ゴースト ランサムウェアが70ヶ国以上の組織へ不正アクセスとサイバー攻撃

CISA（アメリカ国土安全保障省サイバーセキュリティ・インフラセキュリティ庁）とFBIは、ランサムウェア攻撃グループ「Ghostランサムウェア」による大規模な攻撃が世界70カ国以上で確認されたことを発表しました。このランサムウェアは、重要インフラを含む多様な業界を標的にしており、影響を受けた業界には医療、政府機関、教育、技術、製造業、中小企業などが含まれます。

Ghost ランサムウェアの概要

ランサムウェア攻撃グループ　Ghost ランサムウェアは2021年初頭から古いバージョンのソフトウェアやファームウェアを利用している、世界中のユーザーへサイバー攻撃と不正アクセスを行っています。

なお、今のところ日本での活動や攻撃については言及されていません。

Ghost ランサムウェアの別名

このグループに関連付けられている別名には、Ghost、Cring、Crypt3r、Phantom、Strike、Hello、Wickrme、HsHarada、Rapture などがあり、

攻撃に使用されたランサムウェアのサンプルには、Cring.exe、Ghost.exe、ElysiumO.exe、Locker.exe などがあります。

Ghost ランサムウェア拠点

中国に拠点を置いているとされますが、中国を含む70ヶ国の組織に無差別にサイバー攻撃を実施しています。

Ghost ランサムウェアが悪用している脆弱性例

Ghost ランサムウェアは攻撃者による初期アクセスの足がかりとして以下のような脆弱性を悪用し、ランサムウェアの展開やデータ窃取に利用されます。

対象製品	CVE番号	脆弱性の内容
Fortinet SSL VPN	CVE-2018-13379	認証情報の漏洩
ColdFusion	CVE-2010-2861, CVE-2009-3960	コード実行の脆弱性
Microsoft Exchange	CVE-2021-34473, CVE-2021-34523, CVE-2021-31207	ProxyShell攻撃を可能にする脆弱性

企業・組織が今すぐ講じるべき対策

CISAとFBIは、Ghostランサムウェアの被害を防ぐために、以下の対策を推奨しています。

1. バックアップと復旧計画の強化

• 定期的なバックアップを実施し、オフサイトまたはクラウドに保存
• ネットワークから隔離されたバックアップを確保し、ランサムウェアによる暗号化を防止
• 復旧プロセスのテストを行い、いざという時に迅速に復旧できる体制を整備

2. 重要な脆弱性のパッチ適用

• Ghostランサムウェアが狙うCVE（特にCVE-2018-13379, CVE-2021-34473など）を優先的に修正
• 定期的な脆弱性スキャンを実施し、未修正のシステムを特定
• ファームウェアやOS、アプリケーションのセキュリティ更新を怠らない

3. ネットワークのセグメント化

• 感染拡大を防ぐために、ネットワークを細かく分割
• 管理者アカウントのアクセス制限を強化し、特権ユーザーの制御を徹底
• VPNやリモートアクセスにはゼロトラストモデルを適用

4. 多要素認証（MFA）の導入

• 管理者アカウントとメールアカウントにはフィッシング耐性のあるMFAを適用
• リモートデスクトップ（RDP）のアクセスにはMFAを必須に
• パスワード管理の強化と、定期的な変更を推奨

5. ネットワーク監視とログ管理の強化

• SIEM（セキュリティ情報イベント管理）を活用し、不審なアクティビティをリアルタイムで検出
• 異常なPowerShell実行や管理者権限の変更など、不審な挙動を即時検知
• Windows DefenderやEDR（エンドポイント検出・対応）ツールのログを監視

参照

#StopRansomware: Ghost (Cring) Ransomware