2024年暗号資産ハッキング被害総額が過去最高に
ric.rip.ccc@gmail.com
安全に生きたい
Clopランサムウェアグループが新たな攻撃:66社に身代金要求
ric.rip.ccc@gmail.com
こんにちは!
今回は、世界でも最も危険なサイバー犯罪グループの一つとされるClopによる新たな攻撃について、緊急報告をお伝えします。
Contents
Clopとは
Clopランサムウェアグループは、ロシアを拠点とする高度なサイバー犯罪組織です。グループ名の「Clop」(またはClop)は、英語の「Clop」(馬のひづめの音)に由来するとされています。
主な特徴
- 高度な技術力
- 組織的な攻撃の実行
- 巧妙な二重恐喝戦術
- 法執行機関による取り締まりの困難さ
新たな攻撃の概要
Clopランサムウェアグループが、データ窃取攻撃の新たな被害企業66社に対して身代金要求を開始しました。攻撃者たちは、ダークウェブ上のポータルサイトで、48時間以内の応答を要求しています。
攻撃者の要求
- 被害企業に直接連絡
- 身代金交渉用の専用チャットチャンネルを提供
- 連絡用メールアドレスも公開
- 48時間以内に応答がない場合、企業名を完全公開すると脅迫
使用された脆弱性
今回の攻撃では、Cleoの製品における未知の脆弱性(ゼロデイ脆弱性)が悪用されました:
- 影響を受ける製品
- Cleo LexiCom
- VLTransfer
- Harmony
- 脆弱性の詳細(CVE-2024-50623)
- ファイルの無制限アップロード/ダウンロードが可能
- リモートでのコード実行が可能
- リバースシェルの開設に悪用
Clopグループの実態
Clopは、世界で最も活発なランサムウェアグループの一つとして知られています。
特徴的な攻撃手法
- ゼロデイ脆弱性の積極的な活用
- 大規模な企業を標的に
- ファイル転送製品への執着
- 高額な身代金要求
- 二重恐喝戦術の採用(データの暗号化と窃取)
主な攻撃履歴
- MOVEit Transfer攻撃(2023年)
- 世界中で数百社に影響
- 推定被害額10億ドル以上
- 政府機関も被害
- GoAnywhere MFT攻撃(2023年)
- 130社以上が被害
- 医療機関や金融機関も標的に
- 数か月に渡る攻撃キャンペーン
- Accellion FTA攻撃(2021年)
- 100社以上が被害
- 機密データの大量流出
- グローバル企業に甚大な被害
- SolarWinds Serv-U攻撃(2022年)
- 重要インフラへの侵入
- システム管理者権限の奪取
- バックドアの設置
対応状況
メーカー側の対応
Cleoは以下のバージョンで修正プログラムを提供:
- Harmony 5.8.0.21
- VLTrader 5.8.0.21
- LexiCom 5.8.0.21
セキュリティ研究者の警告
セキュリティ企業Huntressが以下の事実を公表:
- 脆弱性が積極的に悪用されている
- 提供された修正プログラムにも抜け道がある
- 実証用の攻撃コードも公開
影響の規模
- Cleoの製品は世界中で4,000以上の組織が使用
- 現時点での被害組織の総数は不明
- 公開された部分的な企業名から、一部の被害者を特定可能
企業が取るべき対策
- 緊急の対応
- Cleoの製品を使用している場合、即座にアップデート
- ネットワークの監視強化
- 不審な活動の確認
- 中長期的な対策
- セキュリティアップデートの適用体制の見直し
- インシデント対応計画の確認
- バックアップ体制の強化
- 被害を受けた場合の対応
- 法執行機関への通報
- セキュリティ専門家への相談
- 利害関係者への適切な情報開示
教訓
今回の事例から学べる重要なポイント:
- ゼロデイ脆弱性の脅威
- 未知の脆弱性は常に存在
- 迅速な対応の重要性
- 多層防御の必要性
- サプライチェーンリスク
- サードパーティ製品の管理
- 脆弱性情報の収集
- 迅速なパッチ適用
まとめ
Clopグループの攻撃は、企業のセキュリティ体制の重要性を改めて示しています。特に、サードパーティ製品の管理と迅速な脆弱性対応の重要性が浮き彫りになりました。
引き続き、この事態の進展を注視していきたいと思います。
※この記事は2024年12月24日時点の情報に基づいています。最新の情報は公式発表をご確認ください。
