-ransomware-attack/

 

<脅威の評価: Black Bastaランサムウェア>

https://unit42.paloaltonetworks.com/threat-assessment-black-basta-ransomware/