ランサムウェア攻撃の進化:いまでは驚異的なレベルに達している

Ransomware Attacks Growing More Sophisticated

2021/09/20 SecurityBoulevard — 2021年前半、サイバー犯罪者たちは精力的に攻撃を行い、その勢いは一向に衰える気配がない。今年の上半期だけで、悪意の行為者は、さまざまな種類のデバイスや OS に存在する深刻な脆弱性を悪用し、燃料ネットワークを停止させたり、企業から数百万ドルを引き出したりするという、大掛かりな攻撃を仕掛け続けた。

Trend Micro の 2021 Midyear Cybersecurity Report によると、2021年の上半期に、730万件のランサムウェアが検出されている。しかし、ランサムウェアが注目を集めたにもかかわらず、その検出数は前年比で 50% 減少している。とは言え、しれらの攻撃は、高度に洗練され、標的化され、複雑化しており、被害者にとって不利益な状況となっている。

銀行業を狙ったランサムウェア

2021年上半期で、最もランサムウェア攻撃を受けたのは銀行業界であり、が前年同期比で 1,318% 増加となっている。他にも政府機関や製造業などが、大きな被害を受けました。中小企業向けネットワーク・セキュリティを提供する Untangle の CTO である Timur Kovalev は、政府/重要インフラ/製造業/銀行に、サイバー犯罪者たちはスイートスポットを見出したと説明している。

Kovalev は、「これまでのランサムウェア攻撃では、データの摂取による身代金の要求や、データの流出/販売による脅迫などが行われてきた。しかし、最近では、悪意の攻撃者が特定企業を標的にして、サービスや社会全般に深刻な混乱を引き起こしている。それは、これらの企業は身代金を支払い、一刻も早くサービスを再開したいと考えることを、攻撃者たちが知っているからだ。企業が身代金を支払うから、ランサムウェアの攻撃が増加している」と指摘している。

彼は、「JBS が $11 million の身代金を支払ったと報道されている。また、Colonial Pipelines は $4.4 million の身代金を支払ったが、かなりの金額が返還されている。サイバー犯罪者たちは、多額の支払いを目の当たりにして、より頻繁に、より大きく、より有利に、狙いすましたターゲットを攻撃するようになる」と付け加えている。

デジタルリスク保護ソリューションを提供する Digital Shadows の、Cyberthreat Intelligence Analyst である Stefano De Blasi も、政府機関/製造業/銀行などの組織を狙った攻撃は、高額な報酬を得られる可能性があるため、より頻繁に、より激しくなっていると指摘している。

Blasi は、「サイバー犯罪者にとっての最優先事項は、攻撃活動の最後に報酬を得ることだということを忘れてはならない。狙われた組織が機密情報を保持しており、生産上の必要性からダウンタイムが許されない場合、彼らはより効果的にマネタイズすることができる。過去18ヶ月の間に、ランサムウェア運用が、これまで以上に頻繁になり、収益性も高まっている」と指摘している。

彼は、「この期間中に、いくつかのランサムウェア・グループが組織的な RaaS (Ransomware-as-a-Service)プログラムを確立し、脅威を振りまく著名なプレイヤーになった。その一方で、小規模なランサムウェア・グループの何十もの出現が確認されているが、これらのグループは、確立された RaaS プログラムを有する大規模なグループと競合すると、技術面および財政面で不利となり、長期的な事業の確立に苦労する」と述べている。

Trend Micro の報告書によると、最も多く検出されているタイプは、暗号通貨マイニングのマルウェアである。また、暗号通貨の形態で身代金支払いが要求される理由として、膨大な金額を数秒で、国境を越えて輸送できることが挙げられている。暗号通貨の取引は海外で行われることが多いため、政府の規制力や、取引に対する法執行は限られてしまうとされる。さらに、これらのサイバー窃盗犯の多くは、ロシアなどの国に住んでいるため、彼らを追跡したり、現行犯で捕まえたりすることが、さらに困難になっている。

参入障壁の低減

Blasi は、「いまのマルウェアは比較的安価で使いやすいだけでなく、被害者のマシンにマルウェアを、あらかじめインストールできるものもある。このような仕組みにより、参入障壁がますます低くなり、数多くの経験の浅い脅威アクターが副業として、それらのマルウェアを利用するようになった。当然のことながら、自分の痕跡を隠すことができないために、このような素朴な脅威アクターは、セキュリティの専門家により検出されてしまう」と述べている。

Kovalev は、「ランサムウェア攻撃が続き、要求される身代金の額が増加する一方だが、今後の攻撃を防ぐために、企業や政府が行うべき防御策がある。まず第一に、企業は身代金を支払うべきではない。法執行機関は、サイバー犯罪者に金銭を支払うことは、さらなる攻撃を助長することになるので、支払わないようにと呼びかけている」と指摘している。

さらに、彼は、「これは国際的な問題であり、ランサムウェアを阻止するための、最も効果的な方法は、グローバルなソリューションを開発することだと、認識すべき時が来ている。企業と政府のリーダーが協力して、情報を容易に共有し、サイバー犯罪者に対する訴追協定を策定し、サイバー犯罪者を匿う国家に制裁を加える必要がある」と述べている。

こうした攻撃に対抗するために、標的となりうる大企業は、暗号通貨やブロックチェーンの専門家を、セキュリティ・チームに加えるようになるかもしれない。調査や追跡のスキルを持つ人が、法執行機関や企業で採用される日も近いかもしれない。Blasi は、セキュリティ・チームが自らを、攻略が難しい標的にすることで、防御戦略の堅牢性を高めることができると述べている。

サイバー犯罪者は日和見主義であり、金銭的な動機を持ち、低いところに落ちている果物を狙うような行為者だ。したがって、基本的なサイバー・セキュリティ衛生のベストプラクティスを守り、脅威モデルを牽制していけば、先行性と機敏性が高まり、より有利な立場に立つことができる。サイバー犯罪者たちは、セキュリティ専門家に先行するために、その戦術/技術 /手順(TTP) を、常に改善/更新しており、いまでは驚異的なレベルに達している」と警告している。脅威となる人物に追いつくことは、すべてのセキュリティ・チームにとって困難な作業であり、しばしばモグラ叩きのようなゲームになってしまう。

たしかに、最近のランサムウェア攻撃では、文中に「政府/重要インフラ/製造業/銀行」とあるように、さまざまな業種業態の大手が狙われていますね。しかも、「企業ネットワークに侵入した犯罪者:30分以内に 36% が横移動を開始」で紹介されているように、侵入の手口とスピードはますます洗練されてきました。そして、「ファイルレス・マルウェアは光学迷彩:隠れ家をロジカルにあぶり出せ」を読めば、隠れ方が巧妙になってきたことも分かります。一点だけ、この記事に注文をつけるとしたら、身代金支払いに関する部分となります。「ある CISO の証言:ランサムウェアと身代金の関係は柔軟に考えるべき?」に書かれているように、ある程度の柔軟さは必要だと感じます。

%d bloggers like this: