イギリスの国家サイバーセキュリティーセンター(NCSC)が今年6月に発表したRyukに関する報告書では「Ryukは他のマルウェアファミリー、特にEmotetやTrickbotバンキングトロジャとリンクしている」と記されている。Ryukは企業等を対象に身代金を要求するランサムウェア。政府の菅官房長官は11月末の記者会見でEmotetの感染被害が日本国内で相次いでいることを明らかにし注意を喚起した。EmotetとRyukはどのように結び付いているのだろうか?
NCSCによれば、Emotetは2014年に最初に検出された金融機関を狙ったトロイの木馬だが、Ryukの感染においてはマルウェアのドロッパーの役割を担っているとみられ、一般にEmotetが感染の鎖の一部としてTrickbotを配布することが確認されている。Trickbotは2016年後半に検出され、FIREEYEによれば、その管理者グループは東ヨーロッパに本拠を置き、限られた数のサイバー犯罪者にTrickbotを提供している。トロイの木馬のEmotetがTrickbotを配布し、その後、ランサムウェアのRyukが展開されるという流れが確認されている。しかし、FIREEYEは「すべてのTrickBot感染がRyukランサムウェアの展開につながるわけではないことに注意することが重要」としており、また、Trickbotの配布と運用からRyukの展開までを共通のオペレーターまたはグループが行っているという明確な証拠はないとしている。よって日本国内でのEmotetの感染についても、Emotetに感染したコンピューターが他のマルウェアに感染しているのかどうか注視する必要がある。
東京都は今年5月20日、多摩北部医療センターの医師のコンピューター端末・メールアカウントに不正アクセスがあったとし、医師メールポックス内に保存されていたメール8335件、医師の職務用パソコンおよび個人用パソコンの端末内と端末から接続可能なサーバーに保存されている情報が流出した可能性があると明らかにした。流出した可能性のあるメール8335件のうちの24件については患者の個人情報が含まれていたという。多摩北部医療センターのすべての端末328台をウィルススキャンしたところ8台にウィルス感染が確認され、10台にウィルス感染の疑いがあった。多摩北部医療センターは公益財団法人東京都保健医療公社が運営しており、同公社メールサーバーや都庁メールサーバーにもスパムメールが送信されたようだ。スパムメールはアメリカのサーバーから送信されていたという。
東京都は6月7日に多摩北部医療センターでの不正アクセスについてEmotetの感染があったことを明らかにし、メールの添付ファイルを開封したことにより感染したと発表した。一方、ウィルススキャンにより感染が確認されたり感染疑いのあった他の端末はEmotetとの関連はないと発表した。多摩北部医療センターでは、同センターの医師をかたって送信されている添付ファイルの付いた不審メールについて、メールの特徴を公開して注意を呼びかけている。
トレンドマイクロによると、Emotetを拡散するメールは日本国内で今年9月後半から確認され、10月にその検出数が急増、検出されるメールには日本語が使われていることから欧米でのメールが誤って送信されたのではなく日本が攻撃の対象になっていると分析している。さらにトレンドマイクロは国内でEmotetに感染した複数の法人の事例においてTrickBotやRyukに連鎖して感染する事例を確認しているとしていることから、日本におけるEmotet の侵入についてもランサムウェアRyukとの関連を含めて分析していくことが必要だ。
Ryukは、北朝鮮のハッカーグループ「Lazarus」に起因するランサムウェアの一種のHermesとコードが類似していることから北朝鮮との関係を指摘する見解があったが、現在はロシアのサイバー犯罪者に起因しているとの見方が支配的だ。Ryukは、日本のマンガ「DEATH NOTE」に登場する死神、リュークを意味しているともされ、マカフィーは「リュークの背後にいる犯罪者はマンガに夢中になっているようだ」として背後にいるのは「業界通」のサイバー犯罪開発者との見方を示している。
・A Nasty Trick: From Credential Theft Malware to Business Disruption
・公益財団法人東京都保健医療公社が運用する端末等に対する不正アクセス被害の発生による、メールアドレス等の個人情報の流出と対応について(第二報)
・トレンドマイクロ 変化を続けるマルウェア「EMOTET」の被害が国内でも拡大
・Ryuk Ransomware Involved in Cyberattack Stopping Newspaper Distribution
・Ryuk Ransomware Partners with TrickBot to Gain Access to Infected Networks
・マカフィー Ryuk Ransomware Attack: Rush to Attribution Misses the Point