Conti

Contiは、2020年5月に初めて確認されたランサムウェアの一種^[1][2][3]。 ダークサイドなどこれまでのランサムウェアグループは医療機関などは標的にしない事を明言しているグループが多かったが、Contiは多数の医療機関を問答無用で標的にするなどその凶悪さが注目を集めている^[4][5]。アメリカのセキュリティ企業Palo Alto Networksは「私たちが追跡している数十のランサムウェアギャングの中でも際立って冷酷なランサムウェアの一つ」と表現している^[6]。 FBIが発表したフラッシュアラートによると、医療機関や救急医療機関のネットワークシステムを標的にした攻撃が1年間に少なくとも16件確認されている^[7]。

概要

Contiを開発しているのは、ロシアのサンクトペテルブルクとウクライナを拠点にしていると推測されるハッカーグループのウィザード・スパイダーで^[8]、同グループはランサムウェアRyuk（英語版）も運用している^[9]。

サービスとしてのランサムウェア(RaaS)を提供しているが、他のグループとはやや異なり、身代金の一部を報酬としてアフィリエイトに支払うのではなく、ランサムウェアを運用した攻撃者に賃金を支払っている^[4]。

脅威の詳細

Microsoft Windowsのすべてのバージョンが影響を受けることがわかっている^[1]。Mac OS、Linux、Androidは脅威を受けない^[10]。

Contiの攻撃者は、スピアフィッシング攻撃、リモート監視・管理ソフトウェア、リモートデスクトップソフトウェアなど、様々な手法やツールを用いてシステムに侵入する^[4]。

セキュリティ企業Advanced Intelligenceは、ContiなどがLog4jの脆弱性（詳細はLog4Shellを参照）を悪用する手段を模索していると報告している^[11]。

挙動

システムに侵入すると、Windowsのバックアップであるボリュームシャドウコピーを削除しようとする^[1]。リスタートマネージャを使用して多くのサービスを停止させ、それらが使用しているファイルを確実に暗号化できるようする。リアルタイムモニターを無効にし、Windows Defenderアプリケーションをアンインストールする^[1]。

Contiは、ネットワークを通じて横方向に広がることで被害を拡大させようとする。デフォルトの動作では、ネットワークのServer Message Blockドライブを検出しようとし、ローカルと同様にすべてのファイルを暗号化させる^[10]。 このランサムウェアは、最大32個の個別の論理スレッドを使用するAES-256を実装しており、他のランサムウェアよりもはるかに高速で暗号化する^[1]。その結果、デバイスのCPU使用率、機能、パフォーマンスにも影響が出るが、Contiは発見されるリスクよりも迅速に暗号化することで任務を達成しようとする^[10]。

暗号化するとシステムに致命的なダメージを与えるWindows、boot、tempといったフォルダや、.DLL、.exe、.sys、および.lnkといった拡張子のファイルは暗号化から除外される^[1]。またオプション設定によっては、特定のドライブや個々のIPアドレスをターゲットにすることもできる^[1][2]。 Contiによって暗号化されると、旧バージョンではファイル名に .CONTI または .[A-Z]{5} のファイル拡張子が追加されていたが、最新バージョンではファイル名に .CONTI の拡張子は使用されなくなっている^[10]。

暗号化が完了すると「Conti_README.txt」または「readme.txt」というファイルを生成する^[10]。このテキストには被害者向けに、連絡先や身代金の支払い方法などが記されている。連絡先URLの「CONTI Recovery service」というサイトでは、攻撃者と連絡をとるために readme.txt ファイルをアップロードするよう指示される^[10]。

脅迫

暗号化の解除（復号）と、盗んだ情報を流出させると、二重で脅迫することで身代金を要求する。2021年10月、ContiはJVCケンウッドと交渉中、その情報がリークされたことを不満として、入手したデータを意地でも公開すると宣言している^[12]。

復旧

身代金を支払ったとしても復旧できない事例も多く、「一部しか復旧できなかった」「ファイルを削除してしまったので復元は不可能と言われた」「途中で音信不通となった」など、犯人グループの不誠実な対応も指摘されている^[5]。 そのためNHS Digital（英語版）は、システムを復旧する唯一の方法は、暗号化されたすべてのファイルを最新のバックアップから復元するしかないとしている^[1]。

リサーチ

サイバーセキュリティ企業VMware Carbon Black（英語版）は、Contiに関するテクニカルレポートを公開している^[2][13]。

歴史

2020年

5月、Contiの活動が初めて確認された。同時に盗み出した情報を暴露するサイトも開設している^[9]。

2021年

4月、三井物産セキュアディレクションによるとContiは全ランサムウェア被害全体の25%を占めており、現在活動中の全てのランサムウェア攻撃グループの中で最も活発かつ被害数が多いと推測している。同社によると、1ヶ月あたり平均30以上の組織が被害に遭っているという^[3]。

5月20日、アイルランドの保健サービス委員会やニュージーランドのワイカト地区保健局などの医療機関への攻撃が判明すると、Contiは国際的な怒りと非難を浴びたため、攻撃に関与したマルウェアグループはこのランサムウェアのデクリプター（復号鍵）を公開した^[10]。 BlackBerryの脅威調査チームの検証によると、このツールは本当に悪意のない復号ツールだったという^[10]。ただし、ファイル名が .FEEDC で終わるファイルだけ復号されるため、このファイル名を追加しない Contiの亜種や株には役に立たない^[10]。

9月20日、アメリカのサイバーセキュリティ・インフラストラクチャー・セキュリティ庁（CISA）と国家安全保障局（NSA）、FBIは、ランサムウェア「Conti」による攻撃が計400件以上確認されたと共同で警告を発した^[14]。そのうち290以上はアメリカの組織が対象だという^[15]。

12月、セキュリティ企業Advanced Intelligenceは、Contiが過去6カ月間で1億5000万ドル（約170億円）以上の身代金を入手していたとしている^[15]。

2022年

2月24日、ロシアがウクライナに侵攻した。翌25日、国際的ハッカー集団アノニマスが「ロシア政府を標的にした対抗作戦を実行する」と発表し「gov.ru」や「kremlin.ru」などの関連サイトがダウンしアクセス不能となった^[16]。同日、ランサムウェア「Conti」を開発するハッカー集団が「ロシア政府の全面支持を公式に表明する。ロシアに対してサイバー攻撃や戦争活動を仕掛けようとする者がいれば、その敵の重要なインフラに対し、持てるリソースの全てを注ぎ込み報復する」との声明を発表した^[6]。約1時間後「どの政府とも同盟を結ぶことはなく、現在進行している戦争を非難する」と一部訂正したが「米国のサイバー攻撃によって、ロシアやロシア語圏の重要なインフラ、平和な市民の生活と安全が脅かされる場合、全力で報復する」という立場は変えなかった^[6]。

2月27日、Twitterに「＠ContiLeaks」が出現。アカウント名通りContiのメンバー同士の会話やログ、ランサムウェアのソースコードなどをリークし始めた。内部情報は6万件以上で、欧米のセキュリティ専門家たちによると、この情報は本物で間違いないという。メッセージには「ウクライナに栄光あれ！」と添えられていた^[17]。Krebs on Securityによると、アカウントを開設したのはウクライナのセキュリティ研究者だとしている^[18]。

被害を受けた企業・組織

スコットランド環境保護庁

2020年12月24日、スコットランド環境保護庁（英語版）(SEPA)は攻撃を受け、4,000ファイル（約1.2GB）のデータを盗まれた。Contiを運用するハッカーグループが犯行声明を出し身代金を要求。SEPAの各種サービスは暗号化の影響で業務に支障がでたが、SEPAは「我々は、公共サービスの妨害や公的資金の恐喝を目的とした危険な犯罪グループへの支払いに公的資金を使用することはない」と一切要求に応じなかった。身代金を受け取れなかった実行犯は、腹いせに盗んだ全てのデータを暴露サイト上に公開した^[8][19]。

ファット・フェイス

2021年3月25日、イギリスのファッション小売店ファット・フェイス（英語版）はハッキングを受け、従業員や顧客の銀行口座情報などの個人情報を盗まれた。2ヶ月後、同社は顧客に対し報告したが、攻撃に関する詳細は口外しないよう求めた。だがこれが裏目に出て、怒った顧客がソーシャルメディアに苦情を申し立てた。同社は公表が遅れた理由を、外部のセキュリティ専門家が「可能な限り正確な情報を提供できるよう、データを徹底的に分析・分類」するのに時間がかかったためと釈明したが、セキュリティ企業のESETは「今回の最大の問題は、影響を受ける人々への通知が遅れたことです」と対応の悪さを指摘した^[8][20]。

ExaGrid

2021年5月初旬、アメリカのバックアップ用ストレージベンダーExaGrid（英語版）が攻撃を受け、従業員情報や取引に関する機密情報、税務書類などのファイル800GBを暗号化された。ExaGridは身代金50.75ビットコイン（当時のレートで約2億5千万円）を支払った^[21]。

アイルランドの保健サービス委員会

2021年5月14日、アイルランドの公的医療サービス提供母体である保健サービス委員会(HSE)は、ランサムウエアによる大規模なサイバー攻撃を受けて、すべてのITシステムを停止したと明らかにした。CEOのポール・リードは「非常に巧妙な攻撃で、並みの攻撃ではない。HSEの中核サービス全てに関わる国と地方のシステム全てに影響が出ている」とコメントした^[8][22][23]。

ニュージーランドのワイカト地区保健局

2021年5月18日、ニュージーランド北島の中西部に位置するワイカト地区保健局が攻撃を受け、同地区の5つの病院のメールなどITシステムがダウンした。病院では患者の情報にアクセス出来なくなり、外来受付は閉鎖、手術は延期となった。心臓発作に襲われた患者は、急遽別の地区の病院に搬送し事なきを得た。 ニュージーランド政府は身代金は払わないと明言したが、しびれを切らした犯行グループは5月24日に国営ラジオ局などマスコミ4社に盗んだ患者やスタッフなどの個人情報を送りつけた。マスコミはこの情報を報じないとし、警察に届け出た^[24][25]。

JVCケンウッド

2021年9月29日、日本のJVCケンウッドは欧州3カ国（オランダ、ベルギー、イギリス）にあるグループ販売会社のサーバーが9月22日（現地時間）に不正アクセスを受け、顧客や従業員の情報が流出した可能性があると公表した^{[26][27][28][29]}。Contiは1.7TB以上のデータを盗み出し、復号に700万ドルの身代金を要求したと報じられている^[30]。

Graff

2021年11月、イギリスロンドンに拠点を置く高級宝飾大手Graffを攻撃し、1.1万人分の顧客情報などのデータが窃取。後にダークウェブ上で公開した^[31]。

Advantech

2021年11月末、台湾のコンピュータメーカーAdvantechを攻撃し、法人文書ファイルなどを窃取。データを削除することと引き換えに身代金1400万ドル（約16.1億円）を支払うよう要求した^[31]。

Nordic Choice Hotels

2021年12月、スカンジナビア地域最大のホテルチェーンNordic Choice Hotels（英語版）を攻撃しシステムを侵害した^[31]。

McMenamins

2021年12月、アメリカオレゴン州ポートランドに拠点を置くホテルチェーンMcMenamins（英語版）を攻撃し、同ホテルチェーンのコンピュータシステムを侵害した^[31]。

Shutterfly

2021年12月26日、デジタル画像サービスを手がけるShutterfly（英語版）がContiの被害に遭ったと公表した。攻撃はおよそ2週間前に発生し、数百万ドル規模の身代金を要求されているという。Shutterflyは身代金の支払いを拒否しているのかContiは盗んだ情報をリークサイトに流し始めた^[15][32]。

脚注

1. ^ ^{a b c d e f g h} “Conti Ransomware”. NHS Digital. NHS Digital (2020年7月9日). 2021年5月14日閲覧。"Conti Ransomware". NHS Digital. NHS Digital. 2020-07-09. Retrieved 2021-05-14.
2. ^ ^{a b c} Cimpanu, Catalin (2020年7月9日). “Conti ransomware uses 32 simultaneous CPU threads for blazing-fast encryption”. ZDNet. https://www.zdnet.com/article/conti-ransomware-uses-32-simultaneous-cpu-threads-for-blazing-fast-encryption/ 2021年5月14日閲覧。 Cimpanu, Catalin (9 July 2020). "Conti ransomware uses 32 simultaneous CPU threads for blazing-fast encryption". ZDNet. Retrieved 14 May 2021.
3. ^ ^{a b} “Contiランサムウェアの内部構造を紐解く”. MBSD (2021年4月13日). 2021年12月29日閲覧。
4. ^ ^{a b c} “攻撃を増すランサムウェア「Conti」のアドバイザリーをCISAが公開”. ZDNet Japan (2021年9月24日). 2021年12月29日閲覧。
5. ^ ^{a b} “Contiランサムウェアギャングの概要”. Palo Alto Networks (6月 18, 2021). 2021年12月30日閲覧。
6. ^ ^{a b c} “ランサムウェアグループ、ロシア政府支持を一時表明　ロシアを標的としたサイバー攻撃に「持てるリソースを全て注ぎ込み報復」”. ITmedia (2022年2月26日). 2022年2月26日閲覧。
7. ^ “FBI TLP White Flash Alert: Conti Ransomware Attacks Impact Healthcare and First Responder Networks”. American Hospital Association (2021年5月20日). 2021年12月30日閲覧。
8. ^ ^{a b c d} Corfield, Gareth (2021年5月14日). “Hospitals cancel outpatient appointments as Irish health service struck by ransomware”. The Register. https://www.theregister.com/2021/05/14/ireland_hse_ransomware_hospital_conti_wizardspider/ 2021年5月15日閲覧。 
9. ^ ^{a b} Cimpanu, Catalin (2020年8月25日). “Conti (Ryuk) joins the ranks of ransomware gangs operating data leak sites”. ZDNet. https://www.zdnet.com/article/conti-ryuk-joins-the-ranks-of-ransomware-gangs-operating-data-leak-sites/ 2021年5月15日閲覧。 
10. ^ ^{a b c d e f g h i} “世界中の 400 を超える組織に及ぶ Conti のランサムウェア攻撃”. blackberry (06.25.2). 2021年12月30日閲覧。
11. ^ “「Apache Log4j」の脆弱性、3万5000超のJavaパッケージに影響の恐れ--グーグル調査”. ZDNet Japan (2021年12月20日). 2021年12月29日閲覧。
12. ^ “ランサムウェア集団に広がる「脅迫の多様性」”. TechTarget (2021年12月26日). 2021年12月29日閲覧。
13. ^ Baskin (2020年7月8日). “TAU Threat Discovery: Conti Ransomware”. VMware Carbon Black. 2021年5月14日閲覧。
14. ^ ““夏休み”を経て活発化するランサムウェア攻撃、ハッカー集団との戦いは長期戦になる”. WIRED (2021年9月27日). 2021年12月29日閲覧。
15. ^ ^{a b c} “「Conti」ランサムウェアグループ、写真サービスShutterflyのインシデントに関与か”. ZDNet Japan (2021年12月28日). 2021年12月29日閲覧。
16. ^ “ロシア連邦公式サイトがアクセス不能に　Anonymousが犯行声明”. ITmedia (2022年2月27日). 2022年2月26日閲覧。
17. ^ “ウクライナ侵攻の裏で｢サイバー攻撃｣応酬の行方”. 東洋経済 (2022年3月2日). 2022年3月1日閲覧。
18. ^ “ウクライナ巡るサイバー空間の攻防、ロシアの「控えめな攻撃」に驚く声も　そのワケは？”. ITmedia (2022年3月11日). 2022年3月11日閲覧。
19. ^ “ランサムウェア被害のスコットランド環境保護庁、身代金支払い拒否でファイル暴露される”. ZDNet Japan (2021年1月25日). 2021年12月29日閲覧。
20. ^ “FatFace Hack: Staff Are Told Bank Details May Have Been Stolen”. Forbes (2021年3月25日). 2021年12月29日閲覧。
21. ^ “ランサムウェア「Conti」のまさかの被害者　バックアップ企業が負った痛手とは？”. TechTarget (2021年7月8日). 2021年12月29日閲覧。
22. ^ “アイルランド医療サービスにランサムウエア攻撃　ワクチン接種に影響なし”. ロイター (2021年5月14日). 2021年12月29日閲覧。
23. ^ “恐ろしい…新型コロナ流行で「病院へのサイバー攻撃」が急増中”. 幻冬舎 (2021年11月1日). 2021年12月29日閲覧。
24. ^ “「ランサムウェア攻撃」に狙われる医療機関――癌治療が中断したニュージーランド”. 新潮社Foresight (2021年6月5日). 2021年12月29日閲覧。
25. ^ “Waikato hospitals hit by cyber security incident”. Radio New Zealand. (2021年5月18日). https://www.rnz.co.nz/news/national/442795/waikato-hospitals-hit-by-cyber-security-incident 2021年5月18日閲覧。 
26. ^ “欧州販売会社サーバへの不正アクセスに関するお知らせ（第二報）”. JVCケンウッド (2021年10月8日). 2021年12月30日閲覧。
27. ^ “ケンウッドに不正アクセス”. 朝日新聞 (2021年9月30日). 2021年12月30日閲覧。
28. ^ “ＪＶＣケンウッド、欧州で不正アクセス被害　身代金ウイルスか”. 時事通信 (2021年9月29日). 2021年12月30日閲覧。
29. ^ “JVCケンウッドの欧州グループ会社にサイバー攻撃 - メール障害から判明”. Security NEXT (2021年9月29日). 2021年12月30日閲覧。
30. ^ “Conti Ransomware Group Reportedly Stole 1.5TB Of Data from JVCKenwood”. CISOMAG (2021年10月2日). 2021年12月30日閲覧。
31. ^ ^{a b c d} “2021年第4四半期におけるランサムウェアの脅威動向：Conti、Lockbitによる被害が顕著に”. トレンドマイクロ (2022年2月17日). 2022年3月11日閲覧。
32. ^ “Shutterfly services disrupted by Conti ransomware attack”. Bleeping Computer. (2021年12月27日). https://www.bleepingcomputer.com/news/security/shutterfly-services-disrupted-by-conti-ransomware-attack 2021年12月27日閲覧。 

関連項目

• Wizard Spider - 使用しているグループ。
• Health Service Executiveへのサイバー攻撃（英語版） - 新しい亜種が関与したとされる攻撃。