「攻撃者の経済理論」が働きやすい近年のランサムウェア攻撃
ランサムウェア攻撃の近年のトレンドは、この攻撃者の経済理論にまさに合致している。かつてのランサムウェア攻撃の主体は組織化されていない個人やグループが中心で、その手口も単にデータを暗号化してその復旧の見返りに金銭を要求するというものだった。
こうした手口は、当初ある程度効力を発揮したものの、やがて守る側もデータのバックアップ対策の強化や身代金の支払い要求を拒否するケースが増えるなど、攻撃によって得られる価値は相対的に低くなっていった。また各国の言語に合わせてフィッシングメールや脅迫文を作成し、メールを大量送信するなど、攻撃のためにかかる手間やコストもかさんでいた。つまり、攻撃者の経済理論にそぐわなくなってきたのだ。
しかし先述したように、攻撃対象となるアタックサーフェスが拡大したことにより、IT機器やソフトウェアの脆弱性が数多くインターネット上にさらされるようになり、これらを悪用することで攻撃者は手間や時間をかけることなく初期侵入できるようになった。
また、攻撃者側の組織化・分業化が進み、「マルウェア開発」「初期侵入」「暗号化実施」「被害者との交渉」などランサムウェア攻撃の各フェーズを攻撃者同士で分担し、最終的に得られた利益を分配するようなエコシステムが確立されたことで、さらに攻撃に掛かるコストが低くなった。
さらには攻撃によって得られる価値、つまり被害者から脅し取る身代金の金額もかつてより高額化している。
「現在では単にデータ復旧の見返りに身代金を要求するだけでなく、データを窃取した上でその公開をちらつかせてさらに金銭を要求する『二重脅迫』の手口が一般化しています。このように近年のランサムウェア攻撃のトレンドは攻撃のコストを下げ、かつその効果を高める方向に進んでいます」(陳氏)
放置された「既知の脆弱性」を悪用する手口が横行
こうしたトレンドの代表例として、陳氏は近年特に攻撃を活発化させている3つのランサムウェア攻撃グループ「LockBit」「Cl0p(Clop)」「ESXiArgs」の攻撃手法を挙げる。
LockBitは日本の医療機関やインフラ企業に対してたびたび攻撃を仕掛けて被害を与えていることから、国内でも広く知られ存在だが、2023年7月には台湾の半導体製造大手TSMCのデータを盗んで7000万ドルを脅迫したとの報道もあった。またこのグループは、高度に組織化された攻撃を行うことでも知られている。
このLockbitが2023年2月に行った攻撃では、印刷管理ソフトウェア「PaperCut」の脆弱性を悪用して初期侵入を行い、その後各種の悪性コードをダウンロードした後に標的システムのデータを暗号化。さらに窃取したデータの公開をちらつかせて二重脅迫を行っている。
またLockBitと同じく組織化・分業化された攻撃を行うと言われているCl0pは、2023年2月に実施した攻撃でファイル転送製品「GoAnywhere MFT」の脆弱性を悪用して攻撃ターゲットのサーバに侵入している。その上でバックドアを仕掛け、最終的にはやはりデータを暗号化した上で二重脅迫を行っている。
さらに、VMwareの仮想化製品「ESXi」に特化した攻撃を行うことで知られるESXiArgsは、ESXiが抱えていた「OpenSLP脆弱性」を悪用した侵入手口を頻繁に用いる。そうやって侵入した後はLockBitやCl0pと同様にデータの暗号化を実施するが、二重脅迫を行わないケースもあるのが特徴だ。
このように各グループとも細かな手口の点で違いはあれど、企業が対処を怠っている既知の脆弱性を悪用して初期侵入し、その後データの暗号化まで至っている点では共通していることがわかる。
