ダークウェブへの潜入調査:ランサムウェア・ギャングたちのデータを分析/整理

A Trip to the Dark Site — Leak Sites Analyzed

2022/01/20 TheHackerNews — ランサムウェアのオペレータが、侵入直後にファイルを暗号化し、被害者に復号化キーの代金を請求するという時代は終わった。現在、一般的に見られるのは、暗号化の脅威に加えて、盗んだデータの流出という脅威を伴うものであり、Double-Extortion (Cyber Extortion : Cy-X) と呼ばれている。それは、被害者を貶めるリークサイトを介して、サイバー犯罪の一部を観察/分析を可能にするという点で、価値を見いだせるものとなる。

私たちは 2020年1月以降に、これらのサイトを可能な限り特定し、そこに登場する被害者を記録することに注力してきた。また、Cy-X のオペレーターやダークウェブから集めたデータを、独自に調査/分析/加工することで、被害者の声をダイレクトに把握することができた。

ただし、私たちが分析しているのは、犯罪に対する限定的な視点であることを明確にしなければならない。とはいえ、漏洩予告の分析から得られるデータは、非常に参考になるものだ。

ここでは、侵害された組織が Cy-X のリークサイトに掲載されることを「リークスレット」と呼ぶことにする。以下の図表の大半に表示されている数字は、これまでの2年間で、私たちが特定/追跡することができた Cy-Xグループの、オニオンサイトにおける個々の脅威の数を示している。

リーク脅威というブーム

我々が観察している環境には、ばらつきがあるだろう。しかし、ユニークなリーク数は、この犯罪の規模と、その一般的な傾向を示す、信頼できる代用品となる。私たちは、2020年 Q1〜2021年 Q3 で、リークの脅威が約6倍に増加していることを確認した。

Orange Cyberdefense Security Navigator 2022

裕福なところを叩く:国別の漏洩脅威の推移

被害者が活動している国を見てみよう。

Orange Cyberdefense Security Navigator 2022

上記の表では、データセットに掲載されている上位 10カ国の、2020年と2021年のリークスレット数を示している。また、折れ線で住めすのは、最も裕福な 12カ国 [1] の推定 GDP となる。

上位の被害国は、データセットの中で比較的一定している。データセットに含まれる国のランキングは、その国の相対的な GDP を示している。経済規模が大きければ大きいほど、被害者の数も多くなると考えられる。実際のところ、Cy-X の被害国上位 10カ国のうち 8カ国には、世界の GDP 上位10カ国が含まれている。

ここから導き出される結論は、ある国における被害者の相対的な数は、その国におけるオンライン・ビジネス数とシンプルに関連しているということだ。それにより、Cy-X アクターは、特定の国や地域のターゲットを意図的に攻撃しないと、決定的に証明することはできない。また、GDP の高い国の事業者が、GDP の低い国の被害者よりも、攻撃される可能性が高いとも言えない (その国で公開されている事業者数が多ければ、確率は均等になる)。

このデータから分かることは、ほとんどすべての国々で企業が侵害され、搾取されているということだ。論理的には、企業の数が多ければ多いほど、被害者の数も増えることになる。

ルールにおける例外

ただし、私たちは、インド/日本/中国/ロシアを、上記のグラフに加えている。それは、Cy-X の被害者リストで下位に位置する、GDP の大きな国の例である。2021年の GDP が $ 2.72 trillion であるインドと、$ 13.4 trillion の中国の存在感が薄いように見えるが、それにはいくつかの理由が考えられる。たとえば、インドは人口が多く、それに応じて GDP も大きいが、一人当たりの GDP は低く、経済の近代化やデジタル化が進んでいないため、標的となるオンライン・ビジネスが少ないと考えられる。

犯罪者たちは、インド企業によるドル建ての身代金の支払いが可能なのか、あるいは、支払わないだろうかと疑っているのかもしれない。英語でコミュニケーションできない企業は、場所の特定/理解/操作/交渉が難しく、汎用的なソーシャル・エンジニアリング・ツールを使って騙すことができない。

日本は経済的には高度に近代化されているが、中国やインドと同じように言語や文化の壁があるため、被害者数が少ないと考えられる。

結論としては、Cy-X は英語圏から非英語圏へ、しかし今のところは、ゆっくりと移動しているということになる。それは、新しいアクターが求める被害者という需要が、高まっていることの論理的な結果であるとも考えられる。また、米国からの政治的なシグナルが強まっているため、アクターたちが標的にする相手に対して、より慎重になっているとも考えられる。

いずれにしても、結論としては、ほぼ全ての国で被害者が出ており、これまで比較的影響を受けていないと思われていた国も、このままでは、次第に困ることになるということだ。

ワンサイズで全てに対応:ただし大物狩りの証拠はない

以下のグラフは、このデータセットに含まれる企業規模別の被害者数を、上位5つの脅威アクターにマッピングしたものだ。ここでは、組織の規模を小規模 (従業員数1000人以下)/中規模 (1000~1万人)/大規模 (1万人以上) と定義している。

Orange Cyberdefense Security Navigator 2022

従業員数 1000人以下の小規模企業が最も頻繁に侵害され、全漏洩事件の約 75% が、この規模の企業で発生している。この傾向は、2年間で蓄積されたリーク・スレット・データにおいて、産業別/国別/アクター別で一貫して見られる。

この傾向に対する最も明白な説明は、犯罪者が無差別に攻撃していることもあるが、世界的に中小企業が増えていることだ。小規模な企業は、攻撃からの防御や、攻撃からの回復といった、スキルや技術的リソースが脆弱な可能性もある。このことからも、あらゆる規模の企業が標的になることが予想され、漏洩サイトの被害から逃れる決め手は、企業が攻撃に耐え、漏洩から回復する能力を持っているかどうかになる。

また、ここで調査している犯罪は、窃盗ではなく恐喝であるため、犯罪者がデータに価値を見出すことはなく、影響を受けたデジタル資産の価値は、被害者の問題であることにも注目したいと思う。

したがって、価値のあるデジタル資産を持っている企業であれば、誰もが被害者になる可能性を持つ。また、規模が小さくても、データが「無関係」だと思われていても、大きな保護を得ることはできず、「レーダーを掻い潜る」こともできない。

ここで述べてことは、分析結果のほんの一部である。特定された脅威アクターや最も狙われている業界など、より詳細な情報は Security Navigator に掲載されている (他にも興味深い調査テーマがある) 。Orange Cyberdefense の Web サイトからダウンロード可能なので、ぜひ参照してほしい。その価値は十分にあるはずだ。

この記事は、Orange Cyberdefense の lead security researcher である Carl Morris と、head of security research である Charl van der Walt により執筆/提供されている。

この記事は、これまでにない調査対象を選び、これまでには到達できなかった分析を行っています。特に3つ目のチャートに表されている、メジャー・ランサムウェア・ギャングのシェア (?) などは、これまでに予測すらできなかった領域です。大もとの、Orange のレポート Orange Cyberdefense Security Navigator 2022 ですが、たくさんのチャートを用いて、多様な切り口から分析したデータを紹介しています。ぜひ、ダウンロードしてください。

%d bloggers like this: