はじめに

2022年第4四半期のランサムウェア活動について、トレンドマイクロでは詳細な分析を行い、最も検出台数の多かったトップ3のランサムウェアファミリーを特定しました。それらは、LockBit、BlackCat、そしてRoyal（ランサムウェア攻撃グループConti Team Oneの分派）でした。

第4四半期の情報から、LockBitが最も活発なサービスとしてのランサムウェア（RaaS）提供元であることがわかりました。これは、トレンドマイクロが以前に発表した2022年の第1、第2、第3四半期の報告と一致しています。一方、BlackCatは、被害者のウェブサイトに偽装し、窃取した情報をダークウェブではなくクリアウェブ（一般に公開されているインターネット上のWebサイト）上に公開するなど、新しい恐喝手法を展開していました。また、年末には、ランサムウェアの攻撃者がマルウェアの「兵器庫」をアップグレードし、新しい手口による侵入、永続化、恐喝などの活動を行うようになりました。

この記事では、RaaSおよび攻撃グループのリークサイトから収集されたデータ、トレンドマイクロによるオープンソースインテリジェンス（OSINT）への調査、そしてTrend Micro™ Smart Protection Network™（SPN）から収集されたデータに基づいています。データの対象期間は、2022年10月1日から12月31日までです。

第4四半期のランサムウェア被害件数はRaaSグループの活動が鈍化し、第3四半期に比べて5.1％減少

2022年第4四半期にトレンドマイクロのSPNに基づいて、メール、URL、ファイルのレイヤー全体で合計2,812,825件のランサムウェア脅威を検出してブロックしました。第3四半期の4,138,110件の検出数と比較すると、32％の減少となりました。

ランサムウェアグループのリークサイトから得られたデータによると、2022年第4四半期における企業や組織のランサムウェア被害件数は664件となり、第3四半期比で5.1％減（36件減少）となりました。これらリークサイトの情報からは、身代金を支払わなかった企業や組織への攻撃の成功事例が把握できます。一方、第4四半期におけるRaaSおよびRaaS関連グループの総数にはほとんど変化がなく、2022年第3四半期に比べて30件から32件に増加しました。

図1：2022年第4四半期における活動中のRaaSおよび攻撃グループの件数および被害件数出典：RaaSおよび攻撃グループのリークサイト

著名なランサムウェア攻撃グループLockBit、BlackCat、Royalが攻撃活動を牽引

ランサムウェア攻撃グループのリークサイトからのデータによると、第4四半期の3ヶ月間で最も多くの被害件数を示したものは、著名なランサムウェア攻撃グループであるLockBit、BlackCat、およびRoyal（Contiの元メンバーの運営によるランサムウェア）の攻撃キャンペーンでした。

LockBitは2022年1月から12月までの間、第1位の地位を維持しました。LockBitは、第1四半期（35.8％）、第2四半期（34.9％）、第3四半期（32.9％）と被害件数の3分の1以上を占めましたが、第4四半期にはそのシェアが22.3％と大幅に減少しました。第4四半期は、11.7％がBlackCat、10.7％がRoyalとなっていました。

図2：RaaSおよび恐喝攻撃の被害件数別ランサムウェアファミリー（2022年10月1日から12月31日）出典：RaaSおよび攻撃グループのリークサイト

2022年第4四半期に、Trend Microの顧客を狙ったランサムウェア攻撃の検出台数の情報によると、LockBitの攻撃活動レベルは、月間約200件に近いことがわかりました。これは、過去3四半期のものとは大幅に異なり、月ごとの数値には規則性が認められませんでした。一方、10月にはBlackCatの攻撃は検出されませんでしたが、11月には194件、12月には457件と急激に増加し、135.6％増加しました。この期間中、Royalによる顧客への攻撃は検出されませんでした。

図3：LockBit、BlackCat、Royalランサムウェア検出台数の月別推移（2022年第4四半期）出典: SPN

LockBitが年間を通じて猛威を振るう中、2022年第4四半期も多くの注目すべき攻撃が発生

LockBitは2019年9月に発見されて以来、ランサムウェアの機能を頻繁にアップグレードし、アフィリエイト拡大プログラムを実施して、RaaS分野での地位を強固にしてきました。二重恐喝という攻撃手法を巧みに使いながら、LockBitは他の攻撃グループよりも先行して、独自の活動を展開してきました。2022年中頃にリリースされたLockBit 3.0と合わせ、LockBitの攻撃者は、セキュリティリサーチャー向けに初めて、暗号資産Zcashの支払いによるランサムウェアバグバウンティプログラム（報奨金制度）を提供しました。そして、2022年第4四半期には、多数の有名企業を標的とする攻撃を行い、サービスとしてのランサムウェア攻撃を提供する不法業者としても主導的な立場を維持していました。

2022年11月、ドイツを拠点とする自動車のグローバル企業のグループがLockBitの被害に見舞われていました。LockBitの攻撃では、被害を受けた企業が22時間の期限内に身代金を支払わない場合、窃取した情報をリークサイト上で暴露すると脅迫しますが、同社は交渉を拒否した可能性が高いようです。また、報道によると、同社は情報漏えいの被害にあったことを否定していたようです。

2022年の第4四半期は、LockBitの興味深い攻撃活動も確認されました。小児病院がこのランサムウェアによる攻撃を受けた事例では、LockBit側が謝罪文を公表し、無料の復号ツールを提供するという対応をとりました。この攻撃では、病院の内部および企業システム、ウェブサイト、電話回線が深刻な被害を受けたため、攻撃者側の本意ではなかったのかもしれません。セキュリティリサーチャーのDominic Alvieri氏によるTwitter上での報告では、LockBitの攻撃グループは、謝罪文を発表するとともに、被害者に無料の復号ツールを提供し、RaaSアフィリエイトプログラムのルールを破った利用者をブロックするという対応を取ったようです。

2022年12月26日、LockBitがヨーロッパ有数の拠点であるリスボン港を攻撃しました。港の関係者はポルトガルのニュースメディア「Publico」に対し、港のシステムが攻撃を受けたことを公表しましたが、運用には支障がありませんでした。報道によると、港の管理部門は直ちにセキュリティプロトコルとインシデント対応策を導入し、当局と協力してシステムとデータを保護するための措置を講じました。

新しい恐喝手法として被害組織の偽装サイトを利用したBlackCat

2022年12月末、BlackCat（別名：AlphaVM、AlphaV、またはALPHV）は、新しく創造的な恐喝手法を使って、金融サービス業界のある企業を攻撃しました。この恐喝手法では、まず、BlackCatの攻撃者は、身代金要求に応じなかった場合は2つの方法で制裁すると脅しました。1つは、窃取した情報すべてを攻撃グループのTorサイトに暴露することです。もう1つは、タイポスクワッティングでドメイン名を偽装した被害者の偽サイトにファイル情報を暴露することです。Torなどのダークウェブに公開されたサイトは見えにくい一方、一般ユーザがアクセスできるクリアウェブ上での暴露は、被害企業に対してのより強いプレッシャーとなります。

BlackCatの攻撃グループは、自分たちの新しいRaaSを宣伝するためにTelegramアカウントも悪用していました。パッケージ化したLog4J Auto Exploiterを悪用することで、BlackCatは、マルウェアを対象のネットワーク全体に拡散させることが可能となるといいます。

2022年の第4四半期、コロンビアのエネルギー供給会社がBlackCatの攻撃の被害に見舞われました。この会社は基幹インフラの一部であり、同国最大の公共エネルギー、水、ガスの提供業者の1つであるため、このサイバー攻撃によりオペレーションを一時停止し、オンラインサービスも停止せざるを得ませんでした。BlackCatは、攻撃中に企業データを広範囲に渡って窃取したと主張していますが、その範囲については現時点では未確認です。

Royalによる数百万ドル規模の身代金要求

2022年9月から12月にかけて、主にアメリカとブラジルの企業を標的としたランサムウェアRoyalの攻撃が複数報告されました。セキュリティリサーチャーたちは、このランサムウェアを初めて確認したのは2022年9月であると述べていますが、別の報告によれば、この攻撃グループは実際には2022年1月には既に活動を始めていた可能性があるとされています。また、Royalの攻撃グループは、サイバー犯罪ビジネスで長年にわたって関わってきた経験豊富なメンバーであり、そのことがランサムウェアの世界で急速に知名度を上げる原因の1つであるとされています。Royalは、Vitali Kremez氏が共有したマインドマップに基づくと、以前はContiの攻撃グループ「Conti Team One」のメンバーによって運営されていたとされています。

トレンドマイクロは、Royalの攻撃を調査し、この攻撃グループが新旧の技術を組み合わせていることを明らかにしました。このことから、この攻撃グループがランサムウェアの攻撃に関する幅広い知識を有している可能性があることがわかります。例えば、彼らはコールバックフィッシングを利用して、被害者を騙してリモートデスクトップマルウェアをインストールさせ、最小限の労力で被害者の端末に侵入します。一方、彼らが断続的に利用する暗号化の手法はファイルの暗号化を加速させています。

また、初期の攻撃キャンペーンでは、別のランサムウェア「BlackCat」の暗号化ツールを使用していましたが、その後、自グループで開発したツールZeonに移行しました。このZeonはContiに似た身代金要求のメッセージを表示します。さらにその後、彼らはブランド名を変更し、新しい暗号化ツールで生成した身代金要求のメッセージには「Royal」という言葉が使われるようになりました。

2022年12月7日、米国保健福祉省（HHS）は、医療機関に対して、Royalの脅威に関する警告を発しました。レポートによると身代金の要求額は25万米ドルから200万米ドル以上を要求する報告されています。Royalはアフィリエイトを採用せず、自分たちで攻撃を行うグループと言われているため、RaaS提供者としては分類されていないようです。

攻撃の標的として狙われる中小・中堅企業

2022年の四半期において確認されたランサムウェアの被害件数から、中小・中堅企業が攻撃のターゲットにされていることが繰り返し確認されています。これは、こうした企業においてサイバー攻撃に対処するためのITセキュリティリソースが不十分であることが原因の一つとして挙げられます。

LockBitのリークサイトからのデータによると、被害件数の過半数が中小企業（従業員数が最大でも200人以下）であり、2022年第4四半期には51.7％を占めました。これは、2022年第3四半期の57.8％からわずかに低下した数字です。中堅企業（従業員数が201人から1,000人）は、第4四半期に21.7％を占めました。一方、従業員数が1,000人以上の大企業は、第4四半期に15.6％を占め、第3四半期の16.1％からわずかに減少しました。

BlackCatの攻撃では、第4四半期に確認された被害件数のうち38.9％が中小企業で最も多く、続いて28.6％が中堅企業でした。一方、大企業は被害件数の4分の1を占めています。

Royalの第4四半期に確認された被害件数の51.9％は中小企業で、中堅企業は26.8％のシェアを占めました。大企業はこの期間において11.3％を占めました。

図4：LockBit、BlackCat、Royalの被害件数のセグメント別分布（2022年第4四半期）出典：LockBit、BlackCat、RoyalのリークサイトおよびトレンドマイクロのOSINTリサーチ

2022年第4四半期、日用消費財、政府、製造の業界が標的となる

2022年10月から12月にかけてSPNにおけるランサムウェアのファイル検出件数では、日用消費財（FMCG）、公共、製造の3つの業界が上位3位を占めていました。11月のランキングは10月と同様でしたが、製造業は2か月連続で3位だった後、12月に1位となりました。

図5：ランサムウェア検出台数上位3業界の月別推移（2022年第4四半期）出典：SPN

リークサイトによる被害件数の統計によると、2022年第4四半期において、IT、ヘルスケア、製造業界が最も被害を受けたトップ3となりました。RaaSおよび恐喝グループによる攻撃のターゲットとしては、この1年間を通じて、これらの業界が一貫して含まれていました。

2022年には、ランサムウェア攻撃者たちは大きな利益を得ることができる企業を標的とする傾向がありました。今後も同様の攻撃が続くことが予想されます。ランキング上位にある業界の企業は、世界中に多くのオフィスや社員が存在し、多様な製品やサービスを提供しているため、サイバー犯罪者にとって魅力的な標的となる特徴を備えていると言えます。

図6：RaaSおよび脅迫攻撃に影響を受けた被害企業の業界別トップ10（2022年第4四半期）出典：RaaSおよび恐喝グループのリークサイトとトレンドマイクロのOSINTリサーチ

2022年第4四半期、LockBitランサムウェアのリークサイトから得られたデータによると、金融、IT、医療業界がLockBitの被害者の上位3つに含まれていました。製造や専門サービスも含め、これらの業界は2022年を通じてLockBitの攻撃を受けた企業のトップ10リストに常に入っているようです。特筆すべきは、LockBitの攻撃グループは、規約に違反して小児科病院を攻撃したアフィリエイトを厳しく罰したとしていますが、それでも医療機関の被害件数はリークサイト上で多数報告されている点です。

表1：LockBitの攻撃を受けた被害企業の業界別トップ5（2022年第4四半期）出典：LockBitのリークサイトとトレンドマイクロのOSINTリサーチ

BlackCatの攻撃を受けた企業のうち、14.3%がIT業界で、次いで10.4%が製造業でした。LockBitやRoyalと同様、BlackCatも被害企業の業界トップ5にヘルスケアが含まれています。

表2：BlackCatの攻撃を受けた被害企業の業界別トップ5（2022年第4四半期）出典：BlackCatのリークサイトおよびトレンドマイクロのOSINTリサーチ

Royalの2022年第4四半期のターゲットは、IT、金融、医療の3つの業界の企業でした。これらの業界は、図6の総合ランキングでもトップ5に含まれていました。リークサイトから得られた被害件数のデータによると、ITには9社、金融には8社、素材サービスには6社の企業が含まれていました。

表3：Royal の攻撃を受けた被害企業の業界別トップ5（2022年第4四半期）出典：RoyalランサムウェアのリークサイトとトレンドマイクロのOSINTリサーチ

第4四半期、被害件数の3分の2を米国内の企業が占める

ランサムウェアや恐喝グループのリークサイトを詳しく調べてみると、2022年10月から12月にかけて、米国を拠点とする企業がランサムウェア攻撃の被害を最も受けたことが分かりました。被害件数全体の42％が米国の企業でした。第1四半期から第4四半期にかけて、ランサムウェアの攻撃者は、主に米国企業を標的にしていたようです。また、第4四半期には、イギリスやドイツなどのヨーロッパ諸国でもランサムウェア攻撃の被害が報告されました

図7：RaaSおよび恐喝グループの被害件数における国別トップ10 出典：RaaSおよび恐喝グループのリークサイトおよびトレンドマイクロのOSINTリサーチ

LockBitのリークサイトによると、2022年第4四半期の被害件数のうち、約3分の1は北米に拠点を置く企業であり、全体の44％を占めました。一方、アジア太平洋地域の被害件数は42件で、全体の28.6％に相当します。2022年第2四半期および第3四半期には、欧州に拠点を置く企業が被害者数の約3分の1を占めていましたが、第4四半期にはアジア太平洋地域の被害者数が増加し、欧州の被害件数は23.1％に減少しました。

図8： LockBitの被害件数における地域別ランキング（2022年第4四半期）出典：LockBitのリークサイトおよびトレンドマイクロのOSINTリサーチ

2022年第4四半期、BlackCatによる被害件数の半数以上が北米地域で発生し、全体の51.9％を占めていました。欧州地域の被害件数は2番目に多く、全体の18.2％を占め、アジア太平洋地域は15.6％で続きます。

図9：ランサムウェアBlackCatの被害件数における地域別ランキング（2022年第4四半期）出典：BlackCatのリークサイトとトレンドマイクロのOSINTリサーチ

2022年第4四半期、Royalの被害件数のうち、北米が全体の4分の3を占め、欧州の被害件数は全体の14.1%でした。その他の被害件数は南米に分散し、アジア太平洋地域は2件、アフリカと中東はそれぞれ1件でした。

図10： Royal の被害件数における地域別ランキング（2022年第4四半期）出典：RoyalのリークサイトとトレンドマイクロのOSINTリサーチ

ランサムウェア攻撃のリスクを軽減するためのプロアクティブなマインドセットとベストプラクティス

ランサムウェア攻撃グループは技術を向上させ、より利益を上げるために勢力拡大を図っています。このような攻撃によって企業や組織が被害を受けることは、規模にかかわらずビジネスを健全かつ持続的に行う上で注意すべき普遍的な脅威です。ビジネスのオンライン化が進む世界中で、サイバー攻撃が増加する可能性が高いため、企業や組織はプロアクティブなサイバーセキュリティの考え方を育成し、以下のベストプラクティスを実施することで、ランサムウェア攻撃のリスクを軽減することができます。

多要素認証（MFA）を有効にしてください。企業や組織は、従業員が自分のデバイスで企業データにアクセスまたは保存する場合に、MFAの有効化を要求するポリシーを実施する必要があります。これにより、機密情報への不正アクセスを防止するための追加の保護層が提供されます。
データのバックアップを確保してください。企業や組織は、機密情報が含まれたファイルを保護するために、「3-2-1ルール」に従うべきです。少なくとも3つのバックアップコピーを2つの異なるファイル形式で作成し、そのうちの1つをオフサイトに保存してください。
システムを最新の状態に保ってください。企業や組織は、ベンダーや開発者がパッチをリリースした直後に、すべてのアプリケーション、オペレーティングシステム、その他のソフトウェアを更新する必要があります。これを行うことで、システム侵入を可能にする脆弱性を悪用するランサムウェア攻撃者の機会を最小限に抑えることができます。
メールを開く前に必ず確認してください。攻撃者は、マルウェアをインストールするために従業員に送信された電子メールに不正なリンクや実行可能な添付ファイルなどを仕込み、システム侵害を試みることがあります。企業や組織は、従業員がそのような手法に気づいて回避できるセキュリティ教育を受ける必要があります。
すでに確立されたセキュリティフレームワークに従ってください。言わば「車輪を再発明する」必要はありません。企業や組織は、Center of Internet Security (CIS)およびNational Institute of Standards and Technology (NIST)によって作成されたセキュリティフレームワークを基に、サイバーセキュリティ戦略を策定することができます。これらのフレームワークに記載されているセキュリティ対策とベストプラクティスは、企業や組織のセキュリティ部門チームにおいてセキュリティ対策プランを策定する際の指針となります。

企業や組織は、攻撃者が攻撃を開始する前にランサムウェアの動きを予測して対応できる、多層防御で検知および対応が可能なソリューションによって、サイバーセキュリティインフラを強化することができます。Trend Vision One™は、拡張された検知および対応（XDR）の機能を備えており、メール、エンドポイント、サーバ、クラウドワークロード、ネットワークを含む複数のセキュリティ層でデータを収集し、自動的に相関させて、ランサムウェア攻撃の試みを防止します。

企業や組織は、ネットワーク検出と対応（NDR）の機能を備えたソリューションも活用できます。これにより、ネットワークトラフィック全体に対するより広範な可視性が得られます。ネットワークセキュリティは、セキュリティチームに必要な重要なネットワークテレメトリを提供し、環境のより決定的なイメージを形成し、対応を加速し、将来の攻撃を回避するための支援をします。

この記事を補足するデータシートには、RaaSおよび恐喝グループのリークサイトからの情報、トレンドマイクロのOSINTリサーチ、およびSPNの情報が含まれています。こちらからダウンロードしてください。

参考記事：

LOCKBIT, BLACKCAT, AND ROYAL DOMINATE THE RANSOMWARE SCENE - RANSOMWARE IN Q4 2022
By: Trend Micro Research

翻訳：与那城務（Core Technology Marketing, Trend Micro™ Research）

タグ

ランサムウェアLOCKBIT、BLACKCAT、ROYALが席巻した2022年第4四半期