ランサムウェアの先にあるもの: 予測される脅威アクターの収益拡大戦略と組織がとるべき備え

Apr 28, 2023
1 minutes
... views

ランサムウェアの現状

2022年のランサムウェアに関する分析をまとめたレポート、「2023 Unit 42 Ransomware and Extortion Report」がリリースされました。パロアルトネットワークスの脅威インテリジェンス調査チーム、Unit 42がまとめたもので、2022年も多くのランサムウェア被害が発生していることがわかりました。

  • 攻撃者は暗号化以外の脅迫手段を増やしており、窃取したデータを公開すると脅す手法の併用を7割の事例で確認
  • 身代金の最高要求額は5,000万ドル(約65億円)、最高支払額は700万ドル(約9億円)
  • 最も被害が多かった業種は製造業
  • 攻撃者が公開した窃取データ数は2,679件と一昨年(2021年)より増加
  • 世界上場企業上位2,000社のうち30社がデータ窃取・公開の被害に

一方で、身代金要求額の中央値は65万ドル(約8,000万円、前年比70%減)、支払額の中央値も35万ドル(約4,500万円、前年比35%減)と大幅な減少傾向にあります。これには以下のような背景があると考えられます。

  1. 身代金の支払いを拒む組織が増加
    各国・地域の政府や法執行機関は身代金の支払いに神経をとがらせており、サイバー犯罪者への支払いや支払い幇助が法に触れる可能性を示唆する国もあります。そのため世界的にも身代金の支払いを断固として拒む流れになっています。
  2. バックアップ対策の浸透
    防御側で適切にバックアップを行っていればデータは復元できます。こうした組織が増え、暗号化だけでは交渉に応じてもらえないため、要求金額を下げる、データを窃取して公開する、といった手法をとる攻撃者が増えていることが考えられます。
  3. 被害組織の規模が相対的に小さくなってきた
    攻撃者は被害組織の規模や支払い余力などによって身代金額を変えてきます。弊社が対応した事例でも攻撃者の要求金額は3,000ドルから5000万ドルと大きな幅がありました。身代金要求金額の減少傾向は、被害組織の規模が相対的に小さくなってきたことを受けての可能性があります。

さらに、各国の法執行機関はランサムウェアに関与した人物の逮捕や攻撃システムの停止を行い、サイバー犯罪者等を追い詰めています。2023年3月に米国バイデン政権がリリースした「国家サイバーセキュリティ戦略」の中でも、国際連携によりランサムウェアの脅威に対して対処していくことが述べられています。攻撃者は法執行機関による国際的包囲網から逃れながら、脅迫手段を増やすことで低下するランサムウェアによる収益をなんとか確保しようとしています。

攻撃側の戦略

ランサムウェアを使う攻撃者がより多くの報酬を得るためにとれる戦略として以下の3つが考えられます。

  1. 高額な身代金を支払える大きな組織を狙う「厚利少売」型
  2. 数をこなすことで総額を大きくする「薄利多売」型
  3. 身代金以外から収益を得る「一石二鳥」型

厚利少売型

一度の攻撃で多額の身代金を得るには大きな組織を狙う必要がありますが、セキュリティ対策を行っている割合も高くなります。組織規模が大きくなれば拠点数や関連会社が増え、サプライチェーンも多く、長くなります。そのため攻撃者は弱い箇所から侵入して組織の中心へと移動しながら身代金を最大化するチャンスを伺うことが考えられます。ターゲットが大きくなると、初期侵入から収益を得るまでにコストや時間がかかるため、攻撃者には技術力と資金力が必要となります。

薄利多売型

古い脆弱性にパッチをあてていない、弱いパスワードでアクセスできるなど、簡単な攻撃手法で侵入できる組織を狙い、手間をかけずに侵害して身代金を得る機会を増やす戦略です。ターゲットの規模や産業は問わず、攻撃が成功してから被害組織の規模にあった身代金の額を要求するため、犯罪者は可能な限り攻撃の自動化を行って被害者数を増やす手段をとります。

一石二鳥型

交渉に応じない組織が増加したり、コストに見合わないリターンしか得られなくなったりすると、身代金以外の収益源が必要となります。その資源となるのが侵入時に被害組織から窃取した情報です。現在のランサムウェアは侵害した組織の可能な限り中枢にある重要なシステムやデータへのアクセス権を取得しようとするため、侵害時に得たこれらの情報を以下のような手段で収益化する可能性があります。

  • 販売
    盗み出した内部情報をダークウェブ上に開設したリークサイトで販売しているランサムウェアグループはすでにいくつもあり、被害組織や流出したデータに興味を持つ第三者が購入できます。販売されているデータには知財や機密情報、個人情報などが含まれているケースもあるため、さまざまな動機から潜在顧客がリークサイトを定期的に巡回しています。
  • 詐欺
    漏洩した内部情報は詐欺などの犯罪に悪用される可能性があります。例えばビジネスメール詐欺は役員や取引先を装って資金を不正に移動させる犯罪ですが、犯罪者は攻撃の成功率を高めるため組織内部にアクセスして収集した情報や正規メールアカウントを悪用してターゲットを騙します。FBIの集計では2022年のビジネスメール詐欺の被害額は27億ドル(約3,500億円)を超えており、最も経済的な損害を出しているオンライン犯罪の1つです。こうした詐欺で盗み出された情報が悪用される可能性があります。
  • サイバー攻撃
    盗み出された認証情報や個人情報がほかのサイバー犯罪者に売却されることで、新たな侵害が発生します。例えば、被害組織のシステムやデータ・ソースコードが改ざんされる、マルウェアが埋め込まれる、認証情報が悪用される、別の組織に対するサプライチェーン攻撃開始に使われる、といったサイバー攻撃につながることがあります。

どう備えるべきか

ランサムウェアを始めとするサイバー攻撃への備えに必要な3つの視点は以下の通りです。

侵害のハードルを高くする

サイバー攻撃を完全に防ぐことは誰にもできませんが、侵害を困難にすることは可能です。セキュリティ対策という妨害によって攻撃者が目的を達成するまでの時間をかけさせたり、コストを高くしたりできれば、得られるリターンとのバランスから攻撃を完遂する前に断念して次のターゲットに移る可能性が高くなります。

早期発見能力を高める

莫大な収益をあげたい、知財や機密情報が欲しい、インフラを破壊したいなど、攻撃者は目的によってはコストと時間をかけた攻撃を実施することがあります。攻撃者が目的を達成する前に、侵害を見つけて対処が行える能力を持つ必要があります。

犯罪として対処する

身代金支払いの交渉に応じないことをすべての被害者が続ければ、収益があがらない犯罪はいずれ衰退します。また侵害被害にあったことを法執行機関に報告することで、攻撃者が特定・逮捕される可能性が高まり、抑止力につながります。また、侵害の詳細や影響の公表は難しいかもしれませんが、攻撃の痕跡や手口といった情報を共有することで、攻撃者が同じ手口を使えない状況になり、次の攻撃へのハードルが高まります。


Subscribe to the Blog!

Sign up to receive must-read articles, Playbooks of the Week, new feature announcements, and more.