みなさま、こんにちは。

昨年（2022年）末にMBSDに入社したリサーチャー兼エバンジェリストの福田美香と申します。

2回目の投稿になります。今回もよろしくお願いいたします。

さて、 初めましての方向けに、私が月イチで発信する「新人福田のランサム統計だより」についてのご説明です。 このブログは、私が所属するCyber Intelligence Group（以下、CIGチーム）が、2023年2月から一般公開をはじめたランサムウェア攻撃の統計情報を中心に、毎月簡単なコメントを添えつつ情報発信するためのものです。 セキュリティ業界に入ってまだ3年ほどのアラサー新人・福田が、ランサムウェアの統計情報をゆるくご紹介するものです。 本人も勉強しながら執筆していく予定です！ セキュリティ関係の技術ブログとは違い、かなり肩の力を抜いて読んでいただけるものだと思います。 また、統計情報の全データはこちらのマンスリーレポートから確認できます。 なお、ブログの発信者である福田については、初回のブログにて厚めの自己紹介をしているので、こちらをご覧ください！

最近は春の日差しも感じられ、花粉症の方にはつらいかもしれませんが、気持ちの良い季節になってきました。息子は今月で初めてのお誕生日を迎えます。
妊娠中も、息子が生まれてからも、分からないことだらけで大変でしたが何とか1歳まで成長させることができてほっとしています。息子と夫ちゃんに、感謝の気持ちでいっぱいです。

それから、MBSDにも感謝です。
育休明けでの転職は不安でしたが、入ってみたらとても働きやすい環境でした。
小さな子がいると看病で急なお休みが必要となる状況が少なくなく、世のお母さんたちは苦労されると思います。MBSDでは入社した月に有給がもらえましたし、看護休暇も有給でお休みできとても助かりました。
そのような制度も整っている上に、チームメンバーもとても気を遣ってくださっています。

もちろん大変な時もありましたが、素晴らしい環境の中だからこそなんとかなっているのだと思います。
自分もいつか、子育てパパ・ママを支えられるような人員になりたいなと思います。

義両親からもらった仕掛け絵本 最近義両親からこの絵本をもらいました。 ドーナツやトマトなどが書かれた小さい円盤状の物を、直接指で動かしたり、絵本を回転させることで動かしたりする絵本です。すっかり息子も夢中です。

さてさて、やっぱり今回も前置きが長くなってしまいました！
そろそろ本題、マンスリーレポートの紹介に参りましょう　☆

今回も私の気になった2月のニュースご紹介の後に、マンスリーレポートにある統計情報からいくつか抜粋してご紹介します！ではよろしくお願いいたします。

1. 私が気になった2月のランサム関連トピック

初旬に発生したVMWareのマシン、ESXiを狙ったランサムウェア「ESXiArgs」が印象的です。欧州を中心とした世界各国で攻撃が発生し、話題になりました。このランサムウェア自体は昨年から存在していましたが、数千の被害を一気に出したことで世界的に取り上げられました。

このランサムウェアの復号ツールが、なんと爆発的感染から1週間後にCISA (Cybersecurity & Infrastructure Security Agency)というアメリカの政府機関によって公開されました。さらにその後、その復号ツールが使えない亜種が確認されました。

こういった動きはLockBitにも過去にありました。（LockBit2.0で復号が簡単にできてしまうという点が指摘され、それをLockBit3.0で修正しました。LockBit3.0ではバグバウンティプログラムを取り入れ、実際にバグの報告があったことをリークサイト上で公開しています。）

ただ単純に、今後も活動を続け少しでも多くの金銭を窃取するために、いち早く修正を行ったという側面もあるとは思いますが、ランサムウェア攻撃者がこうして素早い対応を見せる効果は他にどんなものがあるでしょうか？

RaaS（サービスとしてのランサムウェア）の形態をとっている場合、ランサムウェアの開発や運用を行うコアメンバーと、実際に侵入・攻撃を行うアフィリエイトという二つの立場が存在します。

LockBitのようにRaaSの形態で活動するランサムウェアの運営者としては、より優秀なアフィリエイトに参加してもらうため、自身のツールの優位性や有効性をアピールできるという効果が一つ挙げられるでしょう。

別の観点の話になりますが、
復号ツールの公開は被害者の救済に繋がる一方で、攻撃者側にそのランサムウェアの弱点を気づかせることになります。
結果としてランサムウェアのさらなる改良へ繋がってしまうという側面は、非常に難しい問題だと感じます。

気になったトピックをもう一つ紹介させていただきます。

二つめは海外のランサムウェア攻撃グループへの制裁の動きについてです。
こちらも2月の初旬ですが、アメリカ合衆国とイギリスが共同でTrickbotと呼ばれるマルウェアを操るサイバー犯罪グループ（別名：Wizard Spider）に所属する7名に対し制裁措置をとりました。

TrickbotはRyukやContiなど複数のランサムウェアの展開に使用されていたことが分かっています。
この制裁により、今回のTrickbotグループのメンバーらが関与するランサムウェア攻撃に対する身代金の支払いは犯罪になり、攻撃者にとっては身代金の収益が得にくくなります。
RyukやConti自体は活動を停止していますが、彼らが現存する他のランサムウェア攻撃グループに関わっている可能性は十分にあるため、身代金窃取の予防・啓発に効果が期待できると思います。
ちなみに、英国ではサイバー犯罪グループに対する制裁措置は今回が初めてです。

さらにお隣の国・韓国でも初めて、サイバー犯罪グループ「Lazarus」など、4名の人物と7団体に対し制裁措置を発表しました。

こうした動きが世界各国に伝搬することも予想され、今後ランサムウェア攻撃の動向に影響を与える可能性があります。

2. マンスリーレポート解説【2月分】

それではCIGチームがまとめたランサムウェア攻撃の統計情報を見ていきましょう！

• 月別内訳 被害国TOP10 ( 2022年12月～2023年2月 / 全世界 ）

今回はまず、ランサムウェアのリークサイトに掲載された被害組織が拠点としている国を集計した結果を見ていきたいと思います。あくまで、CIGが監視しているリークサイト上への掲載が確認できた情報のみを対象に集計しています。

それでは、12月から2月までのグラフを連続でお見せします！

Fig. 1 月別内訳 被害国TOP10 （ 2022年12月 / 全世界 ）

Fig. 2 月別内訳 被害国TOP10 （ 2023年1月 / 全世界 ）

Fig. 3 月別内訳 被害国TOP10 （ 2023年2月 / 全世界 ）

上のグラフで示す通り、被害国のトップはアメリカ合衆国（米国）である状況が続いています。

米国はインドに続いて世界第2位の企業数、中国・インドに続いて第3位の人口をかかえる国です。
加えて、政界屈指の有名企業もたくさんあります。
そう考えるとこの結果も納得です。

• 月別内訳 被害国TOP10 ( 2022年12月～2023年2月 / アジア ）

では続いて、今度はアジアの内訳を見ていきましょう。我々がリークサイト等で掲載を確認した組織のうち、アジアを拠点としている組織のケースを抜粋しています。
12月から2月のグラフを続けてお見せします！

Fig. 4 月別内訳 被害国TOP10 ( 2022年12月/ アジア ）

Fig. 5 月別内訳 被害国TOP10 ( 2023年1月 / アジア ）

Fig. 6 月別内訳 被害国TOP10 ( 2023年2月 / アジア ）

直近ではインドを拠点とする組織の被害がトップであるものの、全世界のグラフとは違い、特定の国が際立って狙われていると言える状況ではありません。
件数自体が少ないため、順位にもばらつきが出ています。
ちなみにこのグラフですが、被害件数が同じ場合は国名のあいうえお順で表記しています。1月のインドと中国、日本はともに被害数3件で同率トップです。

様々な国でランサムウェアの被害にあった組織があるということは、いつ自分の関連する組織が同様の被害にあってもおかしくないということです。
当たり前ですが、ランサムウェア攻撃グループは侵入できるところから侵入します。
基本的な対策が重要です。

ということで、ランサムウェア攻撃の基本的な対策をいくつかご紹介します。

3. ランサムウェア攻撃に対する基本的な対策の紹介

①　VPN機器は最新にアップデートする

最近リモートワークが増えてきて、VPN（仮想プライベートネットワーク）機器を使って会社のネットワークにアクセスすることもあるのではないでしょうか？これは逆に言えば、それらの認証情報が窃取できていれば、会社のネットワークに入れるということです。
VPN機器に対し脆弱性が発見されると、機器の提供を行っているメーカーは脆弱性を修正するアップデートを提供します。アップデートは提供されたらなるべく早く行ってください。
脆弱性を放置していた期間に侵入口（管理者権限を持つアカウントなど）を作成されていたり、認証情報をすでに窃取されていたりする場合、アップデートを行っても意味がありません。アップデート後は認証情報を必ず変更し、不審なアカウントがないかどうかを確認することも重要です。

②　組織のネットワークにアクセスするためのアカウント情報を厳重に管理する

①でお伝えしたVPNのアカウント情報や、リモートデスクトップ接続するためのアカウント情報は、きちんと管理されているでしょうか？
推測されやすいパスワードを使うと、総当たり攻撃で破られてしまいます。
また、他のサービスで使用していたアカウント情報が漏えいした場合、そのアカウント情報を用いて侵入を試みる攻撃者もいます。
パスワードは推測されにくいものにし、定期的に変更することに越したことはないのですが、不用意に定期変更することで、パスワードに関連性がでて推測されやすくなってしまうこともあります。
どのように運用するのかは、組織ごとにきちんと最適解を出す必要がありますね。

③　多要素認証（MFA）の導入

パスワードの入力以外に、異なる性質の本人認証を行うことで、より安全性が高まります。
SMSやアプリケーションなどによるワンタイムパスワードや、生体認証などが挙げられます。
多要素認証のプッシュ通知等は第三者の不正なログインに本人が気付くきっかけにもなります。

④　リモートデスクトップ接続についての制限

リモートデスクトップ接続は便利で強力な機能です。ただし、VPNを介さずに接続できる状態であるならば、かなり注意が必要です。
ダークウェブ上の販売サイトなどで、窃取されたリモートデスクトップ接続のアカウント情報が売買されています。

利用者が限定的であり固定IPアドレスが使える環境であれば、接続元のみを許可リストに設定するなどのアクセス制限が有効です。
動的IPアドレスのみ使用している場合は、やはりVPNを導入したほうがよいでしょう。VPN経由でのみアクセスできるように設定してください。

また、不必要にリモートデスクトップ接続の機能を有効にしていないか確認が必要です。

⑤　フィッシングメール、マルウェアを仕込まれた添付ファイル付きのメールに注意する

メールを経由するランサムウェア感染には、例えば以下のようなものが考えられます。

例1：メール本文に仕込まれたURLリンク先が偽のログイン画面になっており、
アカウント情報が窃取された結果、組織のネットワークに対する不正侵入が発生し、
ネットワーク内にランサムウェアを展開され感染してしまう。

例2：メールに添付されたファイルを開いた結果、最終的にマルウェア感染し、
そのマルウェアがランサムウェアを呼び込んでしまい、最終的にランサムウェアに感染してしまう。

攻撃者は自然なメールを装うことが多いです。
送信元であるアカウント情報がすでに攻撃者に漏れていて、メールの履歴や連絡先情報が分かっているため、簡単になりすますことができるからです。

メーラーで一見確かな送信元アドレスに見えても、

・メールヘッダーを詳細に解析すると海外の不審なIPアドレスから送信されているケース
・窃取されたメールの認証情報を使用し本物のメールサーバから送られたりするケース

である可能性があります。
メールに添付されたファイルに不審な点がないかどうか、そのURLで認証情報を入力して大丈夫かどうか、ワンクッションおいてから作業できると良いですね。

⑥　ブラウザは最新のバージョンにする

ブラウザを使って様々なWEBサイトを閲覧すると思いますが、ブラウザにもたびたび脆弱性が見つかります。
悪意のあるWEBページにアクセスするだけでマルウェアをダウンロードしてしまう、ドライブバイダウンロードと呼ばれる攻撃は、ブラウザの脆弱性などの悪用から起こります。
能動的にアップデートをチェックするという対策の他、最近のブラウザは再起動のたびにアップデートを自動で行えるものがありますので、閲覧が終わったブラウザはきちんと閉じて終了させるようにしましょう。

もちろん他に有効な対策はあるかと思いますが、今回は基本的な対策をいくつか紹介してみました。
これを機にぜひ確認してみてくださいね。

我々CIGチームがまとめている統計情報は他にもたくさんありますが、すべてをご紹介するとかなり長くなってしまうので、今回のブログで抜粋してお伝えするのはここまでとなります。
その他様々な観点の分析をまとめておりますので、ぜひマンスリーレポートをダウンロードしてご活用ください！

こちらのページからどうぞ　▼
https://www.mbsd.jp/report/

---------------------

今回も読んでくださりありがとうございました！

今回は最後に、子育てしながら働いて気づいた大変さや感じたことをテーマに少しお話ししたいと思います。

私の息子は今月で満1歳になります。
小さい子が家庭にいると、なかなか自分の都合でスケジュールを立てられなかったり、仕事も調整しにくかったりします。私はそこが、結構育児と仕事を両立する上で大変な部分だと感じています。

やりたいことならともかく、やらなければと思っていることができないのは、結構精神的にキツいですよね。それは働いていてもいなくても同じだと思います。
（育休中、自分の都合で食事やトイレもできずに、散らかった家で泣いている息子をあやしているときは、本当に本当にしんどかったです。）

私にとって息子は第一子なのですが、育児と仕事を実際にやってみて、
自分が無理をしてもどうにもならない世界があるんだなと感じました。
そうした葛藤と歯がゆさにこれだけのストレスを感じるとは、息子が生まれるまで想像していませんでした。

一方で、私は普段からチームのメンバーと密に連絡を取っていまして、私生活の相談もしやすい環境です。
だからこそ、こうしたストレスがあっても精神的に追い詰められることなく、毎日仕事ができています。
仕事の量に関しても最大限の配慮をしてもらっていて、身体的にも無理なく働いています。

相談の内容は本当に様々で、例えば、
家事の時間を減らすにはお掃除ロボットや乾燥機付洗濯機が便利だとか、
小さい子どものかわいい時期はあっという間なので写真はもちろん動く動画でとにかくたくさん思い出を残しておいた方が良い、とか
家以外で集中できるリモートワーク環境（空港の環境音が意外と心地いいというお話しも！）の話題だったり、
子どものお迎えなどの隙間時間を有効活用するのにレンタルオフィスが良いだったり・・・

そういった何気ないチームメンバーとの会話でホッとひといきついている感じですね。
もちろん、業務の中でどこを効率化できるかといったご相談もさせていただいています。

チームメンバーだけでなく、会社全体として、話しやすい方が多いのではないかと思います。
先日オフィスに出社した際に、先輩ママさんに話しかけてもらえました。
話しやすく、お仕事もてきぱきこなす方で、理想のワーママっていう感じです！
小さいお子様を子育て中ということで、ものすごく忙しそうな過密スケジュールでした。本当にお疲れ様です。

仕事と育児の両立は大変ですが、「大変だよね！」と言ってくれる人や話を聞いて理解してくれる人が家族以外にいると、それだけで気持ちが軽くなりますよね。

あと、小さいときはあっという間で、いつの間にか成長してしまうんだなと改めて認識できます。
今を楽しまなければ！という気持ちになりました。

家族以外のコミュニティ、本当にありがたいです。

息子と日中離れるのは正直かなりさみしいですが、私は育休中より今の方が生き生きと過ごせています。
息子をとてもかわいがってくれる保育園と、理解のあるあたたかい職場、チームのおかげです。

ありがとうございます！

来月もこのような感じでゆるく発信していきますので、ぜひ見てみてください　☆

お世話になっているおしりキレイ泡 離乳食が進み、例のアイツが固めになってきたときから愛用しているものです。本当に簡単に拭き取れるので、おしりふきを使う枚数がぐんと減ります。おむつかぶれしやすい敏感肌の子におすすめです。前述の先輩ママさんも愛用中だそう！