ラザルスグループ、中東と米国の医療機関を標的としたメデューサランサムウェア攻撃を展開

ラザルスグループ、メデューサランサムウェアを活用した標的型サイバー攻撃を確認

SymantecのThreat Hunter TeamとCarbon Blackのセキュリティ研究者らは、北朝鮮とつながりのあるラザルスグループ（別名：Diamond SleetやPompilusとしても追跡）が、メデューサランサムウェア（Medusa ransomware）を使用し、中東の匿名組織を標的とした最近のサイバー攻撃を展開したことを確認しました。また、Broadcomの脅威インテリジェンス部門は、同じ攻撃者が米国の医療機関に対して行った攻撃が未遂に終わったことも報告しており、同グループの活動範囲が拡大していることが浮き彫りになりました。

攻撃の技術的詳細

報告書では具体的な侵害指標（IOCs）や戦術・技術・手順（TTPs）は明らかにされていませんが、メデューサランサムウェアの使用は、ラザルスグループの進化するツールキットと一致しています。2021年に初めて確認されたメデューサランサムウェアは、二重脅迫（double-extortion）戦術で知られており、被害者のデータを暗号化するだけでなく、身代金支払いを強要するために機密情報を窃取します。同グループが従来の国家支援型スパイ活動や金融窃盗からランサムウェア攻撃へとシフトしたことは、動機の多様化を示唆しています。

ラザルスグループは、過去に2017年のWannaCryランサムウェア攻撃、2016年のバングラデシュ銀行強盗事件、2022年のRonin Bridge暗号通貨窃盗事件など、数々の大規模攻撃を実行してきました。今回、医療機関や中東のインフラといった重要分野を標的としたランサムウェア攻撃は、同グループの適応力とサイバーセキュリティ防御への広範な影響について懸念を高めています。

影響分析

医療機関を標的とする攻撃は、業務停止や患者データの機密性に対する脆弱性から特に警戒が必要です。たとえ攻撃が未遂に終わったとしても、将来の攻撃に向けた偵察活動として機能する可能性があり、データ漏洩、金銭的損失、サービス停止などのリスクを引き起こす恐れがあります。また、国家に支援された脅威アクターによる標的とされることが増えている中東地域では、地政学的緊張の高まりがサイバー戦争のエスカレーションを招いています。

セキュリティチームにとって、この事例はランサムウェアのTTPs、特に高度持続的脅威（APT）グループに関連するものの監視強化の必要性を浮き彫りにしています。ラザルスグループの高度な攻撃手法を考慮すると、防御側は以下の対策を優先すべきです：

• **エンドポイント検出および対応（EDR）**ソリューションによる異常な挙動の特定。
• ネットワークセグメンテーションによる侵害時の横展開の制限。
• 定期的なバックアップと不変ストレージによるランサムウェア影響の軽減。
• 脅威インテリジェンスの共有による新たな攻撃ベクトルへの対応。

組織向け推奨対策

1. パッチ管理：ラザルスグループが過去に悪用した脆弱性（例：CVE-2023-42793、CVE-2022-47966）を含め、すべてのシステムを最新の状態に更新。
2. ユーザー教育：フィッシングシミュレーションやセキュリティ意識向上プログラムを実施し、ソーシャルエンジニアリングによる初期アクセスのリスクを低減。
3. インシデント対応計画：ランサムウェア特有の対応手順を策定・テストし、ダウンタイムとデータ損失を最小限に抑える。
4. ゼロトラストアーキテクチャ：最小権限アクセスと多要素認証（MFA）を導入し、資格情報ベースの攻撃に対する防御を強化。

ラザルスグループが戦術を洗練させ続ける中、高リスク分野の組織は警戒を怠らないことが求められます。国家支援型APTとランサムウェア攻撃の融合は、プロアクティブでインテリジェンス駆動型のセキュリティ態勢の必要性を強調しています。