古いソフト／ファームウェアを狙うランサムウェア「Ghost」で70カ国以上の組織、多数の中小企業が被害に 対策は？：FBI、CISA、MS-ISACが共同発表

FBI、CISA、MS-ISACは共同で、ランサムウェア「Ghost」に関する共同サイバーセキュリティアドバイザリを発表した。

[＠IT]

　米国連邦捜査局（FBI）、国土安全保障省サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）、複数国家情報共有・分析センター（MS-ISAC）は2025年2月19日（米国時間）、ランサムウェア（身代金要求型マルウェア）「Ghost」に関する共同サイバーセキュリティアドバイザリを発表した。

　米国の政府機関は省庁横断で「#StopRansomware」と呼ぶランサムウェア対策活動に取り組んでいる。このアドバイザリは「#StopRansomware: Ghost（Cring） Ransomware」と題して発表された。

既知の脆弱性悪用で70カ国以上の組織、多数の中小企業が被害に

　アドバイザリは、FBIの2025年1月までの調査に基づいている。それによると、Ghostアクター（Ghostを使用する攻撃者）は2021年初めから、インターネットに接続され、古いバージョンのソフトウェアやファームウェアを実行しているサービスを運用する組織を標的として、攻撃を仕掛けるようになった。

　Ghostアクターは、脆弱（ぜいじゃく）性を含むネットワークをこうして無差別に攻撃し、中国を含む70カ国以上の組織が侵害を受けた。Ghostアクターは中国に拠点を置き、金銭目的で攻撃活動をしている。攻撃対象には、重要インフラ、学校、大学、医療機関、政府ネットワーク、宗教組織、テクノロジー企業、メーカー、多数の中小企業が含まれている。

　Ghostアクターは、ランサムウェアの実行可能なペイロードをローテーションし、暗号化されたファイルの拡張子を変更し、脅迫状の文面も変え、多数の連絡用メールアドレスを使用する。そのため、Ghostアクターは時間の経過とともに、さまざまなグループ名で呼ばれるようになった。その中にはGhost以外に、「Cring」「Crypt3r」「Phantom」「Strike」「Hello」「Wickrme」「HsHarada」「Rapture」などが含まれる。Ghostが攻撃に使用したランサムウェアファイルの例としては、Cring.exe、Ghost.exe、ElysiumO.exe、Locker.exeなどがある。

　Ghostアクターは、公開されている脆弱性悪用ツールを使用し、既知の脆弱性を突いて、インターネットに接続されたサーバにアクセスする。利用可能なパッチが適用されていないネットワークを標的にしている。

　Ghostアクターがこうしたネットワークへの初期アクセスのために悪用した脆弱性には、Fortinet FortiOSアプライアンスの脆弱性（CVE-2018-13379）、Adobe ColdFusionの脆弱性（CVE-2010-2861、CVE-2009-3960）、Microsoft SharePointの脆弱性（CVE-2019-0604）、Microsoft Exchangeの脆弱性（CVE-2021-34473、CVE-2021-34523、CVE-2021-31207）などがある。Microsoft Exchangeの3つの脆弱性は、ProxyShell攻撃チェーンで悪用されることが知られている。

　アドバイザリは、Ghostアクターのランサムウェア攻撃の技術的詳細について、以下の項目に沿って解説している。

• 初期アクセス
• 攻撃を実行する手口
• 攻撃を長期化させるための工夫
• 特権昇格
• 認証情報の取得
• セキュリティ対策の回避
• ドメインアカウントの検出
• 横展開
• 情報漏えい
• Command and Control（C2）
• ファイル暗号化

　さらに、連絡用メールアドレスや脅迫状を含む侵害の指標（IOC）を列挙するとともに「MITRE ATT&CK」フレームワークに基づいてGhostアクターの戦術と手法を整理している。

Ghostランサムウェアに有効なセキュリティ対策とは

　企業や組織におけるサイバーセキュリティ態勢を改善するため、アドバイザリでは、次の緩和策の実施を推奨している。

• システムバックアップを定期的に行い、バックアップをオフラインで保存するか、ソースシステムから分離する
• OS、ソフトウェア、ファームウェアに、セキュリティ更新プログラムをタイムリーに適用し、既知の脆弱性を修正する
• ネットワークをセグメント化し、最初にマルウェアに感染したデバイスや、同じ組織内の他のデバイスからの横展開を制限する
• 全ての特権アカウントと電子メールアカウントへのアクセスにMFA（多要素認証）を要求する
• フィッシングの試みを認識できるようにユーザー研修を実施する
• PowerShellの不正使用を監視する（GhostアクターはPowerShellを悪意ある目的で使用する）
• アプリケーション、スクリプト、ネットワークトラフィックに対する許可リストを作成し、不正な実行やアクセスを防止する
• 異常なネットワークアクティビティーを特定し、警告を発し、調査する（Ghostアクターは、IT管理者が実行する正当な理由のないコマンド、スクリプト、プログラムを大量に実行する。その異常なアクティビティーを特定し、対応した組織は、Ghostランサムウェア攻撃を防ぐことに成功している）
• 未使用の場合、RDP 3398、FTP 21、SMB 445などのポートを無効化する
• 高度なフィルタリングの導入、悪意ある添付ファイルのブロック、DMARC、DKIM、SPFの有効化によるなりすまし防止により、電子メールセキュリティを強化する