警察庁のサイバー犯罪レポートに見る「ノーウェアランサム」とは？～組織として対策しておくべきことは変わるのか？～

警察庁のサイバー犯罪レポートに見る「ノーウェアランサム」とは？

2023年9月21日、警察庁より国内のサイバー犯罪の動向をまとめたレポート「サイバー空間をめぐる脅威の情勢等」（2023年上半期）が公開されました。既に多くの報道記事でも内容紹介がされていますが、トピックの1つに「ノーウェアランサム」の国内事例での確認があります。

ランサムウェアと言えば当社の解説記事にもある通り、以下の説明が一般的です。同様の内容で理解されている読者の方も多いでしょう。

ランサムウェアとは、マルウェアの一種です。ランサムウェアは、感染したコンピュータをロックしたり、ファイルを暗号化したりすることによって使用不能にしたのち、元に戻すことと引き換えに「身代金」を要求するメッセージ（ランサムノート）を表示します。なお、ランサムウェアという言葉はRansom （身代金）とSoftware （ソフトウェア）を組み合わせた造語です。
※トレンドマイクロ「ランサムウェア」の解説ページより。

これに対して、警察庁のレポートにおける「ノーウェアランサム」には、以下のような説明がなされています。

データを暗号化する（ランサムウェアを用いる）ことなくデータを窃取し対価を要求する手口（「ノーウェアランサム」）
※ 警察庁「令和５年上半期におけるサイバー空間をめぐる脅威の情勢等について」より。

つまり、「ノーウェアランサム（Noware Ransome）」とは、ランサムウェア攻撃の肝でもあった「データの暗号化」をすることなく、窃取したデータのみを材料に脅迫を行うサイバー攻撃です。

実はこの「データの暗号化」を用いないランサムウェア攻撃の兆候はすでに2021年頃から見られており^※、2022年末に発行した当社の「2023 年セキュリティ脅威予測」でも「情報窃取や脅迫に特化した攻撃グループが登場する」という予想をしていました。
※ トレンドマイクロセキュリティブログ（2023年1月）より。窃取情報による恐喝行為のみに特化するサイバー攻撃者集団としては、「Karakurt」などが特徴的。

図：トレンドマイクロ「2023 年セキュリティ脅威予測」より。

元々、サイバー攻撃者が窃取した情報を暴露するWebサイト（いわゆる暴露サイト、リークサイト）には2系統あり、１つは特定のランサムウェアファミリーと関連が明確なもの（LockBitなどのランサムウェアギャングと呼ばれるもの）、もう1つは特定のランサムウェアファミリーとは関連が不明または希薄なもの（DarkLeakMarketやMarketo^※ など）が存在しました（単なる脅迫タイプの攻撃者）。
※ サイバー犯罪者によって設営されたWebサイト名であり、一般的な商品・サービス名とは無関係です。

現在の傾向は、前者の今までランサムウェアギャングとして暗躍していたサイバー攻撃者集団が、ランサムウェアを用いなくなってきたというところに特徴があります。警察庁のレポートにもあるように、全体傾向であるというほどの件数ではありませんが、特徴的な変化として把握しておくと良いでしょう。

なぜ「データを暗号化しない」のか？

では、なぜランサムウェアギャングの一部は「データを暗号化」しなくなったのでしょうか？
ここからは、考え得る原因について3つの観点から考察していきます。

●各国の規制で「ランサムウェア」を用いたマネタイズが困難に

ランサムウェアギャングにとってのマネタイズ（収益化）の源泉は、前述した通り、ランサムウェアによるデータ暗号化によって、データやシステム利用不可の状況から逃れたい被害者が攻撃者側に金銭（身代金）を支払うことで成り立っていました。

しかし、相次ぐランサムウェア攻撃の被害が世界で報告される中、米国を中心に各国でランサムウェアギャング対する身代金の支払いは規制の対象となっています（以下参照）。またランサムウェア攻撃事案と断定できませんが、2020年8月には米国の自動車配車サービス運営企業の不正アクセス事案について、金銭を支払った元CSOがFTC（連邦取引委員会）への情報伝達について妨害を行ったとして訴追を受けています。

図：ランサムウェアギャングなどサイバー攻撃者への金銭支払い関連の規制や訴追事例
（公表情報を基にトレンドマイクロが整理）

ランサムウェアギャングなどのサイバー攻撃者に対する金銭の支払い行為に対する各国の規制が強まる中、被害者側がリスクを勘案した結果金銭の支払いを選択することが少なくなっていることが挙げられます。

●注目を浴びるほど法執行機関によるランサムギャング検挙のリスクが高まる？

2021年8月、インターポール（国際刑事警察機構）は「Quicksand（GoldDust）」作戦と名付けた国際的な捜査活動によって、「GandCrab/REvil」グループの「アフィリエイト（実行犯）」またはパートナーとして関与した容疑者7人を逮捕したと発表しました^※。また、2021年11月には「Cyclon」作戦と名付けた捜査活動で、ランサムウェアグループ「Cl0p」のメンバーとみられる容疑者6人を逮捕したことを発表しています^※。
※ 国際的な捜査活動により「GandCrab/REvil」および「Cl0p」カルテルのメンバーが逮捕 (トレンドマイクロセキュリティブログ)

さらに、 2023年1月には米国司法省がオランダとドイツの法執行機関と連携し「Hive」が使用していたサーバやWebサイトの差し押さえを行ったと発表しました^※。
※ Office of Public Affairs | U.S. Department of Justice Disrupts Hive Ransomware Variant

どのグループも著名なランサムウェア攻撃事例に関わったとされるグループですが、活発な活動を行えば行うほど、各国の法執行機関による検挙や攻撃インフラの差し押さえに繋がります。

一般的にランサムウェアを用いたデータ暗号化は、被害者側の端末内のデータ・システムが利用できない、ランサムノート（身代金要求の趣旨をまとめたドキュメント）を表示するなど目立つものが多く（むしろ目立つことが目的です）、被害の顕在化や被害者から警察へ相談するケースも多いと思われます。こうしたケースが多くなればなるほど、法執行機関側が捜査に活用にできる証拠も集まりやすく、ランサムウェアギャングは活動が活発なほど捜査機関に追跡されるリスクが高まるというジレンマに陥っていると言えるでしょう。

実際に、これまで「データの暗号化」を行っていた「Cl0p」は、2023年5月に確認された攻撃においては「データの暗号化」を行わず、窃取した情報の暴露行為のみで脅迫する手口を利用していたとされます^※。こうしたことからも徐々に「ノーウェアランサム」の攻撃手口が、攻撃者がリスクヘッジを行うための手段として浸透しつつあると言えそうです。
※ 参考記事：米政府機関に影響を及ぼしたランサムウェア「Clop」の概要と対策

●被害組織の「ブランド」を材料にした方が攻撃者にとって得策となる？

先の2つはランサムウェアギャングにとってネガティブな要素（防御側にはポジティブ）ですが、彼らが敢えて「ノーウェアランサム」の手口を行う要素も考えられます。当社が2023年に2月に公開した「セキュリティリーダーのためのマクロ環境分析（Vol.3）」では、標的組織が自社ブランドや評判が経営に大きく影響する組織の場合、攻撃者が「身代金を払えば被害に遭ったことがバレない」ということを材料に被害者と交渉しようとする可能性について言及しています^※。
※ 参考記事：第3回セキュリティリーダーのためのマクロ環境分析

組織として備えておくべきことは変わる？

「データ」を暗号化しない手口の背景を抑えたところで、防御する側の組織として備えておくべきことは変わるのでしょうか？

以下の図で示している通り、ランサムウェア攻撃をはじめとした組織へのサイバー攻撃はいくつかの攻撃ステップに分かれています。

実は、本稿でテーマにしている「ノーウェアランサム」は、この攻撃ステップにおける最終フェーズの「ランサムウェア実行」部分がないだけの攻撃手口とも言えます。最終フェーズに至るまでに、様々な侵入経路から侵入やセキュリティソフト（AV）無効化などの工作、内部探索などが行われおり、その間に情報を窃取されているというわけです^※。
※ 参考記事：サイバー攻撃者の常套手段「セキュリティソフトの無効化」に対抗するためには？

結論から言えば、サイバー攻撃における実害を防ぐため、こうした攻撃ステップのいずれかで検出/防御することが重要という点は、これまでと変わりません。ただ「データの暗号化」というフェーズがないため、EDR（Endpoint Detection and Response）などのインシデント対応を支援するツールで「データの暗号化」の検知ができない(というより存在しない)という点は把握しておく必要があるでしょう。

これまでのランサムウェア攻撃では「データの暗号化」により、被害が否応なしに可視化されていた側面があります。これがノーウェアランサム攻撃では、暗号化のステップがない分、被害の発生に気づき難くなります。このため、 XDR (Extended Detection and Response)のように様々な階層の様々な技術的対策からより多くの証跡を集めて分析し、早期に被害を可視化する取り組みがより重要になるものと言えます。