チェック・ポイント・リサーチ、急増するLinuxシステムへの攻撃トレンドを調査 LinuxとWindowsを狙うランサムウェア攻撃を比較、検証結果を公開
チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
2023年12月11日
チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
ハイライト ・脅威ランドスケープの進化:チェック・ポイント・リサーチ(CPR)は、Linuxシステムに対するランサムウェア攻撃の急増について、Windowsシステムへの攻撃との比較をまじえた総合的な研究結果を公開しました。 ・単純化の傾向:CPRの分析によると、Linuxを標的とするランサムウェアファミリーにおける顕著な単純化の傾向が明らかになりました。コア機能が基礎的な暗号化処理機能に限定されることにより、これらの脅威は発見しづらく、検出が困難になっています。 ・暗号化についての洞察:WindowsとLinuxそれぞれに使われる暗号化技術を比較検証した結果、Linuxを標的とするランサムウェアではChaCha20/RSAとAES/RSAのアルゴリズムが好まれることが明らかになりました。
包括的なサイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point(R) Software Technologies Ltd. < https://www.checkpoint.com/ > 、NASDAQ:CHKP、以下チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(Check Point Research、以下CPR)は、LinuxおよびWindowsシステムに対するランサムウェア攻撃を詳細に調査し、サイバー脅威トレンドの進化を明らかにしました。Linuxシステム、特にESXiシステムを標的とした近年のランサムウェア攻撃の急増を受け、CPRはWindowsシステムとの比較を行い、こうしたインシデントの複雑さについて掘り下げた検証結果を公開しています。
ランサムウェアの脅威は、従来主にWindows環境を標的としてきました。しかし、脅威のランドスケープは進化し、Linuxに特化したランサムウェアが勢いを増しています。CPRの調査では、Linuxシステムを直接標的とする、あるいはクロスプラットフォーム機能を持ちWindowsとLinuxの両方を無差別に感染させる、12の著名なランサムウェアファミリーを対象として分析を行っています。
2021年のランサムウェアBabukのソースコード公開は、さまざまなランサムウェアファミリーの拡散に極めて重要な役割を果たしました。Linuxを標的とするランサムウェアには、Windowsを標的とする類似のランサムウェアと比べ比較的単純であるという特徴があります。これらのLinuxを標的とする脅威の多くはOpenSSLライブラリに大きく依存しており、分析対象のサンプル全体では、ChaCha20/RSAとAES/RSAが最も一般的な暗号化アルゴリズムとして浮上しています。
ランサムウェアの歴史的な変遷を検証してみると、確認が可能な最初のサンプルは1989年に遡り、Windows システムに影響を与えています。Linux特化型ランサムウェアは、2015年のLinux.Encoder.1の登場まで普及しませんでした。Windowsシステムを標的とするランサムウェアの成熟にもかかわらず、その機能がLinuxランサムウェアに直接移行したのは近年になってからで、2020年以降、攻撃は大幅に増加しています。
図1 - Linux特化のランサムウェアファミリー
図2 - Windows特化のランサムウェアファミリー
CPRの調査によって、各Linux標的型ランサムウェアファミリーにおける単純化の傾向が明らかになりました。各コア機能は多くの場合基本的な暗号化処理のみに限定されており、外部の設定やスクリプトに大きく依存しているため、これらのランサムウェアは発見しづらく、検出が困難になっています。この調査ではまた、特にESXiシステムを焦点とした特徴的な戦略にも光を当てており、主要な侵入経路として攻撃にさらされたサービスの複数の脆弱性を特定しています。
中・大規模組織向けに戦略的に仕立てられたLinux特化型ランサムウェア
Linuxランサムウェアは、ターゲットおよび被害者の類型において、Windowsランサムウェアと大きく異なっています。Windowsシステムがパーソナルコンピューターやユーザーワークステーションに広く普及している一方、Linuxのシェアは特定のサーバー構築において多く占めています。Linuxランサムウェアは、主に無防備なサーバーや、Windows感染を足掛かりにしてアクセスした内部ネットワーク内のサーバーを焦点としています。この方向性は、ひとつの明確な傾向を示しています。すなわち、LinuxランサムウェアはWindowsランサムウェアがもたらす一般化された脅威とは異なり、中規模および大規模な組織向けに戦略的に調整されています。LinuxとWindowsの両システムが持つそれぞれの特徴的な内部構造は、暗号化のためのフォルダやファイル選択に対する攻撃者のアプローチにも影響を与えており、Linux特化型ランサムウェアのサンプルは、多くの場合、システムの破損を防ぐために重要なディレクトリを避けています。これが裏付けるのは、Windowsランサムウェアと比べ、標的を絞って巧妙に作られたLinuxランサムウェアの特性です。
CPRがWindowsシステムとLinuxシステムの暗号化技術を比較したところ、LinuxランサムウェアにおいてはOpenSSLが好まれており、共通鍵暗号の基礎としてAES、非対称鍵暗号ではRSAを選択していることが明らかになりました。このように、さまざまな脅威アクターの間に統一性があるという事実は、サイバー脅威ランドスケープの進化を強調しています。
チェック・ポイントのお客様は、ランサムウェアの脅威から保護されています
チェック・ポイントのお客様は、さまざまな攻撃手法とファイルタイプを包括的にカバーするCheck Point Harmony Endpoint < https://www.checkpoint.com/jp/harmony/advanced-endpoint-protection/ > と脅威エミュレーション < https://www.checkpoint.com/infinity/zero-day-protection/ > をご利用いただくことで、今回の調査対象となった脅威から引き続き保護されます。
チェック・ポイントの対ランサムウェア防御ソリューションであるアンチランサムウェアは、最も巧妙なランサムウェア攻撃 < https://www.checkpoint.com/cyber-hub/threat-prevention/ransomware/ > からも組織を保護し、暗号化されたデータを安全に復元します。アンチランサムウェアは、チェック・ポイントの完全なエンドポイントセキュリティソリューションであるHarmony Endpoint < https://www.checkpoint.com/jp/harmony/advanced-endpoint-protection/ > の一部として提供されます。Harmony Endpointは、包括的なエンドポイントプロテクションを最高のセキュリティレベルで提供します。
Ransomware.Wins.HelloKitty.ta.D
Ransomware.Wins.GwisinLocker.ta.A
Ransomware.Wins.Clop.ta.I
Ransomware.Wins.Royal.ta.B
Ransomware.Wins.IceFire.ta.A
Ransomware.Wins.Monti.ta.A
Ransomware.Wins.ESXi.ta.B
Ransomware.Wins.Babuk.ta.A
Ransomware.Wins.LockBit.ta.AK
Ransomware.Wins.BlackCat.ta.M
LinuxおよびWindowsを標的としたランサムウェア攻撃に関する比較研究の詳細については、チェック・ポイント・リサーチのブログ< https://blog.checkpoint.com/security/comparative-study-results-on-linux-and-windows-ransomware-attacks-exploring-notable-trends-and-surge-in-attacks-on-linux-systems/ >にて調査結果の完全版をご覧ください。
本プレスリリースは、米国時間2023年11月21日に発表されたブログ < https://blog.checkpoint.com/security/comparative-study-results-on-linux-and-windows-ransomware-attacks-exploring-notable-trends-and-surge-in-attacks-on-linux-systems/ > (英語)をもとに作成しています。
Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud に保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
X(旧Twitter): https://twitter.com/_cpresearch_
チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ(https://www.checkpoint.com/)は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバーセキュリティソリューションを提供するリーディングカンパニーです。Check Point Infinityの各ソリューションはマルウェアやランサムウェアを含むあらゆる脅威に対して業界トップクラスの捕捉率を誇り、第5世代のサイバー攻撃から企業や公共団体を守ります。Infinityは、企業環境に妥協のないセキュリティを提供し脅威防御を実現する4つの柱で構成されています。リモートユーザー向けのCheck Point Harmony、クラウドを自動的に保護するCheck Point CloudGuard、ネットワーク境界を保護するCheck Point Quantum、そして防止優先のセキュリティオペレーションスイート、Check Point Horizonです。チェック・ポイントは10万を超えるあらゆる規模の組織を守っています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(https://www.checkpoint.com/jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。
ソーシャルメディア アカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・X(旧Twitter):https://twitter.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan
