ランサムウェア: フィールドガイド シリーズ パート 1 / 3
1989 年、「AIDS Trojan」として知られる世界初のマルウェア (ランサムウェア) 攻撃がフロッピーディスク経由で登場しました。攻撃者は被害者に、復号キーと引き換えに 189 ドル (2023 年では 450 ドルに相当) の小切手の郵送を要求しました。
現在、ランサムウェア攻撃者は、その戦術を進化させ、要求金額も高額になっています。 スポーツチーム、Fortune 500 企業、 各国の政府機関などから数百万ドルを得ています。
サイバーセキュリティ 担当者は、変化するランサムウェア状況に対応し、こうした金銭的損害を起こす攻撃を防止する必要があります。以下に、プルーフポイントによる最近の調査で確認された、組織が知っておくべきランサムウェア動向Top 5をご紹介します。
1.ランサムウェアは衰えることなく、重要インフラにより多くの攻撃が
ランサムウェア攻撃は、一時期よりもその攻撃量は減っているものの、しつこく脅威であり続けています。小康状態に見えるのは、法的機関によりいくつもの大規模なランサムウェア組織の活動が停止されたためである可能性があります。さらに、解散または再編成されたグループもあります。 こうした展開により市場が一時的に揺らいでいます。また、サービスとしてのランサムウェア (RaaS) の組織が地盤を固めつつあります。RaaS グループは、すぐに実行できるランサムウェア ツールを開発し、サブスクリプション モデルで販売しています。 ランサムウェア攻撃を仕掛けるために必要なコストと技術的知識のレベルを下げることにより、こうしたグループは、経験の浅い攻撃者向けの市場を形成しています。
現在、潜在的な被害者のグループは縮小しつつあります。これは、多くの潜在的ターゲットが自身のセキュリティ体制を強化しているためです。結果として、攻撃者はより簡単に狙えるターゲットに目を向けています。多くの場合、運輸、通信、医療、教育といった重要インフラが狙われるようになっています。 2022 年だけで、こうした組織はランサムウェア攻撃について 870 件の苦情を FBI に申し立てており、前年に比べ 34% 上昇しています。
「2022 Cost of a Data Breach Report (2022 年 データ侵害にかかる費用)」レポートにおいて、IBM は、重要インフラ組織は、ゼロトラスト戦略の実装やセキュリティ テクノロジーの投資に関してしばしば遅れていることを指摘しています。そのため侵害された場合、その被害額は他業界の組織よりも最大 23% 高くなります。これにより、ランサムウェア グループの興味を引くターゲットとなっています。教育と医療の組織は特に、2022 年後半においてこうした傾向が顕著に見られました。
重要インフラへのランサムウェア攻撃は、その被害額が驚くほど高額であるばかりでなく、国家安全への脅威としてもとらえられています。 ホワイトハウスでは先日、National Cybersecurity Strategy (国家サイバーセキュリティ戦略) を発表しました。ここではこうした攻撃を「国家安全、公共安全、経済繁栄」に対する脅威であると再分類しています。
2.広がる多段階の脅迫手法
ランサムウェア攻撃を受けると、ただシステムがロックされ、暗号化されてしまう時代は過去のものとなりました。今日の攻撃者は、多くの金銭的利益を得ることに注力しています。 つまり、複数のデータ侵害を実行したり、リークサイトで被害者を公開するといった不名誉を与えたり、二重、三重の脅迫スキームで消費者を脅迫したりしながら、複数回にわたり金銭的要求を行います。
プルーフポイントの 2023 State of the Phish レポートでは、ランサムウェアに感染した組織の 64% が身代金の支払いに合意したことが確認されています。さらにそのうち 41% が 2 回以上の支払いを要求されています。残念ながら、データへのアクセスを取り戻せなかった組織もわずかにいますが、こうした状況は珍しいことではありません。
ここ数年において、二重の脅迫をより頻繁に仕掛けるランサムウェア攻撃者が確認されています。顧客データを抜き出し、企業の業務を停止させるのではなくこのデータ自体を利用するといった手口が用いられています。時には、攻撃者は暗号化することなく、すぐに脅迫戦術に移る場合があります。
情報窃取と脅迫の戦術を主に用い、暗号化をおこなうランサムウェアを使用しない攻撃者の数は増えています。 CrowdStrike によると、「2023 Global Threat Report (2023 年グローバル脅威レポート)」において、こうしたグループは 2022 年 20% 増加しています。脅威テクニックも進化を続けており、三重の脅迫が台頭しています。このケースでは、ランサムウェア組織は組織を相手にすることなくその組織の顧客に直接、データ窃取について警告します。
三重脅迫の目標は、顧客からその被害企業に対して、さらにプレッシャーを与えるようにすることであり、まれにその顧客自身を脅迫することもあります。 こうした犯罪手法は、2022 年米国イリノイ州のノックス大学で見られました。先日解体したランサムウェア グループ、Hive は、学生の機密情報にアクセスし、学生に直接連絡し、「私達にとっては通常営業だが、 あなたにとってはつらい日だ。」と述べ、要求内容を告げました。
3.セキュリティ体制の強化に合わせて身代金の金額も安定
さまざまな角度からランサムウェアと戦ってきた年月は無駄ではなかったようです。 1 月、Chainalysis は、2022 年ランサムウェアによる支払いが 570 万ドルから 410 万ドルへと大幅に減少したと評価しています。これは、ランサムウェア脅威の数が減少したというよりも、さまざまな面で進歩が見られたためであると考えられます。今日の企業は、ランサムウェア攻撃を回避するための対策が向上しています。さらに、仮想通貨市場の混乱により攻撃者にとって支払いを受け取るのが困難になっています。企業はまた、支払いを禁ずる法的機関の要請に注意を払っています。
これは、今後ランサムウェアに感染するかもしれない企業にとっては良い知らせです。 しかし、損失額を取り戻すためにサイバー保険に頼っている組織にとっては特に、身代金の支払いは変わらず懸念事項となっています。 プルーフポイントの 2023 State of the Phish レポートによると、ランサムウェア インシデントの被害に遭い、サイバー保険ポリシーの適用を申請した 82% の組織のうち、全額補償を受けたのは 40% 未満です。また、サイバー保険料はますます高額になっており、購入も簡単ではありません。 2022 年、Forrester によると、補償額が 66 万ドル以上のサイバー保険ポリシーが適用されている組織は、わずか 5 社中 1 社であることがわかっています。この数字は、Palo Alto Networks で確認された身代金要求額の平均 220 万ドルよりもはるかに少額です。
ここでも再び、最初のペイロードを防止する準備においてシフトレフトがどれほど重要であるかわかります。この動向のもう一つの良い面として、身代金支払いの平均割引額が上昇していることが挙げられます。これまでの割引額は支払金額の 20% ~ 25% でしたが、現在では割引額が最大 60% のケースも多く見られます。
4.ランサムウェア グループはよりターゲットを絞り、巧妙になっている
支払わない企業が増えていることから、ランサムウェア グループはその攻撃手法と被害者の選択においてさらに戦術的になっています。
また、ランサムウェア グループは、メッセージング アプリ、テキスト メッセージ、電話など、攻撃チャネルも拡大させています。 これらの脅威をまとめて、電話を用いた攻撃実行 (TOAD) の脅威と呼ばれています。2022 年 12 月までに、プルーフポイントは、1 日あたり平均 30 万~ 40 万件の TOAD 脅威を確認しています。こうした通信チャネルはしばしば保護されていません。 また、一部の被害者は。攻撃者の身代金要求を受信した後も、不快なテキストメッセージや脅迫的なボイスメールを受け取る場合もあります。
また、雇用主に攻撃を仕掛けるために従業員を直接雇用するランサムウェア グループが現在もなお存在します。成功すれば、6 桁ドル規模の報酬が約束されます。以前こうした要求は、メールまたは LinkedIn のメッセージから行われていましたが、 最近では、Lapsus$ といったランサムウェア グループは、「ヘルプ募集」広告を Reddit やディープウェブに投稿し、特定の企業へのアクセスを求めます。こうした戦術は、内部脅威の台頭を巻き起こしています。
攻撃者が組織に不正アクセスすると、ネットワーク上でラテラル ムーブメントを展開します。移動しながら機密データを探し出し、こうしたデータへのアクセス権をもつアカウントを乗っ取ります。攻撃者は、こうしたアイデンティティに不正アクセスする戦術を活用しています。そのため、アナリストは、このような成長中の問題を取り上げるために、新しいセキュリティ用語、アイデンティティ脅威の検知と対応 (ITDR) を定義しています。 ITDR は、戦略とソリューションを説明したものであり、Illusive のように攻撃者によるアカウントへのアクセス、認証情報の窃取、その他のアイデンティティ関連の脅威を検知し、阻止します。
システムを完全に中断させると、Lorenz といった一部のランサムウェア グループは、被害者の調査をさらに進めます。被害者のシステムに不正アクセスするために使用するマルウェアは、ますます選定されたものが使われており、カスタムコーディングされていると思われます。この戦略は、成功率を高め、攻撃活動を最大化します。
5.ランサムウェアの加速する進化
業界としてランサムウェアはかつてないほど高速に進化しています。 Ivanti によると、ランサムウェアに関連付けられた既知のシステム脆弱性は、2022 年第 3 四半期の時点で前年比最大 12% 上昇しています。また、多くのランサムウェア グループは、このような脆弱性が公開されると、または時には公開前から、脆弱性を利用するほど俊敏かつ柔軟になっています。
これらのグループはまた、こうした柔軟性を使用して製品を改良し、法的機関から逃れています。Arete と Cyentia が共同で発表したランサムウェア レポートによると、2022 年によく見られたランサムウェアの種類の 70% が 2021 年に存在しないものでした。これは、非常に混乱した環境であることを示しています。業界でよく見られるリブランディングによるものであることも一つの理由として考えられます。
BlackCat などの一部のランサムウェア グループは、検知を回避するために鳴りを静めることで知られており、ただ マルウェアを改良し、全く新しい名前で再び登場します。こうした手法は、これらのグループの追跡や停止をかなり困難にさせています。
貴社はランサムウェアを防止できていますか?
2022 年はランサムウェアが盛んな年でした。そして 2023 年も脅威状況は引き続き日々変化していくでしょう。攻撃者は、返すデータを減らしながら、獲得金額を増やすためのより多くの方法を見つけています。そのため、ランサムウェアを攻撃後に見つけるのではなく、防止に注力することが重要なのです。
プルーフポイントは、セキュリティの多層アプローチと高度な検知アルゴリズムにより、攻撃チェーンに対しシフトレフトを行い、ランサムウェア攻撃がユーザーの受信トレイに届く前に阻止します。
組織がランサムウェア攻撃を適切に阻止できているか確認するにはどうしたらいいのでしょうか? プルーフポイントの無料メールリスク簡易アセスメントなら、組織の環境においてランサムウェアやマルウェアの脅威が存在するか確認することができます。約5 分で次のようなことを実現できます。
- 現在使用しているメール セキュリティ ソリューション が見逃している脅威を発見する
- Very Attacked People™ (VAP) など、組織内の誰が狙われているのかを可視化する
- 進化する脅威に対するプルーフポイントの統合された多層保護を確認する
● あわせて読みたい
