ミッコ・ヒッポネンが振り返る、ランサムウェアの脅威
2024年5月27日、WithSecureは「Sphere 24」開催にともない、記者向けのグループインタビューを実施。「ランサムウェアの現状について、過去10年と次の10年」と題して、WithSecure Chief Research Officer, Mikko Hypponen(ミッコ・ヒッポネン)氏により解説が行われた。
「ランサムウェアは攻撃の種類が1番多く、多くの顧客が直面している脅威だ」と切り出すと、LEGALIZEやPHANTOMなど、“MS-DOS時代”にロシアで作成されたマルウェアについて言及。当時は種類が少なく、1人で解析することができたと語る。ユニークなマルウェアがいくつもある中で、特に注目すべきは史上初のランサムウェアである「AIDS infomation(トロイの木馬)」だとヒッポネン氏。同マルウェアが出現した1989年当時は、まだフロッピーディスクなどの物理的媒体を介して感染させるものが主流であり、シェアウェアに潜ませて暗号化して金銭を要求するものだった。
その後、ランサムウェアはしばらく息を潜めていたが、2013年に「Cryptolocker」が出現する。従来のランサムウェアと大きく異なるのがビットコインでの身代金の要求だ。2010年頃に登場したビットコインを用いることで送金経路の特定が困難になるため、Cryptolocker以降の犯罪者グループに好まれて使われていくことになる。また、身代金の支払いについても「すぐに支払えば$600だが、10日後に支払う場合は$1,000になる」など、その方法自体も巧妙化していった。たとえば「Popcorn Time」のように、身代金を支払えない場合には2名に感染のためのリンクを踏ませることで複合鍵を提供すると、ユーザーに選択肢を与えることでネズミ算式に感染者を増やすことを狙うものもあったという。
「まさに『現代的なランサムウェア』へと移り変わっていったが、今日におけるランサムウェア被害と最も異なることは、一般消費者をターゲットとしていたことだ。ここから犯罪者グループは、企業を標的とすることで『Cybercrime Unicorn』と呼ぶべき時代が始まった」(ヒッポネン氏)
LockBitやALPHV、Cl0pのようにユニコーン企業と同等の利益を上げる犯罪者グループが増えていき、ビットコインによる資産保有も一般的になっていくと、Webサイトを立ち上げたり、ロゴを設けたりとブランドイメージを形成するような動きも見受けられるようになる。これは、実世界の犯罪者グループ「HELLS ANGELS」などと同様だとミッコ氏は指摘。また、身代金さえ支払えばファイルが復元されるという評判を築くために、テクニカルサポートセンターを運用するなど、より組織化を進める動きも顕著になったという。
こうした犯罪者グループは金銭を目的とする一方、「Wannacry」や「NotPetya」はそれぞれ北朝鮮政府とロシア政府による関与が疑われており、国家を後ろ盾とした犯罪者グループによるランサムウェア被害も甚大化した。ヒッポネン氏は、「NotPetyaは、ウクライナ政府への足掛かりとするためのサイバー攻撃だ。ウクライナ内部にだけ被害を及ぼすつもりが取引先を介して世界中に広まってしまい、史上最大のサイバー攻撃となった」と説明する。
また、GandCrabによる『RaaS(Ransomware as a Service)』と呼ばれるランサムウェア攻撃の分業化が進んでいくと、Mazeなどが窃取したデータを公開するためのリークサイトを設立。これらは2024年現在では攻撃者グループにおいて一般化しており、自社の情報が掲載されることを嫌う企業にとって身代金を支払う大きな動機にもなっている。大手企業を中心に数千万ユーロ規模にも及ぶような被害も見受けられ、コロニアル・パイプライン社への攻撃のように重要インフラを標的とした脅威も高まると、各国政府が本格的な摘発に乗り出していく。たとえば、テロリスト向けに適用していた報奨金プログラムをランサムウェア犯罪者グループにも応用することで、実際に米FBIによりLockBit幹部への指名手配がかけられている。しかしながら、ロシア警察に捕まる可能性が低く、米国へ引き渡せられる可能性もゼロに近いということを指名手配犯が理解しており、一定のリスクを背負わせるに留まっていることも事実だという。
では、これからの10年でランサムウェアを取り巻く状況は変わるのか。ヒッポネン氏は「企業を狙う犯罪者グループはより巧妙化し、被害者の数も増えていくだろう。我々はまだ氷山の一角しか見ていないのかもしれない」とコメントする。
