アクロニス、アサヒグループへのサイバー攻撃を受けて企業が取るべき対策を公式ブログにて提言
アクロニス・ジャパンは11月14日に、アサヒグループホールディングスにおいて9月末に発生した、サイバー攻撃の実行犯である国際的ランサムウェア攻撃集団「Qilin」の、攻撃手法を技術的に分析するとともに企業が今取るべき防御策を解説した、「止まらないQilinランサムウェアの脅威――日本企業を襲う攻撃シナリオを解説」と題する記事を、公式ブログにて公開した。
「侵入を前提とした防御設計」が不可欠
「Qilin」によるリークおよび一部報道によれば、アサヒグループホールディングスを標的にしたサイバー攻撃では、約27GB・9300ファイルに及ぶ機密情報が窃取され、国内6カ所の製造施設で操業停止が発生したという。この攻撃による損失は、最大で約500億円にのぼる可能性がある。
「Qilin」(「Agenda」との別名も持つ)は、RaaS(Ransomware-as-a-Service)モデルで運営されるランサムウェア、2022年にはじめて確認され2025年以降に活動が急増している。Go言語、Rust、C言語といった複数言語で実装され、マルチプラットフォームに対応し、医療、製造、金融、法律サービス、教育、重要インフラといったさまざまな業種を標的とする。
ビジネスモデルは、開発者が収益の15~20%、実行者(アフィリエイト)が80~85%を得る分業型のビジネス構造を採用している。また、被害者との交渉を支援する法的サポート機能「Call Lawyer」を通じて、法務専門家へのアクセスを提供し、身代金の支払いを促進する。
あわせて、「Ramp」フォーラム上で積極的な採用を実施しており、マルウェア配布だけでなく、スパム配信、DDoS攻撃、PB規模のデータストレージ機能なども併設している。また、Cobalt Strike(C2)、Mimikatz(認証情報窃取)、NetExec(ネットワーク侵入)といった、高度なツールキットを提供する。
過去に用いられた侵入手法としては、Fortinet製品の脆弱性悪用、認証情報の悪用、Infostealerの利用、公開インターフェースの脆弱性悪用などが用いられている。なお、アサヒグループホールディングスへの攻撃における具体的な侵入経路は、現時点では公開されていない。
一般的な攻撃パターンとしては、Fortinet脆弱性や漏洩VPN情報、Infostealerによる侵入を用いた初期アクセスを経て、SimpleHelp RMM脆弱性、Cobalt Strike、Mimikatz、PsExecによる拡散などを用いた横展開が行われる。その後、財務・契約情報などを圧縮転送するとともに、ログ削除とVSS破壊によって痕跡を隠蔽する。さらに、ChaCha20+AES+RSA多層暗号化で復旧を極めて困難にするほか、VSSを削除してしまうため復旧がさらに難しくなる。
アクロニス・ジャパンは、このような攻撃による被害から重要なデータを守るために、企業に対して侵入を前提とした防御設計を求めている。
具体的には、従来の単純なパスワードやSMS認証から、指紋認証やセキュリティーキーの活用といったフィッシング耐性のあるMFA(FIDO2/WebAuthn)への移行、および「パスワードレス認証」×「ゼロトラストアクセス」の導入による被害の局所化が必要となる。
さらに、ダークウェブモニタリングにおいて自社ドメインの認証情報が漏えいしていないかを監視することで、攻撃の兆候をいち早く察知することが求められる。また、バックアップの安全性を確保する「不変ストレージ(Immutable Storage)」によって、攻撃者がバックアップデータを暗号化・削除しても、変更できない状態で保持することで、緊急時の復旧を可能にすることが必要であると指摘している。
