Cyber extortion hits all-time high
2023/06/12 HelpNetSecurity — Orange Cyberdefense によると、近年におけるサイバー恐喝攻撃は蔓延の傾向を示しており、あらゆる規模や業種の組織にとって、大きな脅威になっているという。同社の調査で確認された。合計 6,707件の企業被害者のデータを分析したところ、国や業種により被害者数に変動があり、新たな地域にも攻撃が広がっていることが判明した。2022年にはサイバー恐喝被害者数は 8% の減少というデータが示されているが、この減少は短期間に限定されたものであり、最新データである 2023年 Q1 の状況は、これまでで最大のボリュームとなっている。
サイバー恐喝攻撃が増加し続ける一方で、いくつかの主要なサイバー恐喝活動にとって、2022年は “気晴らし” とリブランディングの年であったと、Orange Cyberdefense のレポートは示唆している。
影響を及ばなかった国々にもサイバー恐喝活動は拡大する
サイバー恐喝攻撃においては、地理的なシフトが続いる。最も影響を受けたのは、インドネシア/シンガポール/タイ/フィリピン/マレーシアなどの国々であり、東南アジアの前年比は 42% という大幅増になっている。それと同時に、北米や欧州などの地域では、被害者数の減少が確認されている。
これまでの傾向としては、それぞれの国々は日和見的に狙われており、その国に登録されている組織の数と、被害者数が比例しているとされてきた。しかし、この一般的な傾向は、欧米の大国が脅威に対して積極的に反応し、脅威アクターたちが新たな狩場を探し始めたことで変化している。つまり、脅威アクターたちは、政府における対応が消極的で、攻撃側から見たリスクレベルが低いと思われる地域に集中してきた。
ウクライナ戦争がサイバー恐喝の生態系を崩壊させた
このレポートのデータによると、はサイバー恐喝攻撃に対して、戦争が大きな影響を及ぼしていることが分かる。それにより、活動は鈍化し、これまでの攻撃を継続する前に、脅威アクターたちの再編成が発生していると思われる。
ウクライナ戦争に起因する地政学的緊張により、多くの国々が紛争の一方に忠誠を誓うようになり、サイバー恐喝のパターンも、それに追随すると予想されている。実際のところ、同社の調査結果によると、2022年の被害者の 74% が、NATO 諸国を拠点にしていることが判明している。
しかし、NATO 諸国に影響を及ぼすサイバー恐喝は、戦争開始時に顕著に減少し、戦争が進行するにつれて減少し続けた。つまり、この間における、親ロシア派の脅威アクターたちの活動量は、NATO 加盟国におけるサイバー恐喝と比例していない。
2023年 Q1 において、特に 2023年3月においては、劇的な変化が観察された。この、活動の急増という、これまでとは異なる傾向が、今後も続くかどうかは、予断を許さない状況である。
NATO 加盟国の組織への影響が大きくなると予想されたが、まったく逆の現象が観察されている。具体的には、ラテンアメリカ (32%増) や東南アジアなどの、非 NATO 諸国で被害者数が増加した。ウクライナ戦争と政治的状況により、どのような影響が生じるのかは、現時点では明らかにされていない。ただし、時間の経過につれて、影響を受ける組織が現象していることから、この戦争により、NATO 加盟国におけるサイバー恐喝事件が増加していないことは、ある程度の確信を持って言えるだろう。
戦術を変える脅威アクター
2022年において大きな影響を受けたのは製造業であり、被害者全体の約 20% に達していた。しかし、2022年の製造業は前年比で 39% の減少を観測し、2022年後半に顕著に減少していることが判明した。この急激な減少の理由のひとつは、Conti グループのシャットダウンに関連する可能性が高いとされる。
2022年の教育部門は、前年比で 41% の増加であり、はるかに被害が大きくなっている。そして、Vice Society グループにより、この分野における組織が、平均で 10件/月のペースで、ダークウェブで公開されていることが確認された。影響を受けた Top-5 の国々は、米国/英国/スペイン/フランス/オーストラリアであった。
また、公益事業分野は 51% 増となっているが、2022年に観測された実際の被害者数は、35件という低い状況にある。
また、金融分野は 11% 増であり、130以上の組織がサイバー恐喝の被害者となり、サイバー恐喝攻撃の拡大が報告されている。なお、被害者全体の 75% が、従業員数 1,000人未満の組織だった。
全体的な企業規模について、2022年に最も影響を受けたのは大企業の 36% であるが、中堅企業が24%、小規模企業が 30% という数字を記録している。
サイバー恐喝を阻止するための試み
インパクトの強い攻撃が続いた結果として、世界中の政府が、より幅広い対策を講じ始めている。自国内で活動する企業が身代金を要求された際に、その支払いを禁止している国もある。米国やオーストラリアの政府は、海外の脅威アクターを非難する公式声明を何度も発表している。依然として後手に回ってはいるがが、法執行機関の動きも追いつきはじめ、脅威アクターたちの活動を妨害するケースが増えている。
このエコシステムを破壊するための行動として、法執行機関や政府が、犯罪者の逮捕/インフラの撤去/資金の差し押さえ/国際制裁/暗号解読機の開発/ハックバック活動などを展開していることも、好ましい状況だと言えるだろう。
Orange Cyberdefense の Head of Security Research である Charl van der Walt は、「2023年 Q1 に被害者数が増加したが、サイバー恐喝の脅威と戦うための継続的な努力により、今年は良い結果が得られるという希望がある。しかし、それを達成するためには、業界として団結し、脅威や攻撃に関する情報を共有し続ける必要がある。国や業界を問わず、被害者の分布に大きな変化が見られる。この種の犯罪に対抗するためには、官民の協力体制を強化するべきだ」と述べている。
ランサムウェア攻撃ですが、その際に用いる脅しの材料が、データの暗号化から、データの暴露へと、移行しているように感じます。アックアップさえあれば、複合キーは不要となりますが、データの暴露に対しては対抗策がありません。そのような背景からか、2023/02/27 の「米国の国家サイバー戦略が規制を強化:攻撃的な Hack-Back アプローチも容認」にあるように、米国では報復攻撃が容認される可能性もあるようです。また、それが報復攻撃のせいだったのかどうかは分かりませんが、Entrust を恐喝していた LockBit のリークサイトが、DDoS 攻撃でダウンするというインシデントもありました。なお、この記事のベースになっている、Orange Cyberdefense のレポートは、かなりの力作です。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.