【後編】米国におけるインターネット関連の犯罪動向から、今後起こりうるサイバー犯罪を考察

米国のデジタル化動向は、日本を数年先取りしていると言われている。つまり、米国の動向を的確に把握・理解しておくことは、今後の日本国内のデジタル化推進においてもきっと役立つだろう。そして、それはデジタル化と関係性の深いサイバー犯罪においても大きく変わることはない。前編に続き、米国のセキュリティ動向について、キヤノンマーケティングジャパングループでサイバーセキュリティラボに所属し、海外の動向にも精通するキヤノンITソリューションズ株式会社 ITプラットフォーム技術統括本部サイバーセキュリティ技術開発本部サイバーセキュリティラボ主管スタッフ中濱禎夫氏が解説する。

米国におけるランサムウェアの動向

ここ数年、日本国内でも被害が増加傾向にあるランサムウェア。米国では2016年が被害発生件数のピーク（2020年時点）となっている。この件数の推移については、あるトレンドとの関連性が指摘されている。以下、中濱氏が解説する。

「ランサムウェアの被害発生件数は、2016年まで年々増加傾向にありました。しかし、一転して2017年、2018年と減少に転じ、2019年には再び増加しています。この背景の一要素として、暗号資産（仮想通貨）の相場が関連していると言われます。暗号資産の代表格、ビットコイン（BTC）のチャートは2017年11月に当時最高値の2万ドル（約208万円）近くへ。そこから下落を続け、2019年には往時の5分の1近くとなる4,000ドル（約42万円）割れとなりました。ランサムウェアの被害発生件数はその動向に連動していると考えられます。」

図1：米国におけるランサムウェアの発生件数と被害金額
（Internet Crime Complaint Centerの資料をもとに作成）

「被害発生件数は2019年に再び上昇に転じ、被害金額も過去最高を記録して900万ドル（約9.4億円）近くに達しました。これは暗号資産の相場暴落により、攻撃者がランサムウェアに戻ってきたことを示唆していると考えられます。また、被害発生件数が増大した背景には、EmotetやGrandCrab、その後継であるSodinokibi、Ryukなど爆発的な感染力を有するランサムウェアの流行も挙げられます。

加えて、攻撃手法が巧妙化し、攻撃者が単純にランサムウェアをばら撒くだけでなく、人手をかけるようになってきたことも関係しています。これは、人件費をかけても十分に回収できる見込みがあるほど『儲かる』ということを意味しているのです。図2のように、1件当たりの被害金額も増加傾向にあり、案件によっては1件当たりの被害金額が1億円を超えるようなものも珍しくなくなってきています。」

図2：米国におけるランサムウェアの発生件数と一件当たりの被害金額
（Internet Crime Complaint Centerの資料をもとに作成）

新型コロナウイルスの感染拡大に乗じる犯罪グループ

セキュリティ製品やサービスを展開する企業Group IBによるレポートでは、2019年にランサムウェアによる攻撃は前年比で約40%増、さらに身代金の要求額は1件当たり約6,000ドル（約62万円）から約8.4万ドル（約874万円）へ14倍近くに増加したという。SodinokibiやRyukなどの大流行も影響し、2020年第一四半期は1件あたりの要求額が11万ドル（約1,144万円）超に達したとの調査結果をCovewareが発表しているように、2020年はランサムウェアのさらなる被害が増えることが確実視されている。中濱氏はそのような見込みに対し、次のように自身の見解を述べる。

「2020年において、すでに日本国内の大手ゲーム会社への攻撃でその名が知れ渡ったRagnar Lockerや身代金交渉の決裂時にDDoS攻撃を仕掛けるSunCryptなどの被害が拡大していることが確認されています。

これらの新しいランサムウェアに共通しているのは、より悪質化していることです。悪名高い犯罪グループであるMazeは『Doxing』あるいは『Double Extortion』と呼ばれる、二重に脅迫する手法を最初に採用しました。それまでのランサムウェアはデータの暗号化だけにとどまっていましたが、Mazeは身代金の支払いを拒否した場合、そのデータを公開すると脅迫して犯罪の成功確率を引き上げました。

彼らは身代金交渉が決裂すると、そのデータをダークウェブ上に公開したのです。ダークウェブ上に公開したのは、痕跡が残りづらいことと、被害者によるテイクダウン（掲載Webサイトへの閉鎖依頼）を避けるためです。Mazeは他の犯罪グループにも参加を呼び掛け、『Mazeカルテル』を形成するに至りました。」

2020年11月にMazeは活動停止を発表。活動停止以前に、新型コロナウイルスの感染拡大期において実に興味深い行動が確認されたている。感染拡大による患者の受け入れでひっ迫している医療機関の窮状を踏まえ、医療機関に対しての攻撃は行わないとの見解をコンピューターの技術情報を提供するWebメディア Bleeping Computerに回答したのだ。

Maze以外にも同様の回答をCLOP、DoppelPaymer、Nefilim、Netwalkerなどの犯罪グループからも得られたという。さらに、もし手違いでデータが暗号化されるようなことがあった場合、無償で復号のための鍵を提供するとも申し出たのだ。人道的な見地からの紳士的な振る舞いだと見る向きもあるかもしれない。しかし、中濱氏はそうした見方を一蹴する。

「医療機関の被害は残念ながらなくなっていません。ロンドンの新型コロナウイルスのワクチン開発を行っていた企業では、臨床試験の治験者データが公開されてしまいました。これはMazeによる身代金の要求を拒否したためです。Mazeの声明によると、この攻撃はBleeping Computerへの回答前だったとの理屈ですが、時期が前後したからといって正当化されるものではありません。また、別の犯罪グループであるRyukにおいては、医療機関をターゲットとすることを止めていません。さらに、9月にはデュッセルドルフの大学病院が被害に遭ったことで急病患者を受け入れることができなくなり、その患者が死亡するという痛ましい事件も起こっています。大学を攻撃したつもりが病院にまで被害がおよび、このような結果を招いたのです。」

狙われるリモートワークという業務形態

新型コロナウイルスの感染拡大という脅威を前に、ランサムウェアの犯罪グループが人道的な対応を掲げたことについて、評価する向きもあるかもしれない。しかし、先に中濱氏が述べたように、実際に被害は医療機関にも及んでいるという事実を忘れてはならないだろう。さらに、彼らはこの大きなトレンドをしっかりとビジネスチャンスにも変えている。中濱氏は以下のように続ける。

「新型コロナウイルスの拡大で出勤の抑制を余儀なくされたのは日本だけではありません。全世界的にリモートワークが推奨され、遠隔でオフィスのパソコンを操作できるRDP（リモートデスクトッププロトコル）の活用が進みました。日本国内ではISPがグローバルIPアドレスを割り当てるのが一般的ですが、海外では個々の端末にグローバルIPアドレスが割り当てられていることもあるため、RDPを直接操作できてしまうことが少なくありません。」

図3： ESETの調査で観測されたRDP攻撃試行の傾向

「犯罪グループにとって、このような状況は非常に好都合なのです。企業ネットワーク上の端末に不正侵入することと比較すると、RDP経由で個人のパソコンに侵入することはハードルが大きく下がります。図3のように、ESETがテレメトリ―で観測した調査では感染拡大期においてRDPに対するブルートフォース攻撃が2倍に増加したことがわかっています。」

犯罪グループはRDP経由で個人のパソコンに不正侵入し、機密情報を盗み出す。そしてその情報を精査し、どのようにその情報を活用して利益を最大化するかなど創意工夫を凝らす。単純に機密情報を盗み出し、脅迫することで金銭を窃取するという手法からアップデートしているのだ。手口が進化することで、前編でも紹介した、BEC（ビジネスメール詐欺）やEAC（アカウント侵害）と連動するようなケースも増えてきている。また、犯罪行為の分業化も進んでいるという。

「Shodanで調べるとわかりますが、ポートが開放され、RDPが操作可能な端末は非常に多いのです。そのようなハッキング可能なアカウント情報が集積され、ダークウェブ上で販売されているのです。サイバーセキュリティ会社 KERAのレポートによると、2020年9月の時点でそのような情報は前月比で3倍近くの値が付けられています。要するに、そうした情報の需要が増え、価値が高まっているのです。

また、ダークウェブ上で販売されているものの一つにRaaS（Ransomeware As A Service：ランサムウェアアズアサービス）が挙げられますが、ハッキング可能なアカウント情報の販売も犯罪の分業化を象徴していると言えるでしょう。すなわち、サイバー犯罪におけるエコシステムが確立しつつあるということです。サイバー犯罪が犯罪グループにとって儲かる状況が続く限り、このような傾向は当面変わらないものと思われます。」と中濱氏は現状に危機感を募らせる。

巧妙化が進むサイバー犯罪への対策

1件の犯罪が成功することで得られる金額が大きいことは、犯罪グループにとって大きな魅力である。そのことに疑う余地はないだろう。だからこそ、防御側にとっては犯罪の成功確率を下げることに注力することで被害の可能性を低減させることが求められる。ランサムウェアに対してFBIがまとめた見解について、中濱氏が紹介する。

「ランサムウェア攻撃で要求される身代金の支払いについて、FBIではその要求に応じるべきではないとしています。要求に応じることでデータが復元される保証はどこにもないどころか、犯罪グループの動きを助長させる恐れがあるためです。しかし、現実問題として事業の継続性や人命に影響する可能性も考えられます。そのような場合には身代金を支払うことについてFBIは否定していません。結局のところ、要求された企業・組織自身が判断するしかないのです。」

日本国内でも、2020年に大手ゲーム会社へランサムウェアが仕掛けられた結果、盗み出されたデータがダークウェブ上に公開されるような被害が発生している。これはRagnar Lockerによるものと言われているが、今後も同様の事態が起きないという保証はどこにもない。重要なのはランサムウェアによってデータを人質に取られた場合を見据えた対策を講じ、被害を最小限に抑制できるようにしておくということではないだろうか。

また、前編で解説したように、BEC（ビジネスメール詐欺）やEAC（アカウント侵害）による被害は今後、日本国内でも広がることが予想される。このように、攻撃手法が高度化・多様化する時代を迎えるにあたり、防御する側の対策もその多様化に対応したものが求められる。よく言われるように、米国の動向は日本の数年先の未来という事実を重く受け止め、先回りしたセキュリティ対策が進展していくことを願いたい。