YouTubeに広告、RaaSがメインストリームに
2018年にRaaSとして「GandCrab」(後のREvil)が登場すると、RaaSがメインストリームになる。アフィリエイトモデルにより勢力を拡大し、YouTubeに広告を流すまでにもなったという。
また、RaaSのメインストリーム化に加え、「二重恐喝」の手法が広がり始めたのも同時期だ。ファイルへのアクセスを回復したい、盗まれたファイルの漏洩を防ぎたいという──こうした被害者の弱みにつけこんだのは、「Maze」が最初だと言われている。
「攻撃者は、ターゲット企業の経営状況を詳細に調査し、支払い可能な金額を要求するように変わった」(ヒッポネン氏)
2021年にはREvilが米国で拡大。燃料輸送のコロニアル・パイプライン社、食肉加工のJBS Foods社への攻撃は記憶に新しいところだ。そこで米政府は、ランサムウェア攻撃に対する情報提供に1000万ドルの報奨金を支払うという対策を講じる。これは関係者の逮捕につながっただけでなく、犯罪組織の内部分裂を招いた。
また、Contiはウクライナ侵攻において、組織としてロシア政府の支持を表明したことで、ウクライナ出身のメンバーから反感を買う。これが俗に言う“Contiリーク”につながった。やり取りされていたメールやチャットなどの情報をリークしたのだ。これにより、Contiメンバーの給与(2020年から2022年に支払った総額は3000万ドル)が明らかになっただけでなく、人事やテックサポート、法務などのバックオフィス部門を有していたことも判明した。「まるで企業のようだった」とヒッポネン氏。なお、国際指名手配されるも未だに捕まっていないメンバーが多数いる状況だ。
「隠れることはできない」他人事ではないランサムウェア攻撃
このような歴史をたどったランサムウェアだが、その将来について「良くなることはなく、悪化するだろう」とヒッポネン氏は予測する。そして、次のように続けた。
「攻撃はさらに増加する。被害者が身代金を支払う限り、さらに多くのグループが報酬の一部を手に入れたいと思うだろう。成功しているランサムウェアギャングに加わりたいと思う人も増えていく」
また、生成AIが浸透してきた状況下、攻撃が巧妙化する可能性も指摘した。そして、何よりも最大の問題は、犯罪者の逮捕が十分ではないことだとして、「起訴されているが、ランサムウェア攻撃に加担しようとする人に、犯罪は割に合わないことを示すには不十分だ」と指摘する。
さらに「自社は目立っていないから大丈夫と思うかもしれない。われわれの存在を知るはずがないと思うかもしれない。だが、それは忘れたほうがいい」と警告。「犯罪集団は特定の脆弱性を持つシステムを見つけるために、インターネット全体をスキャンしている。システムに脆弱性があるだけで標的にされる。隠れることはできない」とも強調する。
それを踏まえた上で組織としては、バックアップの準備と迅速な復旧テストに加えて、「攻撃を受けた場合のリハーサル」が大切だと述べた。脆弱性を見つけるためのペネトレーションテスト、より良いパッチ管理、認証の強化、iPad ProやChromebookなどのラップトップ以外のコンピューターの使用を検討することも提案する。
最後にヒッポネン氏は、「サイバー犯罪は組織犯罪だ。しかし、まだ希望はある。ランサムウェア攻撃の被害からは回復できる」と呼びかけた。
