ランサムウェアの変化:2023年に起こり得る4つのサイバーリスク
ランサムウェアのビジネスモデルが変化の兆しを見せています。本稿で紹介する4つの予測は、新しいビジネスモデルのサイバー恐喝から組織を守る上で有益となります。
セキュリティ部門のリーダーやCISOは、何十年にもわたってランサムウェアから企業や組織を守り、テクノロジーの変化に合わせて、情報窃取や基幹システム中断という大きなリスクに取り組んできました。他方、敵は常に新しい手口を繰り出してきており、現在、ランサムウェア攻撃グループにおけるグローバルコミュニティでは、より効果的で汎用性が高く、危険になり得る活動に向けて準備を整えているようです。
1. 政府のために働く攻撃グループ
ランサムウェアの攻撃者が、政府に採用されるケースがあります。例えば、英国の国家犯罪対策庁(U.K.’s National Crime Agency)は、10代のハッカーを更生させ、倫理的なセキュリティ専門家へと育成するプログラムを実施しています※。他方、更生させるよりも、彼らのツールや才能を悪用することに関心を寄せている国も存在するようです。
※UK's first boot camp hopes to reform teenage hackers
企業や組織へ侵入し、高額の報酬を要求できるような技術を有する者であれば、国家が関心を持つような対象への侵入も容易に成し遂げることができるからです。国家に採用された攻撃グループは、国家の目的に合致する限り、国家の保護の下、標的への攻撃活動を自由に行うことができるでしょう。ランサムウェア攻撃グループの犯罪活動を考えると、これらの国家は「減刑」という条件でハッカーという「新兵」をコントロールする可能性もあります。
これらのシナリオが単なる仮定の話ではないことは、最近の出来事で証明されています。2022年のロシアのウクライナ侵攻後、親ロシア派のハクティビズムグループ「Killnet」が、国家の支援を受けているとされる攻撃グループ「BlackSide」の指導下で活動を展開しました※1。BlackSideは、ランサムウェア、フィッシング、暗号資産窃取などを展開する経験豊富な攻撃グループとして知られています。そしてBlackSideの指導の下、Killnetは、米の大手航空機製造会社を攻撃し、防衛業務を受けった関連会社の従業員データを窃取したと主張しました※2。この主張は、攻撃グループの宣伝活動と見る向きもありますが、BlackSideのような攻撃グループは、効果的な侵入技術を保有し、政府の支援を得られるため、今後深刻なリスクとなる可能性がある点は注視すべきです。
※1 Founder of pro-Russian hacktivist Killnet quitting group
※2 Killnet Releases ‘Proof’ of Its Attack Against Lockheed Martin
2. 株式市場における空売り、下落、操作
2021年、ランサムウェアを取引する犯罪ビジネスであるRaaS(Ransomware as a Service)を運営する攻撃グループ「Darkside」は、ランサムウェアを展開する際、単にターゲットを狙って侵入するだけでなく、より巧妙かつ悪質な手口を駆使しました※。株式トレーダーと連携し、標的にした企業の株式を「空売り」を画策したのです。つまり、情報漏えいが発覚する前にその企業の株式を売却することで、発覚後の株価下落から利益を得ることを狙ったわけです。
金融規制当局は、このような手口を熟知しており、疑わしい株取引のパターンを見分け、摘発することも可能です。それでもなお、株価をさらに引き下げる空売りの手口では、トレーダーも数億ドルの利益を得ることができるため、リスクを犯すだけの価値があるようです。また、株式市場操作に関与するサイバー犯罪者は、報酬を最大化するための別の方法も駆使します。
例えば、標的の企業や組織へ侵入、潜伏している間、ランサムウェア攻撃グループが数週間かけて機密情報を窃取しておき、その上でこの企業の株式を空売りするという手口です。これにより、情報漏えいが発覚したり、業務妨害につながるランサムウェア攻撃が展開されたりすることで、被害を受けた企業の価格が急落するため、同様に攻撃者側へ大きな利益をもたらすことになります。
こうした株式市場操作の手口では、資本金、専門知識、共犯者などが必要になるため、実行や影響は限定的と推測されますが、ランサムウェアの場合、機密情報、株価、公共イメージが一挙に危険にさらされ、たった一度のセキュリティ侵害が壊滅的な打撃につながることを経営陣に理解させる必要があるでしょう。
3. サービスとしてのサプライチェーン侵害
サプライチェーンへの攻撃が増加していますが、サイバーセキュリティの専門家は、このタイプの攻撃の脅威を議論する際、国家安全保障に関わる問題としても懸念しています。ランサムウェア攻撃が広く展開される中、サプライチェーン全体への壊滅的な被害が発生する可能性があるからです、実際、野心的なランサムウェア攻撃グループは、この手口がいかに効果的であるかを証明しています。
2021年、ランサムウェアREviの攻撃者は、ITソリューション企業Kaseya社のマネージドソフトウェアプロバイダを通じてランサムウェアを展開し、多くの企業に被害をもたらしました※1。その影響は、1500社にも上るとも言われています。このような攻撃は、顧客がマネージドソフトウェアを信頼しているため、非常に効果的であり、攻撃者はわずかな攻撃活動だけで十分な利益を得ることができます。
実際に、効果的な手口を持つランサムウェアの攻撃グループ、大規模なサプライチェーンの存在、そして国家レベルの目論見が組み合わされたと推察される攻撃活動も発生しています。2017年、ランサムウェアNotPetyaの攻撃では、ウクライナで広く利用されている法人向けソフトウェア企業MeDoc社が被害を受けました※2。この攻撃では、被害企業側が身代金の支払いに応じたにもかかわらず、データやシステムが回復されなかったことから、攻撃者の真の目的は、国家レベルの混乱を引き起こすことだったとも考えられます。
目的が金銭的か非金銭的であるにかかわらず、こうしたランサムウェア被害がもたらすリスクを考えると、セキュリティ部門のリーダーは、サプライチェーンの保護とセキュリティ強化で、これらのセキュリティリスクを阻止する対策に注力する必要があります。
※1 Ukrainian Arrested and Charged with Ransomware Attack on Kaseya
※2 The Untold Story of NotPetya, the Most Devastating Cyberattack in History
4. ランサムウェア攻撃の代わりにBECを展開する
将来のランサムウェア攻撃について、単純でありながらも懸念されるもう1つの可能性は、ランサムウェア攻撃自体を展開する代わりに、企業や組織のシステムに侵入する手口で窃取した機密情報をビジネスメール詐欺(BEC:Business Email Compromise)などの別の攻撃に応用するケースです。
BECは、CEO等になりすまし、特定の従業員を狙って多額の金銭を送金させる詐欺です。通常、このような詐欺を行う際には、クレデンシャルフィッシングやマルウェアを使用する必要はありません。一般に公開されている情報によるソーシャルエンジニアリングの手口だけで実行されます。BECでのソーシャルエンジニアリングの手口は、ランサムウェア攻撃グループの活動ではあまり必要ではないスキルですが、今後、BEC攻撃で得られる利益がはるかに大きいことから、彼らがこの領域にも手を広げるのは時間の問題といえるでしょう。
米連邦捜査局(FBI)の報告によると、2016年6月から2021年12月までのBECによる全世界の被害額は430億米ドルに上り※1、2021年単年でも240億ドル近い被害額が報告されています※2。これらの高額な被害を回避するためにも、セキュリティ部門のリーダーにとっては、ランサムウェア以外の攻撃手口にも備える必要があります。
※1 Internet Crime Complaint Center (IC3) Business Email Compromise: The $43 Billion Scam
※2 Internet Crime Complaint Center (IC3) :Internet Crime Report
今後、ランサムウェア攻撃グループは、企業や組織のセキュリティ強化への対応するためだけでなく、他のサイバー犯罪者との競争からも、より効果的で収益性の高い手法を常に改良してくるでしょう。
サイバーセキュリティ部門のリーダーは、ランサムウェアのビジネスモデルに起こる将来的な変化やその予兆に注目しつつ、これらのサイバーリスクを回避する対策について積極的に取り組むことが不可欠です。引きつづき攻撃動向をおさえ、人、組織、技術において、セキュリティをアップデートしていくことを推奨します。
本記事は2023年2月にUSで公開された記事の抄訳です。
翻訳:Core Technology Marketing, Trend Micro™ Research
関連リサーチペーパー
Security GO新着記事
サイバーセキュリティの原点回帰:EPP・EDR・XDRの違いを理解する
(2024年11月22日)
ダークパターンとは?企業にとってのリスクを解説
(2024年11月20日)
PPAPだけじゃない?セキュリティリスクにつながりかねない商習慣3選
(2024年11月20日)
