ランサムウェア「Maze」とは?

ランサムウェア「Maze」は、機密データの暗号化と窃盗の両方を行い、被害者に身代金の支払いをさらに迫ります。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • Mazeランサムウェアの動作の仕組みを定義する
  • Mazeが行うデータの暗号化と流出方法を説明する
  • ランサムウェア「Maze」の攻撃を防ぐ方法を学ぶ

関連コンテンツ


さらに詳しく知りたいとお考えですか?

是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!

当社がお客様の個人データをどのように収集し処理するかについては、Cloudflareのプライバシーポリシーをご確認ください。

記事のリンクをコピーする

ランサムウェア「Maze」とは?

Mazeは、2019年以降、組織に影響を与えているランサムウェア*の変種です。Mazeを作成したのは1つの主要グループですが、恐喝を目的とした複数の攻撃者によってMazeが使われています。

Mazeを扱う者の多くは、データを暗号化するだけでなく、暗号化したデータをコピーし、身代金を支払わなければデータを漏洩すると脅迫します。ランサムウェア「Maze」の感染は、ランサムウェアの被害(データの喪失、生産性の低下)と、データ侵害の被害(データ漏えい、プライバシーの侵害)を併せ持つため、企業にとっては特に注意が必要です。

*ランサムウェアとは、ファイルやデータを暗号化して開けなくするマルウェアのことです。被害者は、攻撃者に身代金を支払う以外にファイルやデータを取り戻すことは出来ないと言われます。

ランサムウェア「Maze」の攻撃の仕組みとは?

登場した当初、ランサムウェア「Maze」は悪意のあるメールの添付ファイルで配信されることがほとんどでした。最近の攻撃では他の方法を使用して、ランサムウェアのペイロードを投下する前に、ネットワークを危険にさらします。例えば、ランサムウェア「Maze」の攻撃の多くは、盗難または推測されたリモート・デスクトップ・プロトコル(RDP)の認証情報(ユーザー名とパスワードの組み合わせ)を使用してネットワークに侵入します。また、脆弱な仮想プライベートネットワーク(VPN)サーバーを侵害する攻撃から開始するものもあります。

Mazeがネットワークの中に入侵入すると、次のようなの手順を実行します。

  1. 偵察:Mazeはネットワークの脆弱性を調査し、可能な限り多くの接続されたマシンを特定することで、ランサムウェアの起動が最終的に最大限の効果を発揮できるようにします。特に、ネットワーク上のすべての承認されたユーザーとコンピュータをリストするWindowsプログラムであるActive Directoryをスキャンします。この偵察プロセスは、通常、攻撃者が標的となるネットワークに侵入してから数日で完了します。
  2. 水平移動Mazeは偵察で得た情報をもとにネットワーク上に自身を拡散し、できるだけ多くのデバイスに感染させます。
  3. 特権の昇格:Mazeは水平方向に移動すると、より多くの認証情報を盗み、さらに別のマシンに拡散できるようになります。最終的には管理者権限を獲得してネットワーク全体をコントロールできるようになります。
  4. 存続:Mazeは駆除に対抗する様々な技術を使用します。例えば、ネットワーク上にバックドア(セキュリティ対策を回避するための裏口)を設置し、発見され駆除された後も再びインストールできるようにします。
  5. 攻撃:最終的に、Mazeはデータの暗号化と流出のプロセスを開始します。データを暗号化すると、Mazeは被害者に支払い方法、データのロック解除方法、データの流出を阻止する方法を伝える身代金要求の文書を表示または送信します。

Mazeがデータを流出させる仕組みは?

流出」とは、データを許可なく信頼された領域の外に移動させることを意味します。通常、Mazeはファイル転送プロトコル(FTP)サーバーに接続し、ファイルやデータを暗号化するだけでなく、このサーバーにコピーすることでデータを流出させます。攻撃者は、PowerShellやWinSCPユーティリティを使用してこれらの行為を実行します。

一部のケースでは、流出したデータがFTPサーバーに直接転送されるのではなく、クラウドのファイル共有サービスに転送されます。

MazeのWebサイトとは何か?

Mazeを作成したランサムウェアグループは、数年前からダークウェブ上でWebサイトを運営していました。彼らは、過去の攻撃の証拠として、盗んだデータや文書をウェブサイトに掲載し、盗んだデータを共有するためのソーシャルメディアのリンクも掲載していました。

2020年11月、Mazeグループは彼らのWebサイトに投稿した記事で、運営を停止すると明言していました。しかし、ランサムウェアグループによくあるように、別の名前で活動を継続している可能性もあります。

Cognizant社へのランサムウェア「Maze」の攻撃とは?

Cognizant社へのランサムウェア「Maze」の攻撃とは、2020年4月に発生した重大インシデントです。Cognizant社は、世界中の企業にITサービスを提供する企業です。この攻撃により、Cognizant社のネットワークは危険にさらされ、また、顧客の機密データが盗まれた可能性もあります(Cognizant社は、どの顧客が攻撃の影響を受けたのかを公表していません)。Cognizant社のサービスの完全復旧までには数週間を要し、その間、多くの顧客のビジネスプロセスが遅延または停止しました。

Cognizant社は、この攻撃による損失額を5,000万ドルから7,000万ドルであると見積もっています。

その他にあった「Maze」の重大な攻撃は?

  • 米国フロリダ州ペンサコーラ:2019年、ペンサコーラ市がMazeの被害を受けた。攻撃者は、攻撃の証拠としてペンサコーラのデータから2GBを流出させた。
  • キヤノン:2020年、Mazeは画像処理機器メーカーのキヤノンを感染させた。攻撃者は10TBのデータを流出させた。この攻撃の結果、キヤノンの無料ストレージサービスの多くのユーザーは、データを永久に失った。
  • Xerox:2020年、MazeはXeroxのシステムを侵害し、100GBのデータを盗み出した。
  • LGエレクトロニクス:2020年、MazeはLG社からソースコードデータを盗み、流出させた。

その他のMazeの被害者には、WorldNet Telecommunications、Columbus Metro Federal Credit Union、米国整骨医協会、VT San Antonio Aerospaceなど含まれています

ランサムウェア「Maze」の対策方法

次の手順を実行することで、ランサムウェア「Maze」の攻撃の可能性を大幅に低下させることができます。

  • デフォルトの認証情報の使用を避ける:Mazeの攻撃は、認証情報の危殆性を利用してネットワークに侵入しています。デフォルトのユーザ名とパスワードは、地下犯罪組織では一般的によく知られており、安全性に大きく欠けます。
  • 二要素認証(2FA)の使用:2FAとは、アプリケーションへのアクセスを許可する前に、ユーザー名とパスワード以外の方法でユーザーを認証するものです。例えば、攻撃者が盗んだり複製したりできないハードウェアトークンの使用を要求することなどがあります。
  • 電子メールセキュリティ:悪意のある電子メールの添付ファイルをフィルタリングして除外する。予期しない電子メールや信頼できない添付ファイルを無視するようにユーザーを教育する。
  • システムをアップデートする:ソフトウェアをアップデートすることで、Mazeが通常サーバーやネットワークの侵害に使用する脆弱性の一部にパッチを当てることができます。
  • マルウェア対策スキャン:Mazeの感染が発生した場合、感染したデバイスの検出と駆除をできるだけ早く行うことが重要です。マルウェア対策製品は、デバイス上のほとんどの形態のMazeを検出することができます。感染したデバイスは直ちに他のネットワークから隔離する必要があります。
  • Zero Trustセキュリティ:Zero Trustセキュリティモデルは、ユーザーとデバイスの両方を定期的に再検証し、マルウェアに感染したデバイスのアクセスを即座に制限することで、ネットワーク内での水平方向の移動を防止します。 Zero Trustネットワークについての詳細についてはこちらをご覧ください

Cloudflare Oneは、リモートユーザー、オフィス、データセンターを安全に接続するZero TrustモデルのNetwork as a Service (NaaS)プラットフォームです。Cloudflare Oneの詳細とランサムウェア攻撃の対策方法についてはこちらをご覧ください。