ランサムウェア
2022年第1四半期におけるランサムウェア脅威動向:LockBit、Conti、BlackCatが猛威を振るう
本稿では、2022年第1四半期のランサムウェアの脅威状況を、最も猛威を振るったとされる3つのランサムウェアファミリおよび影響を受けた業界に焦点を当てながら解説します。
本稿では、2022年第1四半期のランサムウェアの脅威状況を、最も猛威を振るったとされる3つのランサムウェアファミリおよび影響を受けた業界に焦点を当てながら解説します。
2022年はより多くの攻撃グループが参入する中、ランサムウェアの脅威は活発化してきています。本稿では「サービスとしてのランサムウェア(RaaS)」や恐喝グループのリークサイトに関するトレンドマイクロのオープンソースインテリジェンス(OSINT)調査およびクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network(以下、SPN)」からのデータを用いて2022年の第1四半期(1月1日から3月31日まで)のランサムウェアの脅威状況を振り返りました。この期間中に多数の攻撃が確認された3つのランサムウェアファミリ(LockBit、Conti、新興のBlackCat)および背後の攻撃グループに焦点を当てて追跡しました。
前年比で増加傾向を示すランサムウェア攻撃
SPNのデータによると、2022年第1四半期の3か月、メール、URL、ファイルの各レイヤにおいて合計4,439,903件のランサムウェア攻撃が検知・ブロックされました。これは前四半期(2021年第4四半期)から36.6%増加し、また、前年同期(2021年第1四半期)から4.3%増加したことを意味します。
さらにRaaSおよび恐喝グループの数は、前年同期比で63.2%増加しており、必然的にランサムウェア攻撃の被害を受けた企業や組織が増加しました。ランサムウェアの攻撃グループが情報暴露の恐喝に利用するリークサイトには、身代金の支払いを拒否して情報暴露の被害を受けた企業や組織への攻撃件数が記録されており、これによると、ランサムウェアの被害者は前年同期比29.2%増となっていました。
LockBit、Conti、BlackCatによるRaaSを駆使した攻撃が主流
2022年第1四半期に多数の攻撃を成功させたとされる3つのランサムウェアファミリは、いずれもRaaSのビジネスモデルを活用していることでも知られています。リークサイトのデータを見ても、確認された攻撃数のうち、35.8%はLockBit、19%はConti、9.6%はBlackCatとなっていました。
企業や組織を狙うランサムウェアの検出数を追跡したSPNデータによると、2022年第1四半期全体で検出されたトップ10ランサムウェアファミリの中にLockBitとContiが含まれていました。BlackCatは、2022年2月と3月ランサムウェアファミリトップ10に含まれていました。
3つのランサムウェアファミリのうち、2022年第1四半期中、RaaSや恐喝グループのリークサイトのランキングで上位に入ったファミリはContiであり、被害者数105件を記録していました。米連邦捜査局(FBI)の推計によると、トレンドマイクロが攻撃キャンペーン「Water Goblin」と名付けて追跡しているConti背後のグループは、2022年1月の時点で1000人以上の被害者と1億5000万米ドル以上の支払額を集めており、同サイトに記録された中で最も高額の損害をもたらしたランサムウェアファミリの1つとなっています。
LockBitのようなRaaSを駆使するファミリは、2022年2月に検出数が最高となり、二重恐喝の手口を始めて以来、さらに深刻な脅威となりました。二重恐喝の場合、攻撃者は、被害者のデータを暗号化して、データ復旧と引き換えに身代金を要求するだけでなく、身代金が支払わなければデータを暴露すると脅すことで被害者にさらなるプレッシャーをかけます。2022年1月にフランスの法務省に対する攻撃でこの手口が利用され、身代金の支払いに応じない場合、同省の機密情報をダークウェブに公開すると脅されたと報じられています。
ContiやLockBitに比べると、BlackCat(別名:AlphaVM、AlphaV、ALPHV)は、新規ファミリであり、2021年11月にセキュリティ調査機関「MalwareHunterTeam」のリサーチャーによって初めて報告されました。そして他のRaaS利用型ファミリと異なるのは、被害者が身代金を支払わない場合、窃取した情報を暴露した上で、被害者のインフラに分散型サービス妨害(DDoS)攻撃を仕掛けると脅迫する三重恐喝を用いる点です。さらに被害者には暗号資産であるビットコインやモネロで数百万米ドルの身代金支払いを要求します。BlackCatは、身代金の90%をRaaS利用者が受け取ることができるという利益率の高いサービスでもあり、今後、サイバー犯罪アンダーグラウンド市場における主要なプレイヤとなる可能性があります。
BlackCatは、SPNデータによると2月に最も活発な動きを見せ、3月時点で世界で少なくとも60の企業や組織への侵入に成功しています。また、初めてプログラミング言語「Rust」で書かれたランサムウェアファミリであることも注目されています。Rustは、同時並行処理が可能なより安全なプログラミング言語と考えられているため、この点がBlackCatの大きなセールスポイントとなっています。さらにRustはクロスプラットフォーム言語であるため、WindowsやLinuxなどの異なるオペレーティングシステム向けに調整することも容易です。
中小・中堅企業に狙いを定める攻撃者
中小企業は、サイバー攻撃に対抗するリソースが少ない傾向から、さまざまなサイバー攻撃にさらされるリスクが高く、また中堅企業は、比較的価値の高い資産を保有しているため、攻撃者から魅力的のターゲットと見なされる可能性があります。
リークサイトのデータによると、Conti は主に中堅企業(従業員数201~1000人)に対して攻撃を仕掛け、2022年第1四半期に成功した攻撃の41.9%を占め、残りは中小企業(最大200人)と大規模企業(1000人以上)で均等に分かれています。
一方、2022年第1四半期にLockBitが成功した攻撃の65.5%が中小企業に対してであり、次いで中堅企業が20.5%、大企業が10.5%となっています。同様にBlackCatの場合も、2022年第1四半期は、主に中小企業がこのランサムウェアファミリの被害を受け、成功した攻撃の57.6%を占め、中堅企業と大企業がそれぞれ25.4%と17%となっていました。
官公庁、金融、製造業で猛威を振るうランサムウェア攻撃
SPNのデータによると、2022年1月から3月にかけてランサムウェアファイルの業界別検出台数は、公共と金融が常にトップ3にランクインし、製造とFMCG(Fast-moving consumer goods)業界の企業がそれに続いていました。ランサムウェアの攻撃者は、引き続き公共機関を悩ませており、2021年第4四半期にも大量の検出台数が確認されていました。
SPNデータの結果は、リークサイトから得られた知見とほぼ一致しており、2022年第1四半期に確認されたLockBitの攻撃のうち12.7%を金融が占めています。同時期におけるLockBitの被害件数のうち、建設と製造はそれぞれ9.5%を占めていました。この中には、2月にLockBitが侵害した世界最大手のタイヤメーカー1社が含まれていました。
| 業界 | 被害件数 |
| 金融 | 28 |
| 建設 | 21 |
| 製造 | 21 |
| IT | 16 |
| 専門サービス | 16 |
| その他 | 118 |
| 合計 | 220 |
対してContiの被害状況はバラエティに富んでいました。この場合、製造が12.8%、素材メーカーが10.3%、専門サービス企業が8.5%と、それぞれ僅差で続いています。2021年1月に確認されたContiの攻撃で注目すべきは、Apple、Dell、Teslaなど各社へ部品を供給している台湾の電子機器メーカーで発生した事例でしょう。幸い、基幹システムの被害は免れましたが、この事例からは、被害を受けた会社の取引先である有名企業にも影響が及ぶ可能性を示唆しています。
| 業界 | 被害件数 |
| 製造 | 15 |
| 素材メーカー | 12 |
| 専門サービス | 10 |
| 建設 | 9 |
| IT | 8 |
| その他 | 63 |
| 合計 | 117 |
BlackCatによる攻撃の被害を最も大きく受けた業界は専門サービスの企業であり、被害件数の割合は13.6%でした。金融および法務サービスは、それぞれ10.2%がBlackCatの被害に見舞われていました。中でも注目すべき事例は、スイスの航空会社への攻撃であり、2022年2月、社内メモや就職希望者の情報を含むデータが漏えいする被害が報じられました。
| 業界 | 被害件数 |
| 専門サービス | 8 |
| 金融 | 6 |
| 法務サービス | 6 |
| アパレル・ファッション | 5 |
| 素材メーカー | 5 |
| その他 | 29 |
| 合計 | 59 |
欧州と北米の企業や組織へ被害をもたらすランサムウェア
RaaSや恐喝グループのリークサイトを調査した結果、RaaSや恐喝の被害が多かった国のトップはやはり米国でしたが、欧州の多くの国でも被害が確認されました。
LockBitの被害の大部分(40.5%)は欧州の企業や組織であり、次いで北米が34.1%、アジア太平洋地域が10.9%となっています。特に、米国、イタリア、フランスは、最も多くLockBitの攻撃を経験しています。LockBitの被害のほとんどが欧州であった一方で、FBIは、2022年2月、LockBitの最新バージョンLockBit 2.0が東欧の企業や組織を特定した上で攻撃から除外するように設計されている点を指摘しました。LockBitの以前のバージョンでも、ロシアや独立国家共同体に属する国々の端末を選別する自動選別プロセスが備わっており、おそらくこれらの国々での訴追を回避する手段であったと推測されます。
ロシアに多くの攻撃グループのメンバーを抱えるContiは、2022年2月、ロシア・ウクライナ紛争に言及し、ロシアにサイバー攻撃を仕掛ける者には報復する意向を表明しました。このことは、2022年第1四半期、彼らの活動が地域的に分散していることの一端を示しているといえるでしょう。そうした中、北米の企業や組織が最も被害を受け、被害件数の49.6%を占めたのに対し、欧州では41.9%、アジア太平洋地域の組織では6%となっていました。Contiによる被害の多くは、米国、ドイツ、英国で確認されました。
BlackCatは、Contiと同様、北米を中心に攻撃活動を行い、被害件数の50.8%がこの地域で確認されました。欧州およびアジア太平洋地域の被害件数は、それぞれ25.4%と18.6%となっていました。特に米国とイタリアのターゲットに狙いを定めていました。BlackCatは、ドイツの燃料販売会社やイタリアの高級ファッションブランドなど、欧州の著名な企業への攻撃などでも大きく報道されました。
ランサムウェアの攻撃から企業や組織を守るセキュリティソリューションとベストプラクティス
ランサムウェアは、あらゆる規模の企業や組織にとって依然として大きな脅威であり、攻撃者によって巧妙化されるツールやテクニックへの対処が必要です。企業や組織は、以下に推奨されるセキュリティ対策を実施することで、自社の機密情報を危険にさらすランサムウェア攻撃のリスクを軽減することができます。
- 多要素認証を有効にする。企業や組織は、個人用デバイスで社内情報にアクセスしたり情報を保存したりする従業員に対し、多要素認証有効化を義務付けるポリシーを策定し、これらのデバイス内の機密情報に簡単にアクセスできないようにする必要があります。
- データのバックアップをとる。重要なファイルを保護するために可能な限り「3-2-1ルール」に従うこと。つまり、2つの異なるファイル形式で少なくとも3つのバックアップコピーを作成し、そのうちの1つをオフサイトに保管することです。
- システムを常に最新に保つ。企業や組織はベンダーや開発元からパッチがリリースされたら直ちにすべてのアプリケーション、OS、その他のソフトウェアを更新すること。これによりランサムウェアの攻撃者が脆弱性を突いて社内のシステムにアクセスするのを防ぐことができます。
- メールの添付ファイルやリンクには細心の注意を払う。不正な送信者は、ランサムウェアをインストールさせる手段としてメールを利用するため、見覚えのない送信者からのメールの添付ファイルのダウンロードや埋め込みリンクのクリックを避けるよう社員を教育しておく必要があります。
- 確立されたセキュリティフレームワークに従う。企業や組織は、CIS(Center of Internet Security)およびNIST(National Institute of Standards and Technology)が作成したセキュリティフレームワークに基づき、サイバーセキュリティ戦略を策定することができます。これらのフレームワークに記載されているセキュリティ対策やベストプラクティスは、企業や組織のセキュリティチームがリスク軽減プランを策定する際の指針として活用することができます。
企業や組織は、サイバーセキュリティのインフラを多層的な検知・対応ソリューションで補強することでランサムウェアの動きを予測し、攻撃が実行される前の対処が可能になります。メール、エンドポイント、サーバ、クラウドワークロード、ネットワークなど複数のセキュリティ層で情報収集して自動的に関連付けるXDR(Extended Detection and Response)機能を備えたTrend Micro Vision One™は、ランサムウェア攻撃の試みを回避するためのソリューションの1つです。
ネットワークトラフィックを可視化するNDR(Network Detection and Response)機能を備えたソリューションも企業にとって有益な対策です。Trend Micro Network One™は、セキュリティチームが環境をより明確に把握して対応を迅速化し、将来の攻撃を防止するために必要な重要なネットワークテレメトリを提供します。
RaaSや恐喝グループのリークサイト、トレンドマイクロのOSINT調査、SPNデータなど、本稿で言及したデータの詳細はこちら(英語)をご参照ください。
調査協力:松ヶ谷 新吾(サイバーセキュリティイノベーション研究所)
参考記事:
• 「LOCKBIT, CONTI, AND BLACKCAT LEAD PACK AMID RISE IN ACTIVE RAAS AND EXTORTION GROUPS」
By: Trend Micro Research
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)