STORMOUS(ステイモス)は、ランサムウェアを主体とするサイバー犯罪集団で、企業や組織のデータを標的にし、主に暗号化されたデータの復旧と引き換えに金銭を要求する攻撃を行います。STORMOUSは2021年頃から活動が確認されており、政府機関や企業を対象にランサムウェア攻撃を実施し、被害者の機密データを盗んで脅迫する二重恐喝の手口も多く見られます。
特にSTORMOUSは、国際的な政治的な動機を持つとされ、特定の国や企業に対して報復的な攻撃を行うこともあるとみられています。また、ダークウェブ上でSTORMOUSランサムウェアを提供することもあり、他のサイバー犯罪者が利用できる形でランサムウェアを拡散しています。
STORMOUSの主な攻撃手法
STORMOUSは、一般的なランサムウェア攻撃に加え、以下のような高度な手法を用いて攻撃を展開します。
- フィッシングとスピアフィッシング
主に従業員を狙ったフィッシングやスピアフィッシングメールを通じて、マルウェアのダウンロードや実行を促し、標的システムに侵入します。メールにリンクや不正な添付ファイルを含め、ユーザーにクリックさせることで感染を広げます。 - リモートデスクトッププロトコル(RDP)の悪用
RDPの脆弱な設定を悪用し、ネットワーク内の端末に直接侵入する手法も利用します。特に管理者権限を取得することで、ネットワーク全体にランサムウェアを展開することが可能です。 - 二重恐喝(ダブルエクストーション)
STORMOUSは、単にファイルを暗号化して身代金を要求するだけでなく、攻撃対象のデータを事前に窃取し、機密情報を公開しないことを条件に追加で金銭を要求する「二重恐喝」を行います。これにより、被害者はデータの復旧と情報の非公開を目的に金銭を支払うことを強要されます。 - ダークウェブでのデータ公開
身代金を支払わない組織に対しては、盗んだデータをダークウェブで公開するなどして圧力をかけます。こうした行為により、企業や顧客の機密データが不正に取引されるリスクが高まります。 - サプライチェーン攻撃
STORMOUSは、標的組織だけでなく、その取引先や関連組織を経由しての侵入を試みるサプライチェーン攻撃も行います。これにより、攻撃対象を拡大し、特定の分野や国への影響力を強めます。
STORMOUSの被害の例
STORMOUSによる攻撃は、政府機関や医療機関、エネルギー、通信企業といったさまざまな業界に及んでいます。特に以下のような例が報告されています:
- 政府関連機関の攻撃
政治的意図や報復として、特定国の政府機関や関連組織に対する攻撃が確認されています。これにより、行政機能の停止や情報漏洩のリスクが生じました。 - 医療機関のシステム停止
医療システムやデータがランサムウェアにより暗号化され、患者データへのアクセスが不可能になるなど、患者の安全性にも影響が及んでいます。 - サプライチェーン全体への拡散
STORMOUSが供給元や取引先を経由して攻撃を展開することで、サプライチェーン全体に感染が拡大し、特に製造業や物流業に大きな影響が発生しました。
STORMOUSによる被害の対策
- 多要素認証(MFA)の導入
特にRDPや管理者アカウントには、多要素認証を設定し、侵入防止に役立てます。 - フィッシング対策
フィッシングやスピアフィッシングによる侵入を防ぐため、メールフィルタリングの強化や従業員教育を徹底します。 - バックアップの確保とオフライン管理
重要なデータのバックアップを定期的に取得し、可能であればオフライン環境で管理します。ランサムウェアによるデータの暗号化に対して、迅速な復旧が可能です。 - 脆弱性の管理
システムやソフトウェアの脆弱性を修正し、最新のパッチを適用することで、攻撃者が侵入に悪用できる脆弱性を減らします。 - アクセス制御と監視
権限の最小化とアクセス制御ポリシーの徹底により、ランサムウェアの拡散を防ぎます。また、ネットワークとログの監視を通じて、不審な動きを早期に検知します。
まとめ
STORMOUSは、ランサムウェアを主な手口として、企業や政府機関に大きな損害を与えるサイバー犯罪集団であり、特に政治的な背景やサプライチェーン全体への攻撃も行うなど、複雑かつ高度な攻撃手法を用います。企業にとっては、バックアップや多要素認証などの対策を徹底し、サプライチェーン全体のセキュリティ管理を強化することが重要です。