Medusaランサムウェアが重要インフラにとってますます脅威となっている理由

、

Senior Content Marketing Manager

April 4, 2025

23 最小読取り

メデューサはいつも怪物以上の存在でした。

で古代神話、彼女の視線は男たちを石に変えた。の間にルネッサンス、彼女は美が致命的になったことの象徴だった今日、彼女は変容の象徴として取り戻され、姿を現していますファッション、ポップカルチャー、エンパワーメントのシンボル。

今日、彼女は戻ってきました。大理石や神話の世界ではなく、マルウェアの世界です。メデューサのサービスとしてのランサムウェア (RaaS) オペレーション、以来アクティブ 2021 年 6 月現在、世界中の重要インフラに対する攻撃を強化しています。対象セクターには、医療、教育、法律、保険、テクノロジー、製造業界が含まれます。

2025年の最初の2か月間のメドゥーサランサムウェア攻撃の数昨年の同時期と比較して2倍になりました —メデューサが衰えているのではなく、加速していることを示す急激な上昇。

Different portrayals of Medusa throughout the years

神話では、メデューサを見ることは死を意味しました。サイバーセキュリティでは、彼女に会えないと、電力、水、輸送、金融システム、そして世界を運営し続けるインフラである公共の信頼が脅かされる可能性があります。 ‍

CISAとFBIからの共同警告

2024年2月、CISAとFBIは共同勧告を発表しました。 #StopRansomware: メデューサランサムウェア。

以上 300 の組織病院、金融機関、学校、政府機関などですでに被害を受けています。

政府機関は次の緊急措置を勧告しています。

オペレーティングシステム、ソフトウェア、およびファームウェアにパッチが適用され、最新の状態であることを確認します。
ネットワークをセグメント化して横方向の動きを制限します。
未知または信頼できない送信元がリモートサービスにアクセスするのを防ぎ、ネットワークトラフィックをフィルタリングします。

ランサムウェアは今や国家的リスクです

‍ランサムウェアいつもこんなに危険なわけじゃなかった 1989年、初めて知られているランサムウェア攻撃 — 通称エイズトロイの木馬 —フロッピーディスクで配送され、189ドルを郵送で要求されました。

イルミオによると、今日ランサムウェアのグローバルコスト調査:

重要システムの 25% が攻撃中に平均12時間ダウンします。
身代金の平均要求額は120万ドルを超えています。
支払い後でも、被害者の13％だけがすべてのデータを回復しています。
封じ込めには130時間（約11日）以上、18人近くかかります。

ランサムウェアは単なるサイバー脅威ではありません。それは時間、お金、そしてレジリエンスの浪費です。そして、それが重要なインフラに打撃を与えると、そのリスクは財政破綻を引き起こし、国民を危険にさらし、さらには政府を不安定にすることさえあります。

重要インフラがこれほどまでに露出している理由

‍重要インフラがランサムウェアの標的になるのには重要な理由があります。それが重要なのです。

イルミオのクリティカル・インフラストラクチャー・ソリューション・ディレクター、トレバー・ディアリング氏は、「重要なインフラストラクチャは本質的に不可欠です。もしそれを壊してしまえば、その波及効果は計り知れません」と述べています。「重要なサービスに対する真の脅威は、運用の停止、つまり電気、水道、または輸送システムが停止したときです。物事が本当に危険になるのはその時です。」

電力網からパイプラインまで、社会のバックボーンは、時代遅れでパッチの効かない技術、特にレガシーICSやSCADAシステムで稼働していることがよくあります。

イルミオのEMEAシステム・エンジニアリング担当ディレクター、マイケル・アジェイも同意見です。

「これらのシステムは更新が難しく、攻撃者が簡単に悪用できます」と彼は言います。「そのため、Medusaのようなランサムウェアの理想的な標的になっています。」

モダナイゼーションが加速しているにもかかわらず、重要インフラの世界ではセキュリティが取り残されがちです。

「ハードワイヤード制御システムは、セキュリティへの影響を十分に考慮していないまま、イーサネットやWi-Fiに置き換えられつつあります」とDearing氏は言います。「そして、多くのメーカーがデフォルトのセキュリティが弱い機器を出荷しているため、組織がそれを強化するためにできることは限られています。」

多くの重要インフラ組織は公営企業であるか、国の資金に依存しています。つまり、調達が遅く、監視が複雑で、予算が限られているということです。言い換えれば、これは巨大で防御が不十分なターゲットです。

重要インフラへの攻撃はどの程度深刻になる可能性がありますか？

ある調査によると、2023年には、最も一般的な15件の脆弱性のうち11件がゼロデイ欠陥として悪用されました共同報告書 CISAとNSAから。悪用のスピードと規模は、特に重要なシステムにおいて、防御側がパッチを適用する前に、攻撃者がどれほど迅速に欠陥を武器化しているかを示しています。ランサムウェアの戦術が進化するにつれて、攻撃者は軽微な脆弱性を大きな脅威に変え、重要なインフラストラクチャを不安定にし、重要なサービスを中断させる可能性があります。

ハイブリッド時代向けに構築されたランサムウェア

Medusaはゼロデイ脆弱性や大規模なエクスプロイトを必要としません。動きは静かで、クラウドアプリをオンプレミスのデータセンターに接続できるハイブリッド環境向けに構築されています。 ‍

Medusaは、ネットワーク内にすでに存在するツール（いわゆる）を使用することで検出を回避しますリビング・オフ・ザ・ランド (たくさん)。新しいマルウェアをドロップする代わりに、組み込みのプログラムや脆弱性を悪用して通常の操作に溶け込みます。

これらには次のものが含まれます。

パワーシェル
ウィンドウ管理インストルメンテーション (WMI)
リモートデスクトッププロトコル (RDP)
Wise ScreenConnect
SSH (Linux および Unix システム上)

「これらのツールは許可され、信頼されており、攻撃者が望むようなアクセスをすでに得ています」とAdjei氏は言います。「重要なのはツールではなく、その特権とリーチです。」

ScreenConnectやSolarWindsなどのリモート管理ソフトウェアは、事前に承認されているため特に魅力的です。大規模な接続、監視、制御を目的として設計されているため、攻撃者が悪人の手に渡ると攻撃力が倍増し、攻撃者はシステム全体に即座に攻撃を仕掛けることができます。

また、ランサムウェアがITのように振る舞う場合、警報を発しない可能性があります。

Adjeiが言うように、「現代のランサムウェアは玄関から侵入してくるのではなく、スパイのように溶け込んでいます。」‍

横方向の動き：メデューサの広がり方

攻撃者は、行きたい場所ではなく、簡単に着地できる場所に着陸します。その後、王冠の宝石にたどり着くまで、システムごとに静かにネットワーク上を移動します。

には 2 つのタイプがあります横方向の動き:

‍ホスト固有の: システム内での権限昇格 (例:svc-ndscans)‍
ホストエクストリンシック: RDP または WinRM によるマシン間の移動

典型的なメデューサの攻撃では、両方のタイプが連携します。まず、デバイスの内部を制御できます。次に、そのアクセスを使用してネットワーク全体に静かにファンアウトします。 ‍

データ漏洩と二重強要

メデューサはまた、データを暗号化して流出させるという二重の強要も行っています。つまり、回復のために身代金を要求したり、盗まれたデータがオンラインやダークウェブで公開、販売、漏洩したりしないことを約束するためです。

最終段階では、攻撃者は機密データを見つけて盗み、コマンドアンドコントロールサーバーに送り返します。このコールバックトラフィックは、DNSテキストレコードやICMPパケットなどの手法を使用して、一般的な通信ポートをトンネリングできます。これらの手法は、気付かれずに従来の防御をすり抜けるように設計されています。