Conti

Contiランサムウェア：冷酷な脅威の実態と対策

Contiは、2020年5月に初めて確認されたランサムウェアの一種であり、その凶悪性で知られています。従来のランサムウェアグループが医療機関などを標的にしないことを明言する中で、Contiは多数の医療機関を問答無用で標的にするなど、その冷酷さが際立っています。アメリカのセキュリティ企業Palo Alto Networksは、「私たちが追跡している数十のランサムウェアギャングの中でも際立って冷酷なランサムウェアの一つ」と評しています。

Contiの概要

Contiを開発しているのは、[ロシア]]のサンクトペテルブルクとウクライナを拠点にしていると推測されるハッカーグループ、Wizard Spiderです。このグループは、ランサムウェアRyukも運用しています。Contiはサービスとしてのランサムウェア]を提供していますが、他のグループとは異なり、身代金の一部を報酬としてアフィリエイトに支払うのではなく、[[ランサムウェアを運用した攻撃者に賃金を支払うという特徴があります。

脅威の詳細

Contiは、Microsoft Windowsのすべてのバージョンに影響を与えることが確認されています。Mac OS、Linux、Androidは脅威を受けません。攻撃者は、スピアフィッシング攻撃、リモート監視・管理ソフトウェア、リモートデスクトップソフトウェアなど、様々な手法やツールを用いてシステムに侵入します。

セキュリティ企業Advanced Intelligenceは、ContiなどがLog4jの脆弱性（Log4Shell）を悪用する手段を模索していると報告しています。

Contiの挙動

システムに侵入すると、ContiはまずWindowsのバックアップであるボリュームシャドウコピーを削除しようとします。次に、リスタートマネージャを使用して多くのサービスを停止させ、それらが使用しているファイルを確実に暗号化できるようにします。さらに、リアルタイムモニターを無効にし、Windows Defenderアプリケーションをアンインストールします。

Contiは、ネットワークを通じて水平方向に広がることで被害を拡大させようとします。デフォルトの動作では、ネットワークのServer Message Blockドライブを検出しようとし、ローカルと同様にすべてのファイルを暗号化します。

このランサムウェアは、最大32個の個別の論理スレッドを使用するAES-256を実装しており、他のランサムウェアよりもはるかに高速で暗号化を行います。その結果、デバイスのCPU使用率、機能、パフォーマンスにも影響が出ますが、Contiは発見されるリスクよりも迅速に暗号化することで任務を達成しようとします。

暗号化するとシステムに致命的なダメージを与えるWindows、boot、tempといったフォルダや、.DLL、.exe、.sys、および.lnkといった拡張子のファイルは暗号化から除外されます。またオプション設定によっては、特定のドライブや個々のIPアドレスをターゲットにすることもできます。

Contiによって暗号化されると、旧バージョンではファイル名に .CONTI または .[A-Z]{5} のファイル拡張子が追加されていましたが、最新バージョンではファイル名に .CONTI の拡張子は使用されなくなっています。

暗号化が完了すると、「Conti_README.txt」または「readme.txt」というファイルを生成します。このテキストには被害者向けに、連絡先や身代金の支払い方法などが記されています。連絡先URLの「CONTI Recovery service」というサイトでは、攻撃者と連絡をとるために readme.txt ファイルをアップロードするよう指示されます。

脅迫と身代金要求

Contiは、暗号化の解除（復号）と、盗んだ情報を流出させると二重で脅迫することで身代金を要求します。2021年10月には、JVCケンウッドとの交渉中に情報がリークされたことを不満として、入手したデータを意地でも公開すると宣言しました。

復旧の難しさ

身代金を支払ったとしても復旧できない事例も多く、「一部しか復旧できなかった」「ファイルを削除してしまったので復元は不可能と言われた」「途中で音信不通となった」など、犯人グループの不誠実な対応も指摘されています。

そのためNHS Digitalは、システムを復旧する唯一の方法は、暗号化されたすべてのファイルを最新のバックアップから復元するしかないとしています。

Contiの歴史

2020年5月: Contiの活動が初めて確認され、同時に盗み出した情報を暴露するサイトも開設されました。
2021年4月: 三井物産セキュアディレクションによると、Contiは全ランサムウェア被害全体の25%を占めており、当時活動中の全てのランサムウェア攻撃グループの中で最も活発かつ被害数が多いと推測されていました。同社によると、1ヶ月あたり平均30以上の組織が被害に遭っていました。
2021年5月: アイルランドの保健サービス委員会やニュージーランドのワイカト地区保健局などの医療機関への攻撃が判明すると、Contiは国際的な怒りと非難を浴びました。攻撃に関与したマルウェアグループは、このランサムウェアのデクリプター（復号鍵）を公開しました。
2021年9月: アメリカのサイバーセキュリティ・インフラストラクチャー・セキュリティ庁（CISA）と国家安全保障局（NSA）、FBIは、ランサムウェア「Conti」による攻撃が計400件以上確認されたと共同で警告を発しました。
2021年12月: セキュリティ企業Advanced Intelligenceは、Contiが過去6カ月間で1億5000万ドル（約170億円）以上の身代金を入手していたと発表しました。
2022年2月: ロシアのウクライナ侵攻後、Contiはロシア政府の全面支持を表明する声明を発表しましたが、後に一部訂正しました。その後、Contiのメンバー同士の会話やログ、ランサムウェアのソースコードなどがリークされ始めました。

被害を受けた企業・組織（一部）

スコットランド環境保護庁(SEPA)
ファット・フェイス
ExaGrid
アイルランドの保健サービス委員会(HSE)
ニュージーランドのワイカト地区保健局
JVCケンウッド
Graff
Advantech
Nordic Choice Hotels
McMenamins
* Shutterfly

まとめ

Contiランサムウェアは、その冷酷な手口と広範囲にわたる被害で、世界中の組織にとって深刻な脅威となっています。バックアップからの復元など、適切な対策を講じることが重要です。

もう一度検索