Conti

Contiは、2020年5月に初めて確認されたランサムウェアの一種^[1]^[2]^[3]。ダークサイドなどこれまでのランサムウェアグループは医療機関などは標的にしない事を明言しているグループが多かったが、Contiは多数の医療機関を問答無用で標的にするなどその凶悪さが注目を集めている^[4]^[5]。アメリカのセキュリティ企業Palo Alto Networksは﹁私たちが追跡している数十のランサムウェアギャングの中でも際立って冷酷なランサムウェアの一つ﹂と表現している^[6]。 FBIが発表したフラッシュアラートによると、医療機関や救急医療機関のネットワークシステムを標的にした攻撃が1年間に少なくとも16件確認されている^[7]。

概要

Contiを開発しているのは、ロシアのサンクトペテルブルクとウクライナを拠点にしていると推測されるハッカーグループのウィザード・スパイダーで^[8]、同グループはランサムウェアRyuk︵英語版︶も運用している^[9]。サービスとしてのランサムウェア(RaaS)を提供しているが、他のグループとはやや異なり、身代金の一部を報酬としてアフィリエイトに支払うのではなく、ランサムウェアを運用した攻撃者に賃金を支払っている^[4]。脅威の詳細 Microsoft Windowsのすべてのバージョンが影響を受けることがわかっている^[1]。Mac OS、Linux、Androidは脅威を受けない^[10]。 Contiの攻撃者は、スピアフィッシング攻撃、リモート監視・管理ソフトウェア、リモートデスクトップソフトウェアなど、様々な手法やツールを用いてシステムに侵入する^[4]。セキュリティ企業Advanced Intelligenceは、ContiなどがLog4jの脆弱性︵詳細はLog4Shellを参照︶を悪用する手段を模索していると報告している^[11]。挙動システムに侵入すると、Windowsのバックアップであるボリュームシャドウコピーを削除しようとする^[1]。リスタートマネージャを使用して多くのサービスを停止させ、それらが使用しているファイルを確実に暗号化できるようする。リアルタイムモニターを無効にし、Windows Defenderアプリケーションをアンインストールする^[1]。 Contiは、ネットワークを通じて横方向に広がることで被害を拡大させようとする。デフォルトの動作では、ネットワークのServer Message Blockドライブを検出しようとし、ローカルと同様にすべてのファイルを暗号化させる^[10]。このランサムウェアは、最大32個の個別の論理スレッドを使用するAES-256を実装しており、他のランサムウェアよりもはるかに高速で暗号化する^[1]。その結果、デバイスのCPU使用率、機能、パフォーマンスにも影響が出るが、Contiは発見されるリスクよりも迅速に暗号化することで任務を達成しようとする^[10]。暗号化するとシステムに致命的なダメージを与えるWindows、boot、tempといったフォルダや、.DLL、.exe、.sys、および.lnkといった拡張子のファイルは暗号化から除外される^[1^]。またオプション設定によっては、特定のドライブや個々のIPアドレスをターゲットにすることもできる^[1]^[2]。 Contiによって暗号化されると、旧バージョンではファイル名に .CONTI または .[A-Z]{5} のファイル拡張子が追加されていたが、最新バージョンではファイル名に .CONTI の拡張子は使用されなくなっている^[10]。暗号化が完了すると﹁Conti_README.txt﹂または﹁readme.txt﹂というファイルを生成する^[10]。このテキストには被害者向けに、連絡先や身代金の支払い方法などが記されている。連絡先URLの﹁CONTI Recovery service﹂というサイトでは、攻撃者と連絡をとるために readme.txt ファイルをアップロードするよう指示される^[10]。脅迫暗号化の解除︵復号︶と、盗んだ情報を流出させると、二重で脅迫することで身代金を要求する。2021年10月、ContiはJVCケンウッドと交渉中、その情報がリークされたことを不満として、入手したデータを意地でも公開すると宣言している^[12]。復旧身代金を支払ったとしても復旧できない事例も多く、﹁一部しか復旧できなかった﹂﹁ファイルを削除してしまったので復元は不可能と言われた﹂﹁途中で音信不通となった﹂など、犯人グループの不誠実な対応も指摘されている^[5]。そのためNHS Digital︵英語版︶は、システムを復旧する唯一の方法は、暗号化されたすべてのファイルを最新のバックアップから復元するしかないとしている^[1]。リサーチサイバーセキュリティ企業VMware Carbon Black︵英語版︶は、Contiに関するテクニカルレポートを公開している^[2]^[13]。

歴史

2020年

5月、Contiの活動が初めて確認された。同時に盗み出した情報を暴露するサイトも開設している^[9]。 2021年 4月、三井物産セキュアディレクションによるとContiは全ランサムウェア被害全体の25%を占めており、現在活動中の全てのランサムウェア攻撃グループの中で最も活発かつ被害数が多いと推測している。同社によると、1ヶ月あたり平均30以上の組織が被害に遭っているという^[3]。 5月20日、アイルランドの保健サービス委員会やニュージーランドのワイカト地区保健局などの医療機関への攻撃が判明すると、Contiは国際的な怒りと非難を浴びたため、攻撃に関与したマルウェアグループはこのランサムウェアのデクリプター︵復号鍵︶を公開した^[10]。 BlackBerryの脅威調査チームの検証によると、このツールは本当に悪意のない復号ツールだったという^[10]。ただし、ファイル名が .FEEDC で終わるファイルだけ復号されるため、このファイル名を追加しない Contiの亜種や株には役に立たない^[10]。 9月20日、アメリカのサイバーセキュリティ・インフラストラクチャー・セキュリティ庁︵CISA︶と国家安全保障局︵NSA︶、FBIは、ランサムウェア﹁Conti﹂による攻撃が計400件以上確認されたと共同で警告を発した^[14]。そのうち290以上はアメリカの組織が対象だという^[15]。 12月、セキュリティ企業Advanced Intelligenceは、Contiが過去6カ月間で1億5000万ドル︵約170億円︶以上の身代金を入手していたとしている^[15]。 2022年 2月24日、ロシアがウクライナに侵攻した。翌25日、国際的ハッカー集団アノニマスが﹁ロシア政府を標的にした対抗作戦を実行する﹂と発表し﹁gov.ru﹂や﹁kremlin.ru﹂などの関連サイトがダウンしアクセス不能となった^[16]。同日、ランサムウェア﹁Conti﹂を開発するハッカー集団が﹁ロシア政府の全面支持を公式に表明する。ロシアに対してサイバー攻撃や戦争活動を仕掛けようとする者がいれば、その敵の重要なインフラに対し、持てるリソースの全てを注ぎ込み報復する﹂との声明を発表した^[6]。約1時間後﹁どの政府とも同盟を結ぶことはなく、現在進行している戦争を非難する﹂と一部訂正したが﹁米国のサイバー攻撃によって、ロシアやロシア語圏の重要なインフラ、平和な市民の生活と安全が脅かされる場合、全力で報復する﹂という立場は変えなかった^[6]。 2月27日、Twitterに﹁＠ContiLeaks﹂が出現。アカウント名通りContiのメンバー同士の会話やログ、ランサムウェアのソースコードなどをリークし始めた。内部情報は6万件以上で、欧米のセキュリティ専門家たちによると、この情報は本物で間違いないという。メッセージには﹁ウクライナに栄光あれ！﹂と添えられていた^[1^7]。Krebs on Securityによると、アカウントを開設したのはウクライナのセキュリティ研究者だとしている^[18]。

被害を受けた企業・組織

スコットランド環境保護庁

2020年12月24日、スコットランド環境保護庁︵英語版︶(SEPA)は攻撃を受け、4,000ファイル︵約1.2GB︶のデータを盗まれた。Contiを運用するハッカーグループが犯行声明を出し身代金を要求。SEPAの各種サービスは暗号化の影響で業務に支障がでたが、SEPAは﹁我々は、公共サービスの妨害や公的資金の恐喝を目的とした危険な犯罪グループへの支払いに公的資金を使用することはない﹂と一切要求に応じなかった。身代金を受け取れなかった実行犯は、腹いせに盗んだ全てのデータを暴露サイト上に公開した^[8]^[19]。

ファット・フェイス

2021年3月25日、イギリスのファッション小売店ファット・フェイス︵英語版︶はハッキングを受け、従業員や顧客の銀行口座情報などの個人情報を盗まれた。2ヶ月後、同社は顧客に対し報告したが、攻撃に関する詳細は口外しないよう求めた。だがこれが裏目に出て、怒った顧客がソーシャルメディアに苦情を申し立てた。同社は公表が遅れた理由を、外部のセキュリティ専門家が﹁可能な限り正確な情報を提供できるよう、データを徹底的に分析・分類﹂するのに時間がかかったためと釈明したが、セキュリティ企業のESETは﹁今回の最大の問題は、影響を受ける人々への通知が遅れたことです﹂と対応の悪さを指摘した^[8]^[2^0]。

ExaGrid

2021年5月初旬、アメリカのバックアップ用ストレージベンダーExaGrid（英語版）が攻撃を受け、従業員情報や取引に関する機密情報、税務書類などのファイル800GBを暗号化された。ExaGridは身代金50.75ビットコイン（当時のレートで約2億5千万円）を支払った^[21]。

アイルランドの保健サービス委員会

2021年5月14日、アイルランドの公的医療サービス提供母体である保健サービス委員会(HSE)は、ランサムウエアによる大規模なサイバー攻撃を受けて、すべてのITシステムを停止したと明らかにした。CEOのポール・リードは「非常に巧妙な攻撃で、並みの攻撃ではない。HSEの中核サービス全てに関わる国と地方のシステム全てに影響が出ている」とコメントした^[8]^[22]^[23]。

ニュージーランドのワイカト地区保健局

2021年5月18日、ニュージーランド北島の中西部に位置するワイカト地区保健局が攻撃を受け、同地区の5つの病院のメールなどITシステムがダウンした。病院では患者の情報にアクセス出来なくなり、外来受付は閉鎖、手術は延期となった。心臓発作に襲われた患者は、急遽別の地区の病院に搬送し事なきを得た。ニュージーランド政府は身代金は払わないと明言したが、しびれを切らした犯行グループは5月24日に国営ラジオ局などマスコミ4社に盗んだ患者やスタッフなどの個人情報を送りつけた。マスコミはこの情報を報じないとし、警察に届け出た^[24]^[25]。

JVCケンウッド

2021年9月29日、日本のJVCケンウッドは欧州3カ国︵オランダ、ベルギー、イギリス︶にあるグループ販売会社のサーバーが9月22日︵現地時間︶に不正アクセスを受け、顧客や従業員の情報が流出した可能性があると公表した^[26]^[27]^[28]^[29]。Contiは1.7TB以上のデータを盗み出し、復号に700万ドルの身代金を要求したと報じられている^[30]。

Graff

2021年11月、イギリスロンドンに拠点を置く高級宝飾大手Graffを攻撃し、1.1万人分の顧客情報などのデータが窃取。後にダークウェブ上で公開した^[31]。

Advantech

2021年11月末、台湾のコンピュータメーカーAdvantechを攻撃し、法人文書ファイルなどを窃取。データを削除することと引き換えに身代金1400万ドル（約16.1億円）を支払うよう要求した^[31]。

Nordic Choice Hotels

2021年12月、スカンジナビア地域最大のホテルチェーンNordic Choice Hotels（英語版）を攻撃しシステムを侵害した^[31]。

McMenamins

2021年12月、アメリカオレゴン州ポートランドに拠点を置くホテルチェーンMcMenamins（英語版）を攻撃し、同ホテルチェーンのコンピュータシステムを侵害した^[31]。

Shutterfly

2021年12月26日、デジタル画像サービスを手がけるShutterfly︵英語版︶がContiの被害に遭ったと公表した。攻撃はおよそ2週間前に発生し、数百万ドル規模の身代金を要求されているという。Shutterflyは身代金の支払いを拒否しているのかContiは盗んだ情報をリークサイトに流し始めた^[15]^[32]。

脚注

表話編歴マルウェア
伝染性マルウェア	コンピュータウイルスコンピューターウイルスの一覧ワームワームの一覧（英語版）コンピュータウイルスとワームの年表
潜伏手法	トロイの木馬ルートキットバックドアゾンビコンピュータ中間者攻撃マン・イン・ザ・ブラウザ
収益型マルウェア	プライバシー侵害ソフトウェア（英語版）アドウェアスパイウェアボットネットキーロガー Web threat（英語版）詐欺ダイヤラーマルボットスケアウェア偽装セキュリティツールランサムウェア
OS別マルウェア	Linuxにおけるマルウェア携帯電話ウイルスマクロウイルス
マルウェアからの保護	アンチキーロガー（英語版）アンチウイルスソフトウェアブラウザ・セキュリティ（英語版）モバイル・セキュリティ（英語版）ネットワーク・セキュリティ防御コンピューティング（英語版）ファイアウォール侵入検知システムデータ損失防止ソフトウェア（英語版）
マルウェアへの対策	コンピュータサーベイランス（英語版）ボットロースト作戦（英語版）ハニーポットスパイウェア対策連合（英語版）
カテゴリ

概要

歴史