サイバー攻撃の手口がますます高度化する中、ランサムウェア「Medusa」の急増が大きな懸念となっています。
この記事では、「Medusa」がどのような手法で攻撃を行い、Spearwing RaaS(ランサムウェア・アズ・ア・サービス)がどのように関与しているのかを詳しく解説します。また、企業が取るべき対策についても紹介し、最新のサイバー脅威から組織を守るためのポイントを整理します。
1. Medusaランサムウェアとは?
「Medusa(メデューサ)」は、近年急速に拡大しているランサムウェアの一種です。
2025年3月、米Symantec社のレポートによると、「Medusa」による攻撃は2023年から2024年の間に42%増加し、2025年1月と2月だけで40件以上が報告され、前年同期比で約2倍に増加しました。
このランサムウェアは「Spearwing」と呼ばれる攻撃グループによって運用され、ランサムウェア・アズ・ア・サービス(RaaS)モデルを採用しています。これにより、多くのサイバー犯罪者が「Medusa」を利用して攻撃を仕掛け、大規模な組織を標的に高額な身代金を要求しています。
▼詳細はこちらから🔗:Medusa Ransomware Activity Continues to Increase
2. Medusaランサムウェアの攻撃手法
ここでは、Symantec社のレポートを参考に、「Medusa」ランサムウェアの攻撃手法について紹介します。
Microsoft Exchange Serverの脆弱性を悪用
「Medusa」の攻撃手法の特徴として、未修正の脆弱性(ゼロデイ攻撃)を狙うことが挙げられます。特に、Microsoft Exchange Serverの既知の脆弱性を悪用し、企業ネットワークへの侵入を試みるケースが報告されています。
Microsoft Exchange Serverは多くの企業が利用しているため、適切なセキュリティ対策が施されていない場合、容易に攻撃者の標的となってしまいます。
BYOVD(Bring Your Own Vulnerable Driver)攻撃
「Medusa」はまた、「Bring Your Own Vulnerable Driver(BYOVD)」と呼ばれる手法を多用します。これは、署名済みでありながら脆弱性のあるドライバを標的ネットワークに展開し、それを悪用してセキュリティソフトウェアを無効化する手法です。
この手法により、通常のウイルス対策ソフトウェアでは「Medusa」の活動を検知することが難しくなります。
3. Spearwing RaaSとは?
「Medusa」を広めているのが、「Spearwing」と呼ばれるグループです。このグループはランサムウェア・アズ・ア・サービス(RaaS)を提供し、他の攻撃者にツールを供給することで利益を得ています。RaaSモデルでは、サイバー犯罪者がランサムウェアの使用権を購入し、攻撃を実行することで、身代金の一部を「Spearwing」に支払う仕組みになっています。
このモデルの普及により、「Medusa」は急速に広がっており、被害が拡大しています。2023年初頭の活動開始以来、「Medusa」による被害はすでに400件以上報告されており、実際の被害者数はさらに多いと考えられています。
4. 被害の規模と影響
「Medusa」によってどのような被害や影響が起きているのでしょうか。
高額な身代金要求
「Medusa」によるランサムウェア攻撃では、要求される身代金が非常に高額である点が特徴です。攻撃者は、10万ドル(約1,500万円)から1,500万ドル(約22億円)もの金額を要求していることが確認されています。
データ流出と二重脅迫
ランサムウェア攻撃では、単にデータを暗号化するだけでなく、「二重脅迫」が行われるケースが増えています。これは、被害者のデータを盗み出した上で、身代金の支払いを拒否した場合にそのデータを公開すると脅す手法です。
「Medusa」もこの手法を活用しており、データ流出サイトにはすでに多数の被害者情報が掲載されていることが確認されています。
▼ ランサムウェアについてはこちらから
5. 企業が取るべき対策
「Medusa」による攻撃を防ぐためには、以下の対策が重要です。
1. システムの最新化とパッチ適用
まずは、Microsoft Exchange Serverを含むシステムを常に最新の状態に保つことが重要です。特に、既知の脆弱性を修正するパッチの適用を怠ると、サイバー攻撃の標的になりやすくなります。
定期的な更新スケジュールを設定し、OSやアプリケーションのセキュリティ更新を確実に実施することで、攻撃リスクを低減できます。
▼ Microsoft Exchange Severのバージョンアップ方法はこちらから🔗:Exchange を最新の累積的な更新プログラムにアップグレードする | Microsoft Learn
2. エンドポイントセキュリティの強化
BYOVD攻撃を防ぐために、企業はエンドポイントの監視を強化する必要があります。不審なドライバのインストールを制限し、管理者権限でのインストール操作を厳格に管理することで、マルウェアの侵入を防ぎます。
また、EDR(Endpoint Detection and Response)などの高度なセキュリティツールを導入し、リアルタイムで脅威を検出・対応できる環境を整えましょう。
3. バックアップの定期的な実施
ランサムウェア攻撃の被害を最小限に抑えるために、企業は定期的なバックアップを実施することが不可欠です。特に、オフラインまたはクラウドベースのバックアップを活用し、攻撃を受けても迅速にデータを復旧できる体制を構築することが重要です。バックアップの頻度を適切に設定し、復元テストを定期的に行いましょう。
4. ゼロトラストセキュリティの導入
ゼロトラストセキュリティモデルを導入することで、すべてのアクセスを検証し、厳格な認証プロセスを適用できます。
多要素認証(MFA)やコンテキストベースのアクセス制御を活用し、不正アクセスのリスクを最小限に抑えることができます。また、ネットワークのセグメンテーションを実施し、攻撃が拡散するのを防ぐことも効果的です。
5. 従業員のセキュリティ意識向上
フィッシングメールなどを通じた感染リスクを低減するために、企業は定期的なセキュリティトレーニングを実施する必要があります。
従業員が不審なメールやリンクを識別し、適切に対応できるよう教育を行うことで、人的要因によるリスクを軽減できます。また、社内で疑わしい活動があれば即座に報告できる仕組みを構築しましょう。
6. まとめ
「Medusa」ランサムウェアの脅威は年々増加しており、特にSpearwing RaaSの影響によって急速に拡大しています。Microsoft Exchange Serverの脆弱性やBYOVD攻撃を悪用するこのランサムウェアは、多くの企業にとって深刻なリスクとなっています。
しかし、適切なセキュリティ対策を講じることで、被害を最小限に抑えることが可能です。システムの最新化、エンドポイントセキュリティの強化、バックアップの実施、ゼロトラストの導入など、企業が今すぐ取り組むべき対策を実行し、サイバー攻撃から組織を守ることが求められます。
コメント