近年、サイバーセキュリティの世界に新たな脅威が登場しました。その名は「BlackSuit(ブラックスーツ)」。このランサムウェア攻撃グループは、短期間で世界中の大手企業や重要インフラを標的にした攻撃を繰り広げ、サイバーセキュリティ専門家の間で大きな懸念を呼んでいます。

BlackSuitの出現と特徴

BlackSuitは2023年5月に初めて確認された比較的新しいグループです。しかし、その短い活動期間にもかかわらず、すでに多くの高profile攻撃を成功させています。
このグループの特徴として以下が挙げられます。

  1. 高度な技術力
    Windows、Linuxの両方のシステムを標的にできる能力を持つ
  2. 二重恐喝戦術
    データの暗号化に加え、機密情報の窃取も行う
  3. ロシア系の犯罪グループとの関連性
    専門家はRoyalやContiといった悪名高いグループとの繋がりを指摘

最近の攻撃事例

BlackSuitの攻撃は、その規模と影響力において際立っています。

  1. KADOKAWA(日本)
    2024年6月、約1.5TBのデータを暗号化したと主張
    引用:https://rocket-boys.co.jp/blacksuit-attack-kadokawa-nico-nico/
  2. CDK Global(米国)
    2024年6月、自動車ディーラー向けシステムに大規模な障害を引き起こす
    引用:https://www.bleepingcomputer.com/news/security/cdk-global-says-all-dealers-will-be-back-online-by-thursday/
  3. 南アフリカ国立保健検査サービス
    2024年6月、1.2TBのデータを盗んだと主張
    引用:https://codebook.machinarecord.com/threatreport/33968/

これらの攻撃は、BlackSuitの技術力と戦略の洗練さを示しています。

BlackSuitの攻撃手法

BlackSuitの攻撃は通常、以下のような段階を経て行われます。

  1. 初期アクセス
    VPNの設定ミスなどを利用
  2. 横断的移動
    PsExecやKerberoastingなどの手法を使用
  3. データ窃取
    機密情報を大量に盗み出す
  4. ランサムウェア展開
    システムを暗号化し、身代金を要求

特筆すべきは、攻撃後のBlackSuitの行動です。彼らは被害組織の顧客や関係者を装って電話をかけ、さらなる情報を入手しようとする手口も報告されています

対策と今後の展望

BlackSuitのような高度な脅威に対し、専門家は以下のような対策を推奨しています。

  1. 定期的なバックアップと多要素認証の導入
  2. ネットワークデバイスの設定管理の集中化
  3. Windowsイベントログの綿密なモニタリング

しかし、技術的対策だけでは不十分です。組織は従業員教育や、インシデント対応計画の策定など、総合的なアプローチを取る必要があります。

企業は特に確実な備えを!

EDR(エンドポイント検出および対応)の重要性

このような攻撃から企業を守るために、EDR(エンドポイント検出および対応)の導入をおすすめします。EDRの重要性について、以下のポイントを挙げます。

1. 早期検出と迅速な対応

EDRはエンドポイント上での不審な活動をリアルタイムで監視し、異常を即座に検出・対応します。HOYA株式会社が不審な挙動を早期に発見し、迅速にサーバーの隔離を行ったように、EDRは迅速な対応を支援する強力なツールです​​。

2. 詳細なインシデント調査とフォレンジック分析

EDRは、サイバー攻撃の詳細なインシデント調査とフォレンジック分析をサポートします。HOYA株式会社が外部専門家と連携してフォレンジック調査を行ったように、EDRを導入することで、攻撃の全貌を迅速かつ正確に把握し、再発防止策を講じるためのデータを提供できます​​。

3. 自動化された防御と復旧

EDRは、攻撃を自動的に防御し、被害を最小限に抑えるための対策を自動化する機能を備えています。HOYA株式会社のような大規模な製造業では、手動対応には限界があるため、EDRによる自動化された対応は非常に有効です。

4. 脅威インテリジェンスの活用

EDRは最新の脅威インテリジェンスを活用して、新たな攻撃手法に対する防御策を常に更新します。これにより、最新の脅威に迅速に対応することができます。

5. サプライチェーン全体のセキュリティ強化

製造業は複雑なサプライチェーンを有しており、その全体のセキュリティを強化することが重要です。EDRは、サプライチェーン全体のエンドポイントを包括的に監視・保護し、連携するパートナー企業のセキュリティも向上させることができます。

まとめ

BlackSuitの出現は、サイバー犯罪の進化が止まることなく続いていることを示しています。その高度な技術力と戦略的アプローチは、既存のセキュリティ対策の限界を浮き彫りにしています。組織はこの新たな脅威に対し、常に警戒を怠らず、セキュリティ態勢の継続的な強化と更新を行う必要があります。サイバーセキュリティは終わりのない戦いですが、BlackSuitのような脅威に対する理解を深め、適切な対策を講じることで、私たちのデジタル資産を守ることができるのです。