エフセキュアは4月9日、オンラインで記者説明会を開き、2020年下半期(7月~12月)における攻撃トラフィックに関する調査レポートを発表した。これによると、同期間において観測された攻撃の特徴としてデータを盗み出し暗号化するだけでなく、身代金の支払いが拒否されると情報を公開すると恐喝する「ランサムウェア2.0」の急増、情報を搾取するマルウェア、サプライチェーン攻撃などが企業にとって重要な脅威となっているという。

ランサムウェア2.0の登場でインフォスティーラーが増加

まず、はじめにエフセキュア Tactical Defense Unit シニアマネージャーのCalvin Gan氏は「2020年上半期はRaaS(Ransomware as a service)が主なトピックだったが、下半期にランサムウェアは戦術を変えてきていた。ランサムウェア2.0における大きな変化としては、サイバー犯罪集団が資金力のある大企業を標的にしており、脅迫行為を行っていることだ」との認識を示す。

エフセキュア Tactical Defense Unit シニアマネージャーのCalvin Gan氏

エフセキュア Tactical Defense Unit シニアマネージャーのCalvin Gan氏

大企業を標的・恐喝する目的としては、金銭的な利益を得るとともに事業のオペレーションに影響を与えるためであり、企業から流出した情報を公開すると脅迫し、企業が公開を防ぎたい場合は身代金の支払いを強要する。

ランサムウェアは、企業ネットワークに侵入しデータを盗み出して暗号化したうえで、復号キーのための身代金を要求する手法だ。2020年は爆発的に増加しただけでなく、企業が身代金の支払いを拒否すると、攻撃者は盗んだ情報をリークすると脅している。

ランサムウェアの進化

ランサムウェアの進化

Gan氏は「なぜ、ランサムウェアが大胆に攻撃しているかといえば、ランサムウェアに付随してマルウェアなどの脅威についても増加しつつあるからだ。これは、ランサムウェアが組織に対して被害をもたらす前に、ランサムウェアに侵入ポイントを提供するような脅威だ。2020年下半期におけるマルウェアのトップ3であるLokibot、Formbook、Remcosは、ランサムウェア攻撃前の第一段階の脅威であるほか、最近ではJPCERTからIcedIDの警告が出るなど再び活発化している」と指摘。

こうした脅威は、ランサムウェア攻撃者が採用しており、まずはマルウェアでアクセスを確立した上でランサムウェアが侵入し、ファイルを暗号化する。マルウェアの中ではインフォスティーラー(感染したシステムからパスワードなどの機密情報を盗むために設計されたプログラム)とRAT(リモートアクセスのトロイの木馬)が半数以上を占めており、資格情報の搾取やネットワークの情報を得て、ランサムウェアに渡している。

2020年下半期に観測されたマルウェアのタイプ

2020年下半期に観測されたマルウェアのタイプ