Fogランサムウェアとは？

Fogランサムウェアとは、2024年5月に初めて検知された新しいランサムウェアの亜種です。この新たな脅威は、侵害されたVPN（仮想プライベートネットワーク）の認証情報や、システムの脆弱性を悪用して組織のネットワークに侵入し、迅速にデータを暗号化して短期間で金銭を得ることを目的としています。

Fogの攻撃は、従来のランサムウェア攻撃と同様に、列挙、ラテラルムーブメント、暗号化、恐喝といった標準的な攻撃パスを実行します。しかし、多くのランサムウェア攻撃とは異なり、初期のFogインシデントではデータの持ち出し（漏洩）は確認されておらず、攻撃者が複雑なオペレーションよりも短期的な金銭獲得を狙っていた可能性が高いことを示しています。

初期のFog攻撃は範囲も比較的限定されており、米国の教育分野およびレクリエーション分野の組織が主な標的とされていました。これらの分野が選ばれたのは、セキュリティ対策が比較的弱く、またセキュリティ担当者も少数であるため、アクターが検知されにくかったことが理由と分析されています。

ここ数か月でFogの亜種は進化を遂げています。攻撃者は、権限を昇格させたりセキュリティ対策を無効化したりするために、より高度な手法を活用するようになっています。特に注目すべき点として、最近の攻撃ではデータの持ち出しが確認されており、攻撃者が実際に「二重恐喝（ダブルエクストーション）」手法を採用しています。これは、データの復号に対して身代金を要求するだけでなく、持ち出したデータを公開しないことを条件に追加の支払いを迫るものです。

Fogの新しい亜種が、金融サービス業界などのより高い利益を見込める組織を標的としていることを示す証拠も一部で見られます。ただし、こうした業界が実際に標的とされたことは確認されていません。現時点では、攻撃者は脆弱な組織を見つけると、手当たり次第に攻撃しているとみられ、あらゆる分野でリスクが高まっています。

Fogの進化と標的の変化は、サイバーセキュリティ防御を強化し、既知の脆弱性に対処することの重要性を改めて浮き彫りにしています。こうした取り組みは、拡大し続ける脅威の軽減と、ランサムウェアの将来的な進化への備えに不可欠です。

Fogランサムウェアの主な特徴

Fogランサムウェアは、他のランサムウェア亜種とは異なる、2つの明確な特徴を持っています。

1. 高度な暗号化技術

Fogランサムウェアは、複数の高度な暗号化技術を組み合わせることで、被害者が自らのデータにアクセスすることを不可能にします。一部の報告によると、攻撃者はデータを迅速かつ効率的に暗号化するためにAdvanced Encryption Standard (AES) などの共通鍵暗号アルゴリズムを利用し、さらにRivest-Shamir-Adleman (RSA) などの公開鍵暗号アルゴリズムを組み合わせて暗号強度を高めているとされています。こうした複合的な暗号化手法により、復号鍵を入手するか、実行上の欠陥を突かない限り、組織が自力でデータを復号することはほぼ不可能となっています。

2. 高度な回避技術

Fogランサムウェアは、従来型のセキュリティツールや検知メカニズムを回避するために、高度な回避戦術も使用しています。以下はその一部です。

• ファイルレス実行：Fogの攻撃では、悪意あるコードを直接メモリ上に展開して実行します。結果としてディスクベースの検知手法では痕跡が捉えられず、従来型のセキュリティツールによる日常的なスキャンでの検知が困難になります。
• コード難読化：Fogマルウェアは、その目的や挙動を隠すためにコード難読化技術を用いています。結果として、従来型のシグネチャベースの検知では検知が困難になります。
• セキュリティツールの無効化：Windowsマシンに関して、Fogのアクターは、ランサムウェアを展開する前にWindows Defenderや他のセキュリティ製品を無効化して検知を回避する事例が確認されています。
• 正規プロセスの悪用：Fogランサムウェアは、PowerShellやWindows Management Instrumentation (WMI) などの正規のシステムツールを頻繁に悪用し、攻撃者が正規ユーザーになりすますことを可能にします。従来型のセキュリティツールの多くは、正規ユーザーと悪意あるユーザーとを区別する機能を備えていないため、標準的なセキュリティ対策だけではFog攻撃者の存在を検出することが困難です。

Fogの攻撃の主な標的

初期のFogランサムウェア攻撃は、米国国内の組織を主な標的としていました。被害者のおよそ4分の3は教育分野の組織で、残りはレクリエーション分野の組織でした。

これらの業種が選ばれた理由として、セキュリティ運用への投資が十分でない、またはITチームの人員が不足している組織が多く、攻撃に対して脆弱である点が挙げられます。さらに、業務が季節的であることも、攻撃者にとって魅力的な標的となった要因と考えられます。例えば、夏季の間は学校やレクリエーション施設が業務過多になっている、あるいは人員が減って運営規模が縮小している場合があり、そのような状況では攻撃者が検知されずに活動しやすくなります。

Fogランサムウェアは進化に伴って、標的とする範囲を広げています。初期の攻撃は特定の業種に集中していましたが、現在では特定の業界を狙うのではなく、脅威アクターは脆弱な組織を見つけると、手当たり次第に攻撃を仕掛けているとみられます。このような変化は、Fogランサムウェアの拡大、多様化する戦術に備えるために、あらゆる業界の組織がサイバーセキュリティ防御を強化することの重要性を示しています。

Fogランサムウェアが各業界に与える影響

ランサムウェアは、サイバー犯罪者にとって最も収益性の高い手口の一つであり、業界を問わずあらゆる組織に深刻な影響を及ぼす脅威です。

Fogランサムウェアの影響は、他のランサムウェア攻撃と同様の傾向を示しています。標的となった組織は、主たる影響および二次的な影響として、次のようなさまざまな問題に直面します。

• 重要データや機密データの暗号化による日常業務の中断
• 暗号化されたシステムやデータへのアクセスを回復するために支払う身代金要求に関連した財務的影響
• 攻撃発生中の業務停止による収益損失
• サイバーセキュリティ管理の不備が判明した場合の規制当局による監査の強化や罰金の可能性
• 顧客からの信頼喪失（ブランドロイヤルティ、企業の評判への長期的影響を含む）

Fogランサムウェアの動作メカニズム

Fogランサムウェアは、複数の段階から成る感染ライフサイクルに従って動作します。初期侵入から最終的なファイル暗号化に至る各段階を理解することで、組織は攻撃の検知、対応、影響緩和をより効果的に行うことができます。

以下では、Fogランサムウェアの感染ライフサイクルの概要を紹介します。

ステージ1：悪用と侵入

多くのFogランサムウェア攻撃は、パッチ未適用のソフトウェアなどの脆弱性を悪用してシステムにアクセスします。現時点では、ほとんどのFog攻撃がVPNアプリケーションの特定の脆弱性を狙っている模様です。

攻撃者は、脆弱なVPNの認証情報を利用してシステムアクセスを得る場合もあります。こうした認証情報は、資格情報の窃取によって入手されるか、初期アクセスブローカーから購入されることがあります。正規ユーザーの認証情報を用いることで、攻撃者はネットワーク防御を回避し、標的環境へ侵入することが可能になります。

ステージ2：ラテラルムーブメント

Fogの攻撃者は、ネットワークへの初期アクセス後、アクセス範囲を拡大し、権限を昇格させ、管理者アカウントに到達するために、Pass the Hashやクレデンシャルスタッフィングといった手法を多用します。

このフェーズでは、ユーザー権限を解析して攻撃をさらに展開するため、Active Directoryの列挙やBloodHoundなどのツール活用といった、いわゆる前準備活動も行われるのが一般的です。具体的には、ファイル共有、列挙、広範なスキャンなどが考えられます。

また、攻撃者はAnyDeskのようなリモートアクセストールを活用してコマンド&コントロール (C2) 通信を確立することもあります。正規のツールを利用することで、脅威アクターの検出は一層困難になり、攻撃者自身が独自のインフラを構築、展開する必要がなくなるため、攻撃のタイムラインが短縮されます。

ステージ3：展開と暗号化

攻撃者は、アクセスの確立後、まずランサムウェアのエージェントを展開します。そしてこの過程で、Windows Defenderなどのセキュリティ対策を無効化する操作を行います。

その後、ランサムウェアがファイルを暗号化し、復旧を妨げるためにバックアップを削除します。攻撃者は多くの場合、仮想マシンディスク (VMDK) ファイルを標的とします。また、攻撃の痕跡 (IOA) として、ファイル名に.FOGや.FLOCKEDといった拡張子を付加することが確認されています。

このフェーズでは、攻撃者が影響を受けたデータを持ち出す場合もあります。その結果、組織はデータ復号のための身代金支払いに加え、持ち出したデータを公開しないことを条件とした追加の支払いを要求される、いわゆる二重恐喝のリスクにさらされます。

ステージ4：恐喝

ステージ3の直後、攻撃者は通常、影響を受けたネットワーク全体に「readme.txt」ファイルを配布します。これらはランサムノートで、Fogランサムウェアに関する情報、それまでに行われた暗号化活動の概要、そして多くの場合、対応期限が記載されています。ノートには攻撃者とやり取りして身代金を支払う方法や問題解決のための具体的手順も詳細に記されており、連絡は通常、チャットサポートのリンクを介して行われます。

一般的な悪用手法と脆弱性

公開報告によると、Fogの侵入事例と2024年8月〜11月に報告されたSonicWallのSSL VPNに関連する事案との間に高い相関が認められます。

特定の脆弱性が確定しているわけではありませんが、専門家は攻撃者がCVE-2024-40766を悪用している可能性があると推測しています。分析によれば、該当の攻撃に関連する侵害済みSonicWallデバイスではすべて、この問題が未修正の古いファームウェアが実行されていたことが明らかになっています。

同時に、データブローカー経由や情報流出などの別の手段で攻撃者がVPN認証情報を入手している可能性も排除できません。

Fog攻撃の防止

Fogランサムウェア攻撃を受ける可能性を低減するために、SonicWall SSL VPNを利用している組織は、必ず最新バージョンのソフトウェアを使用していることを確認する必要があります。最新バージョンには、CVE-2024-40766に対する修正パッチが含まれています。

Fog攻撃の検知

侵害が発生した場合に備え、組織として検知能力を強化するための対策を講じることも重要です。例えば、ある金融サービス企業は「おとり」ファイルを活用することで、Fog攻撃を未然に防ぐことができました。この仕組みによって同社では、攻撃ライフサイクルの初期段階で不審な活動を検出し、影響を受けた端末を隔離することが可能になりました。

さらに、セキュリティチームはシステム内での不審な挙動を監視することもできます。過去の攻撃分析によると、悪意のあるVPNログインはすべて、仮想プライベートサーバー (VPS) ホストに関連するIPアドレス由来のものでした。これは、早期検知と隔離の明確な手がかりとなります。

検知と防御のベストプラクティス

Fogランサムウェアのような攻撃を効果的に検知、防止するためには、高度な監視ツールの導入、定期的なパッチ適用、ユーザー教育、堅牢なバックアップ体制など、包括的な対策を講じることが不可欠です。

以下では、Fogランサムウェアを攻撃の初期段階で検知するための推奨手順を紹介します。

プロアクティブなセキュリティ対策の導入

• 継続的に動作し、高度なアルゴリズムの活用で不審な活動を検知する、エンドポイント保護システムなどの高度な監視ツールを利用します。
• 予期しないホスティングプロバイダーからの異常なVPNログインや、侵害後によく見られる振る舞い（例えばファイル暗号化の試行）など、特定の兆候に注意を払います。
• 脅威インテリジェンスを活用して、Fogランサムウェアの攻撃者の動機、標的、脅威アクターの振る舞いに関する最新情報を把握します。

厳格なパッチ管理プログラムの維持

• 既知および新たに発見された脆弱性に対処するため、ソフトウェアを定期的に更新します。特に、Fog攻撃者による悪用が確認されているVPNやその他の高リスクシステムは重点的にパッチを適用する必要があります。
• サイバーセキュリティ関連の最新ニュースを常に確認し、Fog攻撃で悪用されている、または悪用される可能性のある新たな脆弱性を迅速に把握、対応できる体制を整えます。

ユーザー教育への投資とセキュリティ意識の醸成

• 従業員に対し、フィッシングやその他のソーシャルエンジニアリング手法を見分ける方法を教育し、認証情報の漏洩や攻撃の入り口となる行為を防ぎます。
• 継続的なトレーニングを実施し、適切なセキュリティ慣行と、ランサムウェア脅威に対する意識を強化します。不審または異常な活動を報告するにあたっての手順を、従業員が確実に理解していることが必要です。

堅牢なデータバックアップおよび復旧計画の実施

• 潜在的なデータ消失を最小限に抑えるため、定期的かつ頻繁にバックアップを実行します。例えば、毎日のバックアップを実施すれば、攻撃による影響を最大でも24時間分に限定でき、データ消失を大幅に軽減できます。
• バックアップは複数のデバイスおよび別々の場所に保存し、冗長性を確保します。
• バックアップシステムを定期的にテストし、攻撃発生時に迅速かつ確実にデータを復元できる環境を確保します。

ランサムウェア攻撃を防ぐためのベストプラクティスをさらに知りたい方は、関連記事「ランサムウェアの防御方法：クラウドストライクの専門家からの10の助言」もご覧ください。

クラウドストライクが問題解消にどう貢献できるか

従来型のエンドポイントソリューションでは、攻撃者やランサムウェアの脅威に対応しきれません。そこで活躍するのが、クラウドストライクのランサムウェア対策です。クラウドストライクのAIネイティブなFalconプラットフォームを活用し、高度な防御機能を提供することで、組織がFogランサムウェアから確実に防御できるよう支援します。

Falcon Adversary OverWatchは、RaaSアクターによって仕組まれたものを含む高度なランサムウェア攻撃を検知、阻止するため、24時間365日体制でプロアクティブかつインテリジェンス主導の脅威ハンティングを実施します。さらに、机上演習やレッドチーム/ブルーチーム演習、攻撃者エミュレーションといったカスタマイズ型の訓練を通じて、検知および対応のギャップを特定し、セキュリティ体制を強化します。これらのソリューションを組み合わせることで、進化し続けるランサムウェア脅威に対する包括的な保護を実現します。

Fogランサムウェアや最新のサイバー脅威から組織を守る方法について、さらに詳しく知りたい場合は、クラウドストライクまでお問い合わせください。無料のデモおよびコンサルティングを通じて、クラウドストライクが最適な防御アプローチをご提案します。万が一侵害が発生した場合でも、クラウドストライクは業界をリードするインシデント対応サービスを提供し、迅速に事態の収束を支援します。