サイバーリーズン・ジャパン(以下、サイバーリーズン)はこのほど、巧妙化するランサムウェアの最新動向に関する記者勉強会を開催した。歴史的な経緯などを踏まえながら同社の分析に基づくサイバー攻撃の潮流が解説されたので、その一端を紹介したい。

ランサムウェア攻撃の歴史を学ぼう

ランサムウェアはマルウェアの一種であり、データを暗号化するなどして使用不可能にした上でデータの身代金を要求するプログラムだ。侵入経路はVPN(Virtual Private Network)機器が54%と最も多く、RDP(Remote Desktop Protocol)が20%、メールが7%である。

  • ランサムウェアの概要

    ランサムウェアの概要

ランサムウェアの歴史を振り返ると、1989年に世界初のランサムウェアが確認された。当時は郵便でランサムウェア同梱のフロッピーディスクを送り付けるような、かなり原始的な仕組みだったという。2013年になると、支払いにビットコインを利用した現在のランサムウェアの原型とも呼べる「CryptoLocker」が登場した。

2015年以降はランサムウェアの成長期と言える。RaaS(Ransomware as a Service)が台頭するとともに、自己増殖型のランサムウェアが世界的に猛威を振るった。「SamSam」、「Dharma」、「Locky」などのランサムウェアキャンペーンが始まったのもこのころだ。2017年には悪名高き「WannaCry」や「NotPetya」が観測されている。

サイバーリーズンでは2019年以降をランサムウェアの成熟期に位置付けている。RaaSの大規模化に伴って攻撃は高度かつ複雑になり、身代金の支払いに応じない場合には窃取したデータをリークするよう圧力を掛ける二重脅迫なども見られはじめた。さらに近年では、「身代金を支払わなければ攻撃を受けている事実を当局や取引先に公表する」とする三重の脅迫にまで発展しているとのことだ。

  • ランサムウェアの歴史

    ランサムウェアの歴史

警察庁の発表によると、令和3年に確認された金銭要求のうち、85%が二重恐喝型だったようだ。復旧までに2カ月以上を要し、調査と復旧のために5000万円以上の費用を支払った例も確認できている。驚くべきことに、アンチウイルス製品であるEPP(Endpoint Protection Platform)やNGAV(Next Generation Anti-Virus)ではランサムウェアの83%を検知できず、検知できた17%のうちの76%は被害の軽減につながっていない。また、バックアップを取得していても71%が復元できなかったそうだ。

ランサムウェア被害の実態を学ぼう

続いて、日本でのランサムウェア検出数を時系列順に見てみたい。WannaCryに代表されるばらまき型攻撃の流行により、2017年には4万8000件以上のランサムウェアが検出されたが、2018年には1万9000件程度、2019年には1万2000件程度へと減少した。

しかしながら、サイバーリーズンがランサムウェアの成熟期に位置付けている2019年以降、三重脅迫が登場した2020年には1万8000件ほどが、2021年には2万件ほどが検出されるなど、その数は近年再び増加している。

  • ランサムウェアの検出数は増加している

    ランサムウェアの検出数は増加している

ランサムウェアの標的規模動向を見ると、従業員数が11人から100人、および101人から1000人の企業が被害を受ける割合が多い。これまでと比較して、大企業ではなく中小企業を狙う傾向が見られているとのことだ。

勉強会の講師を務めたサイバーリーズンのサイバーストラテジー・エバンジェリストである中村玲於奈氏は「なるべく目立たないように攻撃しようとする意図が影響しているのだろう」と分析している。

  • サイバーリーズン サイバーストラテジー・エバンジェリスト 中村玲於奈氏

    サイバーリーズン サイバーストラテジー・エバンジェリスト 中村玲於奈氏

ランサムウェア被害後に身代金を支払った企業の割合について、グローバルでは40%超が支払いに応じた一方で、日本では11%のみが支払うにとどまったようだ。

ランサムウェア被害の公開率を見ると、日本では被害を受けたことを公開している企業の割合は25%だ。限定的な情報公開を行った企業もわずか19%であり、おそらく私たちが認識しているランサムウェア被害は全体の3分の1程度と、氷山の一角なのだろう。

ランサムウェア攻撃者の実態を学ぼう

ランサムウェア被害が拡大している要因の一つとして、サイバー犯罪ビジネスの確立が挙げられる。RaaSを筆頭に、サイバー攻撃に使用するためのサービスやツールがダークウェブ上で販売されるなど、分業化が進んでいるため手口が巧妙化しているとのことだ。

マルウェアやクラッキングツールの開発を専門とする業者、ランサムウェアの開発者、サイバー攻撃の第一歩となる不正アクセスを専門とするIAB(Initial Access Broker)、実際に攻撃を仕掛けるアフィリエイトなどに分けられる。ツールの開発者は開発に専念できるようになり、アフィリエイトはこれらのツールを使うことで高度なスキルを持たなくとも攻撃が可能になるため、両者はwin-winの関係にある。

  • RaaSを用いた攻撃は分業化が進む

    RaaSを用いた攻撃は分業化が進む

下図はRaaSグループがアフィリエイトを募集するWebページの例だ。このページには身代金の平均額やアフィリエイトへの支払い比率、参加時に過去の経験などを問うインタビューを実施する旨、標的としてはならない組織などが記載されている。

  • アフィリエイト募集ページの例

    アフィリエイト募集ページの例

下図はIABが販売するIDやパスワードなどのクレデンシャル情報の例だ。販売ページにはアクセス情報が帰属する企業の従業員数や売上高、アクセス情報の価格などを提示している。アクセス情報の販売価格と企業の売り上げ規模には相関関係が見られ、企業規模が大きくなるほどアクセス情報が高額となる傾向があるようだ。

  • IABが販売するクレデンシャル情報の例

    IABが販売するクレデンシャル情報の例

ランサムウェア組織Contiは、2022年5月に活動休止が報じられている。しかし、実態としては4から6ほどの小さな組織に分かれているようだ。その主流となっているのがBlackBastaであり、依然としてランサムウェア攻撃は続いていると見られる。

REvilは2021年のKaseya社への攻撃を契機に取り締まりが強化されており、関与者の逮捕などが相次いだため、活動の中断と再会を繰り返しているような状況だ。4月に入ってから活動の再開が示唆されている。

  • ContiとREvilの動向

    ContiとREvilの動向

2021年に半田病院(徳島県)への攻撃を行ったことで知られるLockBitは、バージョン3.0へのアップデートが施された。同バージョンでは、コードのバグ修正やRaaSの改善アイデアに対して報酬を支払う仕組み「バグバウンディ」を取り入れている。その他、被害者が一定の金額を支払うことで身代金の支払い期限を延長できるような仕組みも導入されているとのことだ。

支払い期限の延長機能はBlackByteも採用しており、今後のトレンドになると予想される。この機能には、被害者が取り得る選択肢を増やすことで正常な判断を鈍らせる意図があるほか、最終的には身代金を支払わなかった場合でも、延長料金としてある程度の資金を回収できるとのもくろみがあるようだ。

  • LockBitの動向

    LockBitの動向