増加するランサムウェア被害、注目すべき6つのトレンド
ランサムウェアの被害が増加しています。攻撃者グループは、環境にあわせてその手口を進化させています。進化に対応するため、組織側に増加するランサムウェア被害、注目すべき6つのトレンドもセキュリティのアップデートが必要です。
2023年上半期のランサムウェア被害、前年同期比で2割強の増加
ランサムウェアの被害が増加しています。トレンドマイクロの最新調査で、2023年上半期における国内組織の被害件数は、2021年上半期以降で最大件数だったことが分かりました(図)※。前年同期にあたる2022年上半期と比べても2割強の増加となり、平均すると毎週1.4件の被害が公表されている状況です。一方、2023年上半期のランサムウェアの検出台数は7,725台で、2021年以降やや減少傾向にあります。検出台数が減少する一方で、被害が増加する状況は、ランサムウェア攻撃に組織のセキュリティが追い付いていない可能性を示唆しています。
※ 2023年上半期サイバーセキュリティレポート
ランサムウェア攻撃者は、常にその手口を進化させています。進化に対応するため、組織側にもセキュリティのアップデートが必要です。現在確認できるもの、また今後予想されるランサムウェア攻撃者の6つのトレンドに注目し、セキュリティ対策のポイントを解説します。
ランサムウェアの6つのトレンド
1.暗号化しない
従来、組織を対象とするランサムウェアの攻撃グループにとっては、標的の事業継続に影響を与えることが大きな関心事でした。つまり、1時間程度の業務停止でも高額な損失が発生するような対象を狙い、データを暗号化することで業務停止に陥らせることで、身代金支払いの成功を狙うわけです。
一方、こうしたランサムウェア攻撃で常套手口となっている「データの暗号化」をせず、窃取した情報暴露のみで脅迫する手口が確認されています。
「LAPSU$(ラプサラス)」は、2022年、Microsoft、Uber、半導体メーカーのNVIDIAなど大手企業を狙ったとされるランサムウェア攻撃グループです。情報窃取後、被害者を脅迫し、身代金支払いなど攻撃グループの要求に応じなかった場合、窃取した情報をオンラインに暴露すると脅す手口で注目を集めました。また、組織への侵入には窃取した正規アカウントを悪用し、侵入後の組織ネットワーク内でのデータ探索には正規ツールを利用する手口も特徴的です※。
※ DEV-0537 criminal actor targeting organizations for data exfiltration and destruction(2022/3/22、Microsoft)
同様の手口は、2023年5月に米政府機関を襲ったランサムウェア「Clop」の攻撃でも確認されています。「Clop」の場合、ファイル転送ソフトウェアのゼロデイ脆弱性(当時)を悪用し、組織内に侵入します。侵入後には、正規ツールを悪用するなどしてデータを窃取し、暗号化することなく窃取データの暴露のみで脅迫する手口が確認されてます※。「データ暗号化」を行わず、正規ツールや正規アカウントの悪用による攻撃フェーズを中心にするランサムウェア攻撃が登場したことで、セキュリティ検知はより困難になっています。
※ 米政府機関に影響を及ぼしたランサムウェア「Clop」の概要と対策(2023/7/27)
2. 窃取情報の販売
ランサムウェア攻撃では、情報を窃取したり、ファイルを暗号化したりして身代金を要求する手口が一般的となっています。窃取された情報は、外部にも価値のある機密情報です。ランサムウェア攻撃者はそれを利用します。
アンダーグラウンド市場では、ランサムウェア攻撃グループが他のサイバー犯罪者へのブローカーとなり、窃取情報を販売することで、そこから大きな利益を得つつ、自分たちの露出を最小限に抑えるという犯罪のビジネスモデルが確立されています。機密情報が他の攻撃者の手に渡ったり、インターネット上に公開されることで、ランサムウェアによる侵害からより深刻な被害に発展する可能性があります。
※ Ransomware Hackers Start Selling Stolen Corporate Data(2020/3/20,Forbes)
3. クラウドを狙う
組織の多くが業務をクラウド環境に移行させる中、エンドポイントの脆弱性の状況も変わってきています。クラウド環境における設定ミスや未対応の脆弱性は、ランサムウェア攻撃グループにとって格好のターゲットとなります。
クラウド環境で分散された対象を狙うことは、ランサムウェア攻撃グループにとって容易ではありませんが、すでに侵害やそれによる被害が多く確認されています。GoogleのCybersecurity Action Team(Google サイバーセキュリティ対応チーム)による調査で、侵害されたクラウドインスタンスの86%が仮想通貨のマイニングに使用されていたこと(クリプトジャッキング※1)、8%のインスタンスは他の標的を攻撃するために悪用されていたことが分かりました※2。クリプトジャッキングを成功させた攻撃者は、侵害したシステムに容易にランサムウェアを展開することができるばかりか、窃取したアクセスを他のランサムウェア攻撃グループに売り渡すこともできます。
※1 ターゲットのコンピュータなどを侵害し、そのリソースを悪用してクリプトマイニング(仮想通貨のマイニング)を行わせる手口。
※2 Providing threat intelligence to those in the Cloud(2021/11、Cybersecurity Action Team)
クラウドに侵害されたエンドポイントが1つあるだけで、攻撃者は、狙った対象のクラウド環境における機密情報にアクセスし、様々な犯罪に悪用することができます。クラウドやコンテナを主な標的としたサイバー犯罪グループTeamTNTの登場は、クラウド環境におけるセキュリティの重要性を示すものといえます※。
※ クラウドサービスを狙うサイバー犯罪者集団「TeamTNT」が認証情報窃取対象を拡大(2021/6/30)
4. 特定用途のプラットフォームを狙う
特定の業務、用途に特化した一般的でないプラットフォームは組織にとって大きなリスクになる恐れがあります。セキュリティが不十分なミッションクリティカルなプラットフォームは、ランサムウェア攻撃グループにとって格好のターゲットとなります。
制御装置以外にも、セキュリティリスクの高い領域は、想定以上に存在しています。2017年、トレンドマイクロのリサーチャーは、多くの業務上重要なシステムにとって不可欠である古いメインフレームが、インターネットに接続されている場合、攻撃者によって容易に侵害される可能性があることを確認ました※。
※ Do Online Mainframes Compromise Business Processes?
5.「サービス化」による活動規模の拡大
ビジネスにおいて効率が求められるように、ランサムウェア攻撃グループも、時間とコストの節約のためにサイバー犯罪の分業とサービス化を利用しています。
標的となるシステムへの侵入は、ランサムウェア攻撃の中で最もコストがかかる段階ですが、今ではこれが効率化されています。具体的にはAaaS(Access-as-a-Service)やIAB(Initial Access Broker)と呼ばれるサービスを利用することで、別の攻撃者が構築した侵入口を利用することが可能です。これにより、メンバーやリソースが少ない攻撃グループでも広く活動することができます。防御側の組織には、攻撃者が侵害後に水平移動や内部活動を展開している段階での対応を迫られる可能性が高くなり、その分、セキュリティ対策のコストも増大してしまいます。
Cerberなど、多数の侵入を行っているランサムウェア攻撃グループは、攻撃をより効率的に行うためにブロックチェーン技術をすでに使用しています※。組織は、AIや機械学習を使用したソリューションを活用して、攻撃を迅速に特定して対応する対抗手段が必要となるでしょう。
※ Cerber Version 6 Shows How Far the Ransomware Has come (2017/5/2)
6. ゼロデイ脆弱性の悪用
攻撃者にとって侵入方法は数多く存在します。認証情報(窃取や漏えい、またアンダーグランド市場で購入するもの)は最も直接的なルートですが、ソフトウェアの脆弱性も格好の攻撃経路です。さらに、ゼロデイ脆弱性の悪用は、進化を続けるランサムウェア攻撃グループにとって、攻撃経路の可能性として十分に想定されます。
脆弱性を見つけるエンジニアを雇用し、ゼロデイ脆弱性を悪用するランサムウェア攻撃グループが登場するかもしれません。こうした攻撃グループは確認されていませんが、脆弱性悪用が攻撃グループにとって有効である点を考えると、可能性はゼロとは言えません。アンダーグランド市場では、すでに脆弱性情報が売り買いされています※。
※ 名古屋港の活動停止を引き起こした「LockBit」の概要と対策(2023/8/23)
また、LockBitのランサムウェア攻撃グループは、自分たちのランサムウェアの暗号化アルゴリズムに存在する脆弱性を発見した者には5万ドルの賞金を支払うとの投稿をしています※。ランサムウェア攻撃グループの脆弱性への高い関心が伺えます。
※ VPN、サイバー攻撃被害に共通するセキュリティの注意点(2023/4/25)
ランサムウェアの早期検知には、攻撃全体を捉える検知技術を
ランサムウェア攻撃は進化を続けています。セキュリティ検知を回避するため、常にその手口を変えています。こうした攻撃者を捉えるためには、複数の攻撃の組み合わせで構成されるランサムウェアの個々の攻撃だけで判断するのではなく、攻撃全体を踏まえ兆候を検出することのできるXDR(Extended Detection and Response)のようなセキュリティ技術が必要です。ランサムウェアなど事業継続に大きな影響を及ぼすサイバー攻撃への対処は、時間との勝負となり、早期の検知、対処がその後の被害拡大抑止の鍵となります。クラウドやOT環境など拡大する攻撃対象領域を網羅し、XDRのような技術でランサムウェア攻撃の兆候を早期に検知できるセキュリティ体制の強化を検討ください。
本記事は2023年8月24日にUSで公開された記事6 Ransomware Trends & Evolutions to Watch Forの抄訳です。
Security GO新着記事
内部不正はなぜ起こるのか?~その発生のメカニズムを探る~
(2024年12月5日)
AIガバナンスの動向は?各国のAI法規制を概観
(2024年12月4日)
仮想通貨(暗号資産)取引所を狙う攻撃を考察
(2024年12月4日)