ここ数年、サイバー攻撃は増えるばかりであり、中でもランサムウェアの被害は甚大だ。自社をランサムウェア攻撃から保護するには、その実態を知っておく必要があるだろう。

トレンドマイクロがこのほど、ランサムウェア攻撃グループに関するアンダーグランド調査の結果を公開したので、それをもとに、ランサムウェア攻撃の実態を明らかにしてみたい。

科学的にランサムウェア攻撃に迫る

今回、トレンドマイクロは複数のデータソースを用いて統計分析を実施し、ランサムウェア攻撃の傾向を科学的に分析した。

例えば、60以上のランサムウェアグループのリークサイトを監視し、 2019年11月以降に収集したデータをもとに、被害組織のプロファイルを分析した。加えて、暗号資産の取引やランサムウェアの攻撃者と被害者のチャットログの分析も行った。

セキュリティエバンジェリストの石原陽平氏は、今回行った調査について、「ランサムウェアに科学的に迫ることで、攻撃者を定量的に示し、建設的な議論に導きたい」と語った。

  • トレンドマイクロ セキュリティエバンジェリスト 石原陽平氏

石原氏は、「被害組織」「身代金」「悪用される脆弱性」という3つのポイントに分けて説明を行った。

被害組織:75%が従業員数500名以下の中堅・中小企業

被害組織については、2大ランサムウェアグループ「Conti」「LockBit」のリークサイトのデータをもとに分析が行われた。両グループによる被害はランサムウェア攻撃の被害の約30%を占めているという。

Contiは標的の93%が北米と欧州であるのに対し、 LockBitは無差別であることがわかってりう。APACは被害数とGDPとの差が大きく、その背景には言語の壁があるのではないかとのことだ。

被害組織を従業員数で見ると、200名以下の組織が全体の56%、500名以下の組織が75%を占めている。被害の大きさから大規模な企業に目が向けられがちだが、実際の被害は中堅以下の企業が多いようだ。

なお、被害組織の業種に偏りはないが、石原氏は注目に値する点として、LockBitによる医療業界の被害数は少ないことを挙げた。

身代金:金額は標的企業の年間経常収益額の5%が目安

同社が調査期間中に観測・分析した被害組織数は1716件だったが、リークサイトに掲載された後に削除された組織は274件だったという。リークサイトに掲載されたが後に削除された組織を身代金を払った組織とみると、身代金の支払い率は約16%となる。

石原氏は、この調査結果から「84%が身代金支払いに応じなかったのは注目すべき点」と指摘した。

また、身代金の支払い率は組織の属性によって差があることも明らかになった。例えば、従業員1万人を超えると支払い率が低くなっており、石原氏によると、その背景には大規模なシステムほど停止する割合が低いことがあるそうだ。

さらに、石原氏は「身代金支払いの判断が個人にゆだねられる組織ほど、支払い率が上がるのではないか」との洞察を示した。

  • 身代金支払い率と組織の属性の関連 資料:トレンドマイクロ

ちなみに、身代金の金額は、ばらまき型は固定だが標的型は被害組織に合わせて要求金額を変えている。石原氏は、身代金額を決定する指標について、標的企業の年間経常収益額(ARR)の5%が目安と説明した。「攻撃グループの組織化が進んでおり、相手が支払える額を要求する」(同氏)

悪用される脆弱性:「権限昇格」と「コード実行」に対応を

攻撃に悪用される脆弱性については、活動量トップ5のランサムウェア攻撃グループ「Conti」「LockBit」「Cuba」「REvil」から分析が行われた。具体的には、これら5グループが悪用する脆弱性(CVE)として、46種を特定・分析した。

46の脆弱性のうち、「権限昇格」の脆弱性が54.3%、「コード実行」の脆弱性が17.4%であり、これらに対応することでリスクが大幅に減ることになる。

「Conti」は、 4ベンダーの17製品の脆弱性を悪用しているが、82.4%がMicrosoft製品の脆弱性となっており、ほとんどが内部活動に悪用されるという。石原氏は「内部活動に悪用される脆弱性に注意すべき」との見解を示した。

  • ランサムウェア攻撃グループ「Conti」が悪用する脆弱性の内訳 資料:トレンドマイクロ

中堅・中小企業が取り組むべきランサムウェア攻撃対策

石原氏は今後の展開として、攻撃者が身代金による収益を確保するために標的の母数を増やすことが考えられるため、中堅・中小企業を狙うランサムウェア攻撃がさらに増えるとの予測を示した。

そこで、中堅・中小企業がランサムウェア攻撃に対抗するには、「サプライチェーンセキュリティ」「ゼロトラストセキュリティ」を確保する必要があるという。

サプライチェーンセキュリティの実現に向けては、自社のデータが誰のものかを明確にし、管理を行うことが重要となる。具体的には、「データ分類」と「社員へのアウェアネストレーニング」を実施する。

また、ゼロトラストセキュリティの実現に向けては、権限管理が重要であり、攻撃のステップである権限昇格のリスクを下げる必要がある。具体的には、「Tシステムの保守契約の見直し」と「クラウド利活用の検討」を実施する。