古いソフト/ファームウェアを狙うランサムウェア「Ghost」で70カ国以上の組織、多数の中小企業が被害に 対策は?FBI、CISA、MS-ISACが共同発表

FBI、CISA、MS-ISACは共同で、ランサムウェア「Ghost」に関する共同サイバーセキュリティアドバイザリを発表した。

» 2025年02月26日 08時00分 公開
[@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 米国連邦捜査局(FBI)、国土安全保障省サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)、複数国家情報共有・分析センター(MS-ISAC)は2025年2月19日(米国時間)、ランサムウェア(身代金要求型マルウェア)「Ghost」に関する共同サイバーセキュリティアドバイザリを発表した。

 米国の政府機関は省庁横断で「#StopRansomware」と呼ぶランサムウェア対策活動に取り組んでいる。このアドバイザリは「#StopRansomware: Ghost(Cring) Ransomware」と題して発表された。

既知の脆弱性悪用で70カ国以上の組織、多数の中小企業が被害に

 アドバイザリは、FBIの2025年1月までの調査に基づいている。それによると、Ghostアクター(Ghostを使用する攻撃者)は2021年初めから、インターネットに接続され、古いバージョンのソフトウェアやファームウェアを実行しているサービスを運用する組織を標的として、攻撃を仕掛けるようになった。

 Ghostアクターは、脆弱(ぜいじゃく)性を含むネットワークをこうして無差別に攻撃し、中国を含む70カ国以上の組織が侵害を受けた。Ghostアクターは中国に拠点を置き、金銭目的で攻撃活動をしている。攻撃対象には、重要インフラ、学校、大学、医療機関、政府ネットワーク、宗教組織、テクノロジー企業、メーカー、多数の中小企業が含まれている。

 Ghostアクターは、ランサムウェアの実行可能なペイロードをローテーションし、暗号化されたファイルの拡張子を変更し、脅迫状の文面も変え、多数の連絡用メールアドレスを使用する。そのため、Ghostアクターは時間の経過とともに、さまざまなグループ名で呼ばれるようになった。その中にはGhost以外に、「Cring」「Crypt3r」「Phantom」「Strike」「Hello」「Wickrme」「HsHarada」「Rapture」などが含まれる。Ghostが攻撃に使用したランサムウェアファイルの例としては、Cring.exe、Ghost.exe、ElysiumO.exe、Locker.exeなどがある。

 Ghostアクターは、公開されている脆弱性悪用ツールを使用し、既知の脆弱性を突いて、インターネットに接続されたサーバにアクセスする。利用可能なパッチが適用されていないネットワークを標的にしている。

 Ghostアクターがこうしたネットワークへの初期アクセスのために悪用した脆弱性には、Fortinet FortiOSアプライアンスの脆弱性(CVE-2018-13379)、Adobe ColdFusionの脆弱性(CVE-2010-2861、CVE-2009-3960)、Microsoft SharePointの脆弱性(CVE-2019-0604)、Microsoft Exchangeの脆弱性(CVE-2021-34473、CVE-2021-34523、CVE-2021-31207)などがある。Microsoft Exchangeの3つの脆弱性は、ProxyShell攻撃チェーンで悪用されることが知られている。

 アドバイザリは、Ghostアクターのランサムウェア攻撃の技術的詳細について、以下の項目に沿って解説している。

  • 初期アクセス
  • 攻撃を実行する手口
  • 攻撃を長期化させるための工夫
  • 特権昇格
  • 認証情報の取得
  • セキュリティ対策の回避
  • ドメインアカウントの検出
  • 横展開
  • 情報漏えい
  • Command and Control(C2)
  • ファイル暗号化

 さらに、連絡用メールアドレスや脅迫状を含む侵害の指標(IOC)を列挙するとともに「MITRE ATT&CK」フレームワークに基づいてGhostアクターの戦術と手法を整理している。

Ghostランサムウェアに有効なセキュリティ対策とは

 企業や組織におけるサイバーセキュリティ態勢を改善するため、アドバイザリでは、次の緩和策の実施を推奨している。

  • システムバックアップを定期的に行い、バックアップをオフラインで保存するか、ソースシステムから分離する
  • OS、ソフトウェア、ファームウェアに、セキュリティ更新プログラムをタイムリーに適用し、既知の脆弱性を修正する
  • ネットワークをセグメント化し、最初にマルウェアに感染したデバイスや、同じ組織内の他のデバイスからの横展開を制限する
  • 全ての特権アカウントと電子メールアカウントへのアクセスにMFA(多要素認証)を要求する
  • フィッシングの試みを認識できるようにユーザー研修を実施する
  • PowerShellの不正使用を監視する(GhostアクターはPowerShellを悪意ある目的で使用する)
  • アプリケーション、スクリプト、ネットワークトラフィックに対する許可リストを作成し、不正な実行やアクセスを防止する
  • 異常なネットワークアクティビティーを特定し、警告を発し、調査する(Ghostアクターは、IT管理者が実行する正当な理由のないコマンド、スクリプト、プログラムを大量に実行する。その異常なアクティビティーを特定し、対応した組織は、Ghostランサムウェア攻撃を防ぐことに成功している)
  • 未使用の場合、RDP 3398、FTP 21、SMB 445などのポートを無効化する
  • 高度なフィルタリングの導入、悪意ある添付ファイルのブロック、DMARC、DKIM、SPFの有効化によるなりすまし防止により、電子メールセキュリティを強化する

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

Security & Trust 記事ランキング

本日月間

注目のテーマ

4AI by @IT - AIを作り、動かし、守り、生かす
Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。