EnterpriseZineニュース

ランサムウェア組織の新規増加はピークを越えたか、国際共同捜査などがプラスに働く

2024/11/22 19:09

通知

　2024年11月22日、WithSecure（ウィズセキュア）は、ランサムウェア攻撃の動向に関する説明会を開催した。

ウィズセキュア脅威インテリジェンス部門責任者ティム・ウェスト（Tim West）氏

　現在、ランサムウェアの脅威が高まっている要因の1つである「RaaS（Ransomware as a Service）」のエコシステムは複雑化しており、「各サービス（主体者）のつながりが脆弱性にもなっている」と述べるのは、英国政府などで勤務経験のある同社ティム・ウェスト氏（Director, Threat Intelligence）。下図を示すと、図中の「IABs（イニシャルアクセスブローカー）」が大規模エコシステムとしての組織犯罪を助長している要だとも説明する。

　2024年3月には、BlackCat（ALPHV）のダークウェブサイトがFBI（米連邦捜査局）によって摘発された旨の画像が確認されており、同局による差し押さえを装った（関係者への金銭の支払いをしない）“出口詐欺”が実施された。また、同年2月には、国際共同捜査によってLockBitがテイクダウンされており、一時的にはリークサイト上に元のWebデザインを模倣した形で差し押さえ通知を掲出するなど、現在も関係者の逮捕や制裁が拡大していることからRaaSは新たな局面を迎えている状況だ。

　「まさに『Everything as a Service』とも言える状況下であり、サイバー攻撃の参入障壁は下がっている。BlackCatの出口詐欺で騙されたアフェリエイトもいるような状況であり、犯罪者グループ間でも信頼関係を重要視するようになった」（ウェスト氏）

　現在ロシアだけでなく、ヨーロッパや北朝鮮、中国などに拠点を置いている犯罪者グループもおり、2024年第3四半期時点で観測された攻撃グループ（ユニーク数）は増加に転じている状況だという。一方、下図のように月別で見たときは、3ヵ月連続で減少傾向にある。当局の検知網から逃れるため、複数のブランド（グループ名）を利用している犯罪者が多く、純粋な新規ブランドの増加という観点からピークは越えているという

　また、2024年の第1四半期から第3四半期にかけて、既に42の新規グループを観測しており、2023年での通年31グループを上回っている状況だ。ウェスト氏は、新規グループのうち最も活動的なグループとしてRansomHubやDarkVault、Arcus Mediaを挙げると、BlackCatの衰退とRansmHubの活動量が反比例しているとして「BlackCatはアフェリエイトに支払うべき金銭を持ち逃げしたが、RansomHubはアフェリエイトに集金させてから徴収するという形態をとっている」と説明する。既にBlackCatを展開していた、CosmicBeetleなどのアフェリエイトを取り込んでいるという。

　なお、前述したBlackCatによる出口詐欺後、被害企業であるChange Healthcareを狙った2度目の攻撃をRansomHubが実施しており、再び身代金が支払われたとの報道もある。同社は、計16億米ドルの費用が必要になったと考えられるとして、「一部アカウントに多要素認証（MFA）が適用されていなかった。被害額は、対策額よりもはるかに高額になるとの好例だ」とウェスト氏は強調した。

　ランサムウェア攻撃において脆弱性の悪用、ソーシャルエンジニアリングは多く用いられており、特に金銭窃取のためには大規模エクスプロイト攻撃が利用されているという。Cl0pがMOVEit Transferの脆弱性を悪用したことは記憶に新しく、TeamViewerやAnyDeskのようなリモートソフトウェアの脆弱性を用いた「二重目的ツール」と呼ばれるような手法も目立っており、企業内で正規利用されているため検知しにくいとする。さらに「スマッシュ・アンド・グラブ（Smash and Grab）」も増えており、「費用対効果の高い、効率的な手法がとられている」とウェスト氏。DDoS攻撃やパートナー・クライアントへの通知というのも3次的な脅威もみられるとした。

　下図はリークサイトに掲載された数を示しており、身代金を支払っている割合は安定している状況も見受けられる（図中右下）。2024年の掲載数は2023年より少なく、法執行機関による措置が良い影響を与えているとウェスト氏。Chainalysisによる調査でも、安定しているような状況が示されているという。なお、被害企業の従業員規模を見ると、200名までの小規模事業者が全体の約62%を占めており、リークサイトに掲載されるような大手事業者の被害状況は縮小傾向にある。ここにはサイバー保険の影響も見受けられるという。

　「強調したいのは『信頼』がエコシステム全体に影響をもたらしているということだ。長期的な影響はこれからわかるが、短期的には法執行機関の措置がプラスに働いている。サイバー保険により身代金の支払い額が増える可能性があるなど、その影響も注視しなければならない」（ウェスト氏）

この記事は参考になりましたか？

印刷用を表示

この記事の著者: 岡本拓也（編集部）（オカモトタクヤ）

1993年福岡県生まれ。京都外国語大学イタリア語学科卒業。ニュースサイトの編集、システム開発、ライターなどを経験し、2020年株式会社翔泳社に入社。ITリーダー向け専門メディア『EnterpriseZine』の編集・企画・運営に携わる。2023年4月、EnterpriseZine編集長就任。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事