Cybereason のランサムウェア調査：リピーター被害者になる企業が 80% に達した

It Doesn’t Pay to Pay: Study Finds Eighty Percent of Ransomware Victims Attacked Again

2022/06/08 SecurityWeek — 支払うことはない。この、ランサムウェア支払いに関するアドバイスは、よく言われるものであるが、その事例が列挙されることは殆どなかった。それが、ようやく実現した。新しい調査によると、身代金を支払った企業の 80％ が２回目の被害に遭い、40％ が再び支払っていることが分かった。そのうちの 70% は、２回目のほうが高額の身代金を支払っている。

この数字は、2022年4月に Cybereason が、従業員 700人以上の組織のサイバー・セキュリティ専門家 1,456人を対象に実施した調査から得られたものだ。この統計の衝撃的な内容は、Ransomware: The True Cost to Business (PDF) から引用したものである。それは、自分には起こらないだろうという、根拠のない考え方に基づいて、無視できる問題ではない。これまでの 24ヶ月間において、少なくとも１回がランサムウェア攻撃を受けたことがある組織は 73% に達し、昨年よりも 33% 増加している。

また、60% の企業が、対象となるランサムウェア・ギャングの存在が公になる １ヶ月～６ヶ月前から、自社のネットワークに侵入されていたことを認めており、それは二重の恐喝攻撃が行われていたことの重要な指標となる。しかし、二重の恐喝に対して身代金を支払っても、実際には何の役にも立たない。具体的に言うと、20万社近くが、身代金を支払った後に、データを取り戻すことができなかった。そして、犯罪者は、それとは関係なく、依然としてデータを保有しているのだ。35％ の企業が、ランサムウェアの攻撃により、C-Level の辞任に見舞われている。

この調査から得られた、その他の重要な結果としては、攻撃の要因としてのサプライチェーンの存在の多さである。64% の企業が、ランサムウェア・ギャングのネットワーク侵入経路として、サプライヤーやビジネスパートナーを挙げている。

ビジネスの混乱が、大半のケースで生じている。31% の企業が、攻撃を受けて一時的／永久的な業務停止を余儀なくされ、40% 近くの企業が、その結果としてスタッフを解雇している。身代金の支払いにより、すべてのシステムとデータが復旧したと答えたのは、わずか 42% だった (昨年の 51% から減少)。さらに、54％ の企業が、復号化後のシステムの問題や、一部のデータ破損が、継続していると回答している。

しかし、身代金支払い無駄であることを示す、最も衝撃的な指標は、恐喝攻撃の反復性にある。被害者の 80％ は、２回目の攻撃を受けている。また、40％ が２回目の身代金を支払い、10％ が３回目の身代金を支払い、1％ が４回目の身代金を支払っている。追加攻撃は迅速に行われ、通常では、より高い金額を要求している。68% の企業が、２回目の攻撃時期について、１回目の攻撃から１カ月も経たないうちに生じ、要求額も増えたと回答している。

Cybereason は、攻撃成功後の完全復旧と、その後の復号化の問題が、繰り返して攻撃が行われる重要な要因であると考えている。攻撃者は、完全かつ効果的な復旧や、フォレンジック分析、新たな防御策の展開に、時間がかかることを知っている。そのため、企業の体制が強化されず、最初の攻撃の動揺が残っているうちに、再び攻撃を仕掛けてくる。

Cybereason の CSO である Sam Curry は、「Ransomware-as-a-Service の背後にある経済を理解することが、彼らの行動を理解する鍵になる」と、SecurityWeek に語っている。

Curry は、「このような集団は、私たちがつけた名前からして、放浪するギャングのようなものだと考えたくなる。しかし、それは誤解を招く。ランサムウェア・ギャングというよりも、ランサムウェア・カルテルという呼び名の方が適切だろう。被害者の情報を自動で収集するアフィリエイト・ネットワークがあり、ネットワーク侵入／爆発／恐喝といった、汚れ仕事を行うランサムウェア・ギャングに対して、それらの情報が効果的に販売されているのだ」と述べている。

多くの場合において、アフィリエイトがリードを保持し、別のギャングやカルテルに対して情報を売却していると、Curry は確信している。彼は、 「つまり、同じカルテルによる再攻撃が起こり得るのだ」と付け加えている。 被害者が、セキュリティ慣行を変更しない場合にはどうなるのだろうか。 現実の世界と同様に、組織犯罪は手にした獲物を放すことはなく、一般的なミカジメ料に変化することもあり得る。

さらに Curry は、ランサムウェアの進化は二重恐喝に止まらないとも考えている。ランサムウェアは、被害者が要求額を支払って初めて機能するものであり、脅威の説得力を増すために二重の恐喝へと進化している。しかし、Cybereason の独自の数字によると、それが常に機能するとは限らない。逆説的だが、このレポートでは、「身代金を払わなかったと回答した組織の 78% は、復号キーを全く受け取らずにシステムとデータを完全に復元できた」と回答している。この慣行が拡大し、すべての被害者が目標にすべきだと行動変容すれば、再び攻撃者は進化するだろう。

OT をダイレクトに狙う行為が増えるのだろうかという問いに対して、彼は「絶対にそうだ！この調査から得られたデータだけでは、それを指摘するのに不十分かもしれないが、OT 自体は指数関数的に増加しており、ひどく安全性を欠いている。つまり、 貧弱な暗号／非機能的なハードウェア信頼ルート／不十分な更新メカニズム／脆弱なデフォルト ID 認証などの問題を抱えた、数多くの OT デバイスが出荷されている」と説明している。

Curry は、「これらのデバイスの例として、MRI 装置や製造工場の旋盤などを考えると、それらが悪用されて停止されるだけでなく、他のネットワークへの侵入口となり、組織にとって未知の攻撃ベクターをもたらす可能性もある。ランサムウェア・ギャングにとっての次の進化は、最小の投資と最小のリスクで、最大の成果を得る道を開拓することである。したがって、世界中のランサムウェア・カルテルと、その研究開発部門は、OT を考慮していく必要があるのだ」と付け加えている。

この記事は、2022年4月にCybereason が実施した、サイバー・セキュリティ専門家 1,456人を対象とする調査から得られたデータを基にしているとのことです。それにしても、身代金を支払った企業の 80％ が、その後も繰り返して被害に遭っているという状況には、正直なところ、驚きを隠せません。その要因としては、防御が脆弱であることに加えて、身代金を支払いやすい体質というか、支払わざるを得ない業態があるのだろうと推測してしまいます。そして、後者の要因は、脅威アクターが OT に近づくにつれて、増えていくだろうと思われます。よろしければ、6月1日の「R4IoT キルチェーン実証概念：IoT／IT からの侵入と OT へのランサムウェア攻撃を簡潔に証明」を、ご参照ください。