アンダーグラウンド調査から解明したランサムウェア攻撃グループの実態

トレンドマイクロは、60以上のランサムウェア攻撃者グループの活動を継続的に調査しています。本調査により、ランサムウェア攻撃者グループの被害に遭っている国や地域、組織の規模、悪用する脆弱性の種類など様々な事実が明らかになりました。これらの事実を定量的に表し、科学的な手法でランサムウェア攻撃者グループの実態を解説します。

被害組織の分布

2019年11月から2022年6月の期間で、活発に活動していたランサムウェア攻撃者グループが「LockBit」と「Conti」と呼ばれる2つのグループです。両グループとも悪名高いランサムウェア攻撃者グループであり、数値的にも、リークサイトで情報を暴露された被害組織の3割^※1以上がこの2大グループによるものです。したがって、この両グループの活動指針や意思決定の基準を正確に理解することが、敵を知ることへの近道となります。その前提に立って、ここからは、トレンドマイクロの脅威リサーチチームによる統計学的分析をもとに、両グループの傾向を見ていきます。
※1：トレンドマイクロがリサーチを行った69のリークサイトが暴露した被害組織を母数としています。

まずは、被害組織の地域による分類（図1）です。左がContiの被害者数、中央がLockBitの被害者数、そして右のグラフは比較として、地域別GDPを示しています。ここから見える特徴は3つです。一つ目は、Contiの被害者の93%は北米とヨーロッパであり、その他の地域は極端に少ないということ。二つ目は、LockBitは被害者の分布が地域別GDPの規模に近く、地域的な偏りが少ないということ。そして三つ目は、ContiもLockBitも、他の地域よりもアジア太平洋地域の被害者が、優位に少ない、ということです。これは、二つの攻撃グループが被害組織のネットワークから盗むべき情報を探す際に、言語が障壁になった可能性を示しています。

次に、被害組織の企業規模を見ていきます。ContiおよびLockBitのリークサイトで暴露された被害組織の従業員数別分布（図2）を見ると、従業員数200名までの規模の組織が、全体の被害組織のうち56％を占めており、従業員数500名までの規模の組織では75％を占めていることが分かっています。ランサムウェア攻撃は大企業の被害が報道などでは印象に残りますが、実際の被害件数としては中小～中堅企業の組織が大半を占めることが明らかとなりました。

図2　 ContiおよびLockBitのリークサイトで暴露された被害組織の従業員数別分布

被害組織の業種の業種別の分類（図3）では、ContiもLockBitもそれぞれの業種にほぼ均等に分布しており、業種に対する攻撃傾向に違いはないと思われます。その中で、ひとつ注目に値すべきことを取り上げるとすれば、LockBitによる医療業界の被害者数が、有意に少ないという点です。この攻撃率の低さは、医療業界を攻撃しないというLockBitの主張とも一致します。しかし、ランサムウェアのインフラを用意している側と実際に攻撃する側が分業モデルをとっていることこともあり、医療業界はLockBitによる攻撃を意識しなくてよいというわけではありません。実際、日本の医療業界において、もっとも忘れがたいサイバーインシデントの1つである徳島県つるぎ町立半田病院の報告書では、LockBitに感染した旨の記載もあります。

身代金の支払い額・率

今回の調査では、ContiおよびLockBitのリークサイトで一度情報が公開され、その後に削除された被害組織を、身代金を支払ったものとして、身代金支払率を算出しました。調査期間中、1716の被害組織のうち、274のプロフィールが消滅しています。したがって、このデータソースに基づく身代金支払い率は、約16%となります。
・調査期間中に観測/分析した被害組織数　1716件
・そのうち削除された被害組織数　274件
・身代金支払率（274÷1716×100）　約16%

身代金支払率について、もう少し細分化して分析してみます。平均の支払率は約16%でしたが、被害者の属性によって、支払率に大きな差が出ることがわかりました（図4）。例えば、最も支払率が低い地域はヨーロッパ、高い地域はアフリカ。支払率が有意に高い国は、南アフリカとペルー。業種別では金融が支払に応じやすい、などです。従業員規模で見ると、1万人を超える組織になると支払率がかなり低いことがわかります。組織とシステムの規模が比例すると考えると、納得のいく数字です。さらに、被害者の属性を複数組み合わせると、より興味深い傾向が見られます。アメリカの製造業が非常に低い支払率を示す一方で、金融や法律業界の支払率は高く、さらに200から500人ほど規模になるとかなり高い支払率となります。これらのデータから、支払の判断が個人に委ねられやすい環境や、情報漏洩による自社のブランドまたはレピュテーションの棄損がビジネスに大きく関わる産業の場合、支払いやすい傾向にあると推察できます。

ランサムウェア被害による報道では、数千万ドルといった多額の身代金を要求している事例も確認されています。では、攻撃者は何を基準に身代金を決めているのでしょうか。今回のリサーチでは、Contiから流出したチャットログを分析しており、彼らが「標的企業の年間経常収益額の5%」を目安に身代金を要求していたことも分かっています。身代金を要求する際に、企業情報を提供するウェブサイトを積極的に利用して、被害組織をプロファイリングしたうえで、年間収益を推定しているようです。

悪用される脆弱性

今回リサーチでは、ランサムウェア攻撃者グループのうち活動量上位5グループのConti、Cuba、Egregor、LockBit、Sodinokibi/REvilが悪用している46種のソフトウェア脆弱性（CVE）を分析しています。図6では、この46種のCVEをCVSS（Common Vulnerability Scoring System）と呼ばれる、脆弱性の深刻度別の分布グラフと、CVEのタイプ別の分類グラフを記載しています。グラフから読み取れるように、ランサムウェア攻撃者グループが悪用する脆弱性のうち最も多いのはCVSS 7.2のもので、次点で7.5と続いています。脆弱性の深刻度が緊急（9.0以上のスコア）のものは、ニュースなどで注目されやすいですが、実際に悪用している件数においては、ランサムウェア攻撃者グループは深刻度が重要（7.0～8.9のスコア）のものを多用していることがわかりました。悪用されている脆弱性の内訳に注目すると、権限昇格が54.3%、コード実行が17.4%と続いています。この2つだけで全体7割占めており、この2つに関連する脆弱性に対応するだけで、効果的にリスクを下げられると考えられます。

図6　調査対象となったCVEのCVSS深刻度スコアでの分布（左）と調査対象となったCVEのタイプ別の分類（右）

そして、この46種の脆弱性をランサムウェア攻撃者グループ別で見る（図7）と、Contiが悪用している脆弱性の数が圧倒的に多いという結果になっています。全体では30製品の脆弱性が悪用されていますが、その中で17製品の脆弱性をContiが悪用しています。一方でベンダー数に注目するとContiは17製品もの脆弱性を悪用しているにも関わらず、ベンダー数は4に限られています。これは特定ベンダーの脆弱性を悪用して、攻撃手法を横展開・組織化していることを表しているのではないかと考えられます。実際に、図8ではContiが悪用するCVEのベンダーおよび製品別の割合をマッピングして可視化していますが、4ベンダーのうち82.4％がMicrosoft社の製品の脆弱性が占めていることが分かっており、その殆どが内部活動に悪用されていました。

今後の展望

今回のリサーチ結果をまとめると、
・被害組織の分布では75％が従業員数500名以下の企業である
・暴露型ランサムウェア攻撃の成功率は平均16％で高くない
・定型化された脆弱性攻撃で内部探索を行う
となっています。これを踏まえて、今後ランサムウェア攻撃者グループはどのような攻撃を展開してくるようになるでしょうか。トレンドマイクロでは2段階の予想を立てています。

予想①　中小～中堅企業への攻撃が増える

予想①は、「中小～中堅企業への攻撃が増える」というものです。攻撃者の収益は「標的母数」「攻撃成功率」「身代金支払率」の掛け算で決まります。身代金支払率の状況は、リサーチでは16％と低い数値になっていますが、昨今の法規制による身代金支払への制限や防御側の認知向上によって、今以上の向上は見込めないと考えられます。攻撃の成功率では、既存の攻撃手法は時間が経つに連れて、対策されていきます。新たな脆弱性を悪用した攻撃も考えられますが、それもいずれは対策されることを考慮すると、成功率自体は大きな変化がないと考えられます。となると、攻撃者の観点では、標的母数を増やしていくことで、収益を確保していくといったことが考えられます。標的母数を増やすためには、大企業だけでは十分な数を確保できず、結果として中小～中堅企業への攻撃が増えていくという見立てです。さらに、この状況を経た後に予想②のようなことが起こるのではないかと考えられます。

予想②　身代金以外の収益源確保にシフトする

標的母数を増やしていった結果、新規の標的数の割合が減っていきます。また、攻撃成功率は攻撃コスト節約のために既存の攻撃手法を継続することを考えられますが、やはり時間とともに対策が進み、有効性が低下していきます。さらに、ランサムウェア攻撃に関する市場全体の認知の底上げや、先述の法規制によって、身代金支払率も下がっていくことが予測されます。この状況になると、攻撃者にとっては身代金を要求するよりも、盗み出した情報を転売するほうが、費用対効果が高いようになってきます。その結果、身代金以外の収益源確保にシフトするといった予想が立てられます。実際に、現時点でも暗号化の手口を用いず、代わりに情報窃取および窃取情報による恐喝行為のみに特化した活動を行うグループも確認されています。

まとめ

今回のリサーチで予想されている中小～中堅企業への攻撃が拡大していくことを踏まえると、今後の対策を検討していく上では、「中小～中堅企業の暴露型ランサムウェア攻撃への耐性向上が重要である」と言えます。また、これは組織がサプライチェーンセキュリティやゼロトラストを実現するための必要な鍵になっていきます。

サプライチェーンセキュリティ、ゼロトラスト、それぞれの視点で中小～中堅企業が取り組むべきこととして、以下を提言します。

＜サプライチェーンセキュリティ＞
1. データ分類：自社で管理しているデータは、自社データか他社データか、個人情報か否か、営業機密か否かを棚卸しして、データの重要度に応じて適切な管理を行う
2. 社員へのアウェアネストレーニング：セキュリティ上のリスクの理解や問題が発生したときの正しい対処を意識できるようにする

＜ゼロトラスト＞
1. ITシステムの保守契約の見直し：ソフトウェア更新や修正プログラムの適用に関する保守契約を見直しする
2. クラウド利活用の検討：自前でソフトウェア管理が難しい場合は、セキュリティが一定レベルに担保されているクラウドの活用を積極的に検討する

これらの提言を意識すべきは、中小～中堅企業だけではありません。中小～中堅企業を取引先にしている大企業や組織も、自社の工場の稼働や機密情報を守るためには、取引先がこれらを実現できるように管理・支援すべきだと言えるでしょう。