Mortar Ransomware

マルウェアは、組織と個人の両方にとって、依然として最も深刻なサイバーセキュリティ上の脅威の一つです。現代のランサムウェア攻撃は、わずか数時間で業務を混乱させ、深刻な経済的損失をもたらし、機密情報を漏洩させる可能性があります。ランサムウェア攻撃グループの手口がますます高度化するにつれ、貴重なデータを保護し、事業継続性を確保するためには、強力なセキュリティ対策と積極的な防御策の維持が不可欠となっています。

Mortarランサムウェアの概要

Mortarランサムウェアは、サイバーセキュリティ研究者によって特定されたファイル暗号化マルウェアの一種です。この脅威は主に企業環境を標的としており、攻撃者は業務の中断を最大限に引き起こし、被害者に身代金の支払いを迫ります。侵害されたネットワークに侵入すると、Mortarはファイルを暗号化し、被害者固有の識別子に基づいた「README-[被害者のID].txt」という形式の身代金要求メモを残します。

このランサムウェアの特徴の一つは、ファイル名を変更する動作です。Mortarは暗号化中に、影響を受けるすべてのファイルに固有の被害者IDを追加します。例えば、元々「1.png」という名前だったファイルは「1.png.4RcrXfvVksS5ACA」になり、「2.pdf」のようなドキュメントは「2.pdf.4RcrXfvVksS5ACA」に変換される可能性があります。同じ識別子が身代金要求メモのファイル名にも使用されるため、被害者と攻撃が直接関連付けられます。

暗号化プロセスと身代金要求

Mortarはネットワークに侵入した後、文書、データベース、写真、その他の重要なビジネスファイルなど、幅広いデータを暗号化します。身代金要求のメッセージには、攻撃者がAES-256とRSA-2048の暗号化アルゴリズムを使用して被害者の情報をロックしたと記載されています。このような主張はランサムウェア攻撃者の間ではよく見られますが、最終的な目的は同じです。つまり、対応する復号鍵がなければデータにアクセスできないようにすることです。

身代金要求のメッセージには、ファイルを復元する唯一の方法は攻撃者から復号ツールを購入することだと記載されている。犯人は身代金の額を固定するのではなく、被害者をTorベースのポータルサイトに誘導し、ユーザー名とパスワードからなるログイン情報を提供する。この方法により、攻撃者は個別に支払いを交渉し、被害者組織の価値に応じて身代金の要求額を調整できる可能性がある。

暗号化されたファイルは復元できますか？

ランサムウェアによって暗号化されたファイルの復元は、攻撃者の復号メカニズムにアクセスできない限り、非常に困難な場合が多い。まれに、サイバーセキュリティ研究者が実装上のミスや暗号化の脆弱性を発見し、無料の復号ツールを作成できることがある。しかし、そのようなケースは稀であり、巧妙に設計されたランサムウェアの被害者は、多くの場合、限られた復旧手段しか得られない。

身代金を支払うことは、一般的にリスクの高い決断とみなされます。サイバー犯罪者は、身代金を受け取った後、正常に動作する復号ツールを提供する義務を負っていません。多くの被害者は、送金は行われたものの、復旧ツールが提供されなかったり、提供されたツールでデータが正常に復元できなかったりといった経験をしています。したがって、身代金を支払うことで、ファイルの復旧が保証されないまま、さらなる金銭的損失を被る可能性があります。

感染経路と攻撃手法

Mortarは、ランサムウェア攻撃で一般的に用いられる複数の攻撃手法を通じて被害者に到達します。中でもフィッシングは、最も蔓延している感染経路の一つです。攻撃者は、圧縮アーカイブ、実行ファイル、有害なマクロが埋め込まれたMicrosoft Office文書などの悪意のある添付ファイルを含むメールを配信します。これらのファイルが開かれると、ランサムウェアの展開プロセスが開始されます。

その他の感染経路としては、トロイの木馬化されたソフトウェア、偽のアップデートメカニズム、悪質な広告キャンペーン、信頼できないダウンロードポータル、非公式な経路で配布される海賊版アプリケーションなどが挙げられます。これらの手法は、ユーザーの信頼と不十分なセキュリティ対策を悪用してシステムへのアクセス権を取得します。

企業を標的とした侵入攻撃では、攻撃者はより高度な手法を用いる可能性があります。攻撃者は、脆弱な認証情報に対する総当たり攻撃によって、リモートデスクトッププロトコル（RDP）サービスを侵害しようと試みることがよくあります。また、インターネットに接続されたシステムの未修正の脆弱性を悪用して最初の足がかりを築き、ネットワーク全体に横方向に移動して、複数のデバイスに同時にランサムウェアを展開することもあります。

迫撃砲による感染への対応

Mortarが検出されたら、直ちに封じ込めることが極めて重要です。感染したシステムからランサムウェアを削除することで、さらなる暗号化活動を防ぎ、環境全体への被害拡大のリスクを軽減できます。ただし、マルウェアの削除とデータ復旧は混同しないでください。悪意のあるプログラムを削除しても、暗号化されたファイルが自動的に復元されるわけではありません。

最も確実な復旧方法は、攻撃発生前に作成されたクリーンなバックアップを復元することです。ランサムウェアによるインシデント発生時のバックアップリポジトリの暗号化を防ぐため、バックアップは本番システムとは別に保管する必要があります。安全で隔離されたバックアップを維持している組織は、サイバー犯罪者と関わることなくランサムウェア攻撃から復旧できる可能性がはるかに高くなります。

ランサムウェアに対する強力な防御策の構築

効果的なランサムウェア対策には、テクノロジー、ユーザーの意識向上、そして予防的なメンテナンスを組み合わせた多層的なセキュリティ戦略が必要です。組織は、攻撃者が悪用する脆弱性を排除するために、オペレーティングシステム、アプリケーション、ネットワーク機器を定期的に更新する必要があります。特にリモートアクセスサービスにおいては、強力な認証ポリシーを導入することで、不正侵入のリスクを大幅に軽減できます。

同様に重要なのは、堅牢なバックアップ戦略を策定することです。重要なデータは、侵害されたシステムからアクセスできないオフラインストレージや接続されていないストレージなど、複数の場所にコピーする必要があります。定期的なバックアップテストを実施することで、緊急時に復元手順が正しく機能することを確認できます。

主なセキュリティ対策は以下のとおりです。

• 定期的にバックアップを作成し、別の安全な場所に保存する。
• セキュリティアップデートやパッチが利用可能になり次第、速やかに適用する。
• 強力で固有のパスワードを使用し、多要素認証を有効にする。
• 不要なリモートアクセスサービスを制限し、ログイン試行を監視する。
• 従業員に対し、フィッシングメールや不審な添付ファイルを認識できるよう研修を行う。
• 信頼できるエンドポイント保護およびネットワーク監視ソリューションを導入する。

組織は、最小権限の原則を採用し、ユーザーにはそれぞれの役割に必要なアクセス権限のみを付与すべきです。継続的な監視、セキュリティ監査、インシデント対応計画は、Mortarのようなランサムウェア攻撃に対する耐性をさらに強化します。予防的な対策、迅速な検出機能、そして信頼性の高いバックアップシステムの組み合わせは、現代のファイル暗号化脅威に対する最も効果的な防御策です。

結論

Mortarランサムウェアは、貴重なデータを暗号化し、業務を妨害し、被害者に復号化のための身代金を支払わせる能力を持つため、企業ネットワークにとって深刻な脅威となります。攻撃者は、暗号化されたファイルに固有の識別子を付加し、被害者を専用の身代金ポータルに誘導することで、組織的かつ標的を絞った攻撃手法を用います。暗号化されたファイルの復旧は困難な場合もありますが、強力なサイバーセキュリティ対策を優先し、隔離されたバックアップを維持し、脆弱性に積極的に対処する組織は、ランサムウェア攻撃の影響を大幅に軽減し、組織全体のセキュリティ体制を強化することができます。