ランサムウェア
2023年下半期ランサムウェア脅威動向:被害拡大とRaaSグループの活発化
本稿では、2023年下半期におけるランサムウェアの動向を詳細に分析しています。特に、最も多くの攻撃を引き起こしたとされるランサムウェアファミリーであるLockBit、BlackCat、Clopに焦点を当てています。2022年以来、LockBitとBlackCatは、サービスとしてのランサムウェア(RaaS)の提供者として最も頻繁に検出されています。
本稿では、2023年下半期におけるランサムウェアの動向を詳細に分析しています。特に、最も多くの攻撃を引き起こしたとされるランサムウェアファミリーであるLockBit、BlackCat、Clopに焦点を当てています。2022年以来、LockBitとBlackCatは、サービスとしてのランサムウェア(RaaS)の提供者として最も頻繁に検出されています。
2023年、ランサムウェアによるリークサイトの被害全体の25%を占めたLockBitは、悪名高いRaaS提供者としての地位を維持するために何度も改良され、最新の「Green」バージョンが同年1月にリリースされました。しかし、2024年、トレンドマイクロは英国の国家犯罪機関(NCA)と密接に協力し、開発中とされるLockBitの新バージョン「LockBit-NG-Dev」の詳細な解析および脅威情報を提供しました。この情報はLockBitのRaaS運営に大きな障害をもたらし、彼らの全てのサービスが犯罪目的に使えなくなるほどの効果を発揮しました。
一方、BlackCatは、2023年末に法執行機関が閉鎖に追い込むまで、大きな利益を上げていました。米国連邦捜査局(FBI)の発表によると、2023年9月までに、このランサムウェア攻撃グループは世界中から1,000人以上の被害者に対して3億ドル以上の身代金を集め、被害の大半が米国に集中していました。
Clop(「Cl0p」とも表記されることがある)も2023年を通して注目を集めました。このランサムウェアは、Progress社のソフトウェアMOVEit Transferツールに存在する脆弱性(CVE-2023-34362)を悪用し、世界中の企業や組織が脅威にさらされる情報漏えい被害の波を引き起こしました。Progress社はこの脆弱性に対してセキュリティアドバイザリを公開し、さらに7月にはMOVEit Transferで発見された他の3つの脆弱性(CVE-2023-36934、CVE-2023-36932、CVE-2023-36933)に対処するサービスパックをリリースしました。
なお、本稿は、RaaSや脅迫グループのリークサイト、トレンドのオープンソースインテリジェンス(OSINT)調査、および2023年7月1日から12月31日にかけて収集されたトレンドリサーチのテレメトリーデータを基に作成されています。
被害件数の増加に伴い、RaaSおよび関連する攻撃グループの活動が活発化
トレンドマイクロのテレメトリーデータによると、2023年の第3四半期と第4四半期にわたって、Eメール、URL、ファイルの各レイヤーで検出してブロックしたランサムウェアの脅威数は合計で7,472,013件に上りました。これは、同年上半期に検出された脅威数の合計6,697,853件と比較して11.6%の増加となります。
また、身代金の支払いを拒否した企業や組織への攻撃を公表するリークサイトからのデータによると、ランサムウェアの被害件数は合計で2,524件に上り、これは2023年上半期と比較して26.3%増加しています。さらに、同年後半にかけて活動的だったRaaS及び関連グループの数も52件に増え、15.6%の増加が確認られました。
2023年下半期も、悪名高いランサムウェア攻撃グループがRaaSビジネスで最も頭角を現す
2023年上半期に引き続き、リークサイトから得られたデータによると、悪名高いRaaS運営グループであるランサムウェアLockBit、BlackCat、Clopが引き続き数多くのランサムウェア攻撃の背後にいることが明らかとなりました。LockBitは、ランサムウェアファミリーの中で長きにわたりトップの座を保持し、第3四半期には被害件数全体の18.6%、第4四半期には22.8%を占めるまでに至りました。一方、Clopは、同期間に被害件数全体の12.9%と0.7%を占めていました。また、BlackCatは、それぞれの四半期において被害件数の8.1%に関与していました。
LockBitがRaaS運営グループとしての優位性維持に苦慮
2023年11月、LockBit 3.0による攻撃での脆弱性CVE-2023-4966悪用が判明しました。この脆弱性は「Citrix Bleed」と名付けられ、Citrix NetScaler ADCおよびGateway製品に影響を及ぼし、世界中の企業や組織が情報窃取、ファイルの暗号化、業務中断の被害に陥りました。大規模な被害を受けた企業には、ボーイング、中国工商銀行(ICBC)、さらにアラブ首長国連邦(UAE)に本社を置く物流企業DP Worldのオーストラリア支部などが含まれます。同年10月に修正パッチが提供されたにもかかわらず、攻撃時には米国内を中心に10,000台以上のCitrixサーバがこの脆弱性悪用の被害を受けやすい状態にありました。
さらにLockBit-NG-Devは、LockBitランサムウェアの次のバージョン4.0として計画されていた可能性がありますが、2022年にLockBitのランサムウェアビルダーが流出して以来、SpacecolonやFlamingoのような数多くの模倣グループが利用を試みようとしています。こういったLockBitのクローンの出現や、LockBit内部の争いなどは、RaaS市場のシェアを争う中で本来の攻撃グループ自体の衰退を加速させています。LockBitによる成功した攻撃数は、LockBit 2.0からLockBit 3.0への移行にもかかわらず、2022年後半から2023年の大半にかけて着実に減少しました。この下降傾向は、2023年2月20日にNCAが主導する国際的な法執行機関共同作戦「オペレーション・クロノス」による一撃で決定的となりました。この共同作戦は、FBIや9か国の協力を得て、LockBitのソースコード、RaaS利用者が攻撃を行うための技術基盤、リークサイトなどの押収に成功しました。NCAはこのサイトを利用して、LockBitの内部動向に関する情報を公表しました。
法執行機関によるサーバ閉鎖前に新手の身代金要求手法を駆使していたBlackCat
BlackCat(別名:ALPHV)の攻撃グループは、2023年7月にセイコーグループ株式会社(SGC)へのランサムウェア攻撃を実行し、8月には同社からその事実が確認されました。この攻撃により、SGCやセイコーウォッチ株式会社(SWC)、セイコーインスツル株式会社(SII)から、顧客情報や従業員の詳細を含む約60,000件のデータが流出しました。
米国の化粧品・スキンケア用品・ヘアケア用品・香水の製造・販売メーカーEstée Lauderへ攻撃では、同社が身代金交渉を拒否したことから、BlackCatは、自身のリークサイトのAPIを提供するなど、2023年7月にはランサムウェア攻撃の公表度を高めることで、身代金要求の戦略をさらに強化しました。さらに、2023年11月には、従来の複数回の身代金要求モデルから逸脱し、米国のMeridianLinkに対して、米国証券取引委員会(SEC)の4日以内の報告要件を満たさずに侵害を開示しなかったとSECに苦情を申し立てるという恐喝により、身代金支払いを強要するという新たな手法を採用しました。
しかし、LockBitのケースと同様、米国連邦捜査局(FBI)を含む国際的な法執行機関による作戦によって、BlackCatのインフラへの侵入が実現し、彼らを混乱させることに成功しました。12月には、この共同作戦でBlackCatのサーバが侵入され、リークサイトが閉鎖され、BlackCatのTorサイト用の公開/秘密キーペアが数百組押収されました。FBIはまた、世界中の500社以上のBlackCatの被害企業がシステムを復旧し、約6800万ドルの身代金の支払いを回避できるように、復号ツールも提供しました。
目立った情報漏えい被害が続くClopによる攻撃
Clopは2023年5月にMOVEit Transferのゼロデイ脆弱性を大規模に悪用し、その攻撃は同年下半期まで続きました。当初はTorサイトを使っていましたが、その後、クリアウェブ(Torと異なり検索可能ウェブ)上のサイトを通じてMOVEitの脆弱性悪用による攻撃で窃取した情報を流出させました。しかし8月には、このランサムウェア攻撃グループは方針を変え、ピアツーピア(P2P)通信プロトコルの1つTorrentを使用し、Torrentクライアントの使用方法に関する指示を含むTorサイトを設置しました。これによりデータの配布がより速く分散され、法執行機関がリークサイトを封じ込めることが難しくなりました。
このランサムウェアの攻撃では、2,000以上の企業や組織、9,400万人以上の個人が影響を受けました。被害を受けた銀行の1つFlagstar Bankは、10月に80万人以上の米国顧客データが漏えいしたことを発表しました。同月には、同じくMOVEit関連の攻撃で6,000人以上のソニー社員の個人情報も危険にさらされました。
特に中小企業が標的となる
2023年の下半期において、サイバー攻撃への対応や復旧のリソースが大企業に比べて少ない中小企業や組織がこれらの悪名高いランサムウェアファミリーの攻撃によって深刻な影響を受けていました。LockBitの被害件数518件の中で、中小企業が61.8%を占め、中堅企業が19.9%、大企業が6.2%でした。同様に、BlackCatの被害件数の中では、50.7%が中小企業であり、中堅企業および大企業がそれぞれ27.3%と15.6%となっていました。また、Clopによる被害件数183件のうち、62.3%が中小企業、中堅企業が19.7%、大企業が16.9%とでした。
下半期を通じて銀行業界は絶えず攻撃対象となった
トレンドマイクロのテレメトリーデータにおけるンサムウェアの検出台数を見ると、最も狙われた業界として銀行が一貫してトップに名を連ねていました。しかし、2023年の第4四半期には、テクノロジー業界での検出台数が急増したことも確認されました。日用消費財(FMCG)も、8月から11月にかけて、かなりの数のランサムウェア検出台数があり、第3位にランクインしました。
ランサムウェアLockBitの攻撃グループのリークサイトによると、2023年上半期は製造業がランサムウェア攻撃を最も多く受けており、攻撃者の主要ターゲットとしてこれまでの金融業に取って代わりました。しかし、2023年の第3四半期と第4四半期には、金融機関のほか、ヘルスケアやITといった業界も頻繁に標的にされていました。
ランサムウェアBlackCatの場合は、第3四半期、法律サービス業界が最も多くの攻撃を受けましたが、ヘルスケアや金融も一貫して最も狙われる業界としてランクインしていました。これらは、年末6ヶ月間のBlackCatの被害件数205件のうち、それぞれ10.7%と11.2%を占めています。
ランサムウェアClopの場合は、被害のほとんどは第3四半期に発生しており、この攻撃グループは2023年末に向けて勢いを失ったように見えます。Clopの被害件数183件のうち、ほぼ5分の1がIT業界に属しており、15.8%が金融機関で構成されていました。
ランサムウェア攻撃の主なターゲットはイギリスと北米諸国
2023年上半期と同様、下半期も米国、イギリス、カナダの企業や組織がランサムウェア攻撃の最大の標的となりました。これらの3カ国での被害件数は増加傾向にあり、米国では1,188件と上半期から20%増加しました。同様に、イギリスでも23.5%、カナダでも27.3%の増加がみられました。
LockBitの攻撃対象は北米が最も多く、全体の45%を占めています。欧州とアジア太平洋地域がそれぞれ26.8%、12.4%で第2位、第3位となっています。
BlackCatランサムウェアの攻撃も、下半期は北米が58%と最多でした。欧州とアジア太平洋地域がそれぞれ17.1%、14.1%で続いていますが、第4四半期はこの2地域が第2位で並んでいます。
Clopの攻撃も69.4%と大部分が北米に集中しており、第4四半期に至っては全ての攻撃が北米で発生しています。欧州は23%で第2位、アジア太平洋地域は4.9%にとどまっています。
ランサムウェア攻撃のリスクを軽減するためのセキュリティベストプラクティス
世界中の企業や組織は、ますます高度化して執拗になってきているランサムウェア攻撃の脅威に引き続き直面していくことになります。ランサムウェア感染に効果的に対抗するためには、経営者が警戒を怠らず、以下のセキュリティ対策を実施することが求められます。
- 多要素認証(MFA)を有効にする:企業のデータにアクセスしたり、デバイスに保存したりする従業員に対して、機密情報への不正アクセスを防ぐための追加の保護層としてMFAを有効にすることを義務付ける方針を導入すべきです。
- データをバックアップする:重要なファイルを保護するために、「3-2-1ルール」に従ってください。つまり、少なくとも3つのバックアップコピーを2つの異なるファイル形式で作成し、そのうちの1つはオフサイトに保存します。
- システムを最新の状態に保つ:ベンダーや開発者がパッチをリリースしたら、すべてのアプリケーション、オペレーティングシステム、その他のソフトウェアを速やかに更新してください。これにより、システムの侵害を可能にする脆弱性をランサムウェア攻撃者に悪用される機会を最小限に抑えることができます。
- メールを開く前に確認する:攻撃者は、従業員に送信したメールに埋め込まれたリンクや実行可能なダウンロードを利用してマルウェアをインストールするなど、システムを侵害するための定番の方法に頼っています。そのため、従業員にこのような手口を認識させ、回避するためのトレーニングを行うべきです。
- 確立されたセキュリティフレームワークに従う: Center of Internet Security(CIS)やNational Institute of Standards and Technology(NIST)が作成したセキュリティフレームワークに基づいてセキュリティ戦略を策定することができます。これらのフレームワークで概説されているセキュリティ対策とベストプラクティスは、組織のセキュリティチームのメンバーが独自の脅威緩和計画を策定する際の指針となります。
組織は、ランサムウェアの動きを予測し、攻撃者が攻撃を仕掛ける前に対応できる多層的な検知・対応ソリューションを導入することで、サイバーセキュリティインフラを強化することができます。Trend Vision One™は、拡張検知・対応(XDR)機能を備えており、電子メール、エンドポイント、サーバ、クラウドワークロード、ネットワークなど、複数のセキュリティレイヤーにわたってデータを収集し、自動的に関連付けることで、ランサムウェア攻撃の試みを防ぐことができます。
また、ネットワーク検知・対応(NDR)機能を備えたソリューションを導入することで、ネットワークトラフィックをより広範に可視化できるようになります。Trend Vision One - XDR for Networks™は、セキュリティチームに対し、環境をより明確に把握し、対応を迅速化し、将来の攻撃を回避するために必要な重要なネットワークテレメトリを提供します。
本稿の補足データシート(RaaSや攻撃グループのリークサイトのデータ、トレンドマイクロのOSINT調査、トレンドマイクロの脅威インテリジェンスを含む)は、こちらからダウンロードできます。
調査協力:松ヶ谷 新吾(サイバーセキュリティイノベーション研究所)
参考記事:
RISE IN ACTIVE RAAS GROUPS PARALLEL GROWING VICTIM COUNTS - RANSOMWARE IN 2H 2023
By: Trend Micro Research
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)