ランサムウェア戦術が高度化 未感染でも身代金を払わせられる理由

ランサムウェア攻撃は、従来の攻撃とはニュアンスの異なる高度な戦術へと移行しつつあるという。より多くの身代金を引き出す、サイバー攻撃者の戦術を紹介する。

[Matt Kapko，Cybersecurity Dive]

　ランサムウェア攻撃は、マルウェアによる“荒廃や破壊”から、“ニュアンスの異なる高度な戦術”へと移行しつつあるという。より多くの身代金を引き出す、サイバー攻撃者の戦術を紹介する。

変化するランサムウェアの目的

　サイバー攻撃の背後に存在する、技術に精通、熟練したグループは、データ強奪やリークサイトを使用して攻撃の圧力を高め、できるだけ多くの身代金を引き出そうとしている。

　Palo Alto NetworksのUnit 42の脅威情報アナリストであるピート・レナルズ氏は、2022年6月にサンフランシスコで開催された「RSA Conference」のインタビューで、「ランサムウェアは、ユーザーの注意を引くために流行らせている。彼らの目的はランサムウェアによる荒廃や破壊ではなく、金銭を得ることだ」と話した。

　サイバー攻撃者の目的は、ネットワークにマルウェアを急速に拡散させることではなく、脆弱（ぜいじゃく）性やゼロデイを悪用することに方向転換しているということだ。「今日のランサムウェアグループの主な目標は、ネットワークに足場を築いて組織の注意を引き、おそらくデータを流出させることだ」と、レナルズ氏は述べる。

進化するサイバー攻撃戦術

　ランサムウェア攻撃を仕掛ける側の責任も分散している。「ランサムウェアを作成する係」「キャンペーンの実行係」「交渉係」「ネットワークに侵入してアクセス権を獲得する係」「ランサムウェアグループに情報を売却して悪用する係」など、タスクごとのグループに分かれる。

　Palo Alto NetworksのUnit 42で脅威インテリジェンスの副ディレクターを務めるジェン・ミラー・オズボーン氏は、インタビューで「進化する戦術は、ランサムウェアグループが被害者と最初に接触する地点にまで及んでいる」と語る。

　脅威にかかわる研究者や対応担当者は、ランサムウェア攻撃に使われたメモに、「ハッカーが流出させたデータの詳細」と「さらなる苦痛を与えるための脅し」が書かれている事件を目にした。ミラー・オズボーン氏によると、メモには次のような内容が含まれている。「貴社のデータを取得した。われわれはランサムウェアを実行できるが、支払いに応じるならば実行しない。そしてデータも返す」。

　一部の脅威アクターは、攻撃後（もちろん身代金を支払った後）、「『どのようにアクセスしたのか』『どのような脆弱性を利用して攻撃したのか』を説明し、攻撃後の組織を支援している」と同氏は言う。

　Googleが54億ドルで買収する脅威情報およびインシデント対応企業であるMandiantは、ランサムウェアのグループが戦術を変えていることを確認している。「RSA Conferenceの前週にランサムウェアの活動が急増したこと」と「情報漏えいに気付いたこと」について、Mandiantのエグゼクティブバイスプレジデントのサンドラ・ジョイス氏は言及している（注1）。

　「ランサムウェアと判断するものの多くは、データ窃盗や恐喝が混在している。そして、マルウェアを投下する必要性が全くなくなるかもしれない」と同氏は述べる。

　ジョイス氏やMandiantの他のメンバーは、何年も前からこの変化を予測していた。「ランサムウェアは、マルウェアとは全く関係がない可能性がある。単に恐喝やデータ窃盗である可能性もあり、それがランサムウェアと判断されるようになっている」（ジョイス氏）

　企業は、悪用可能な既知の脆弱性に常にパッチを適用することによって、ある程度ランサムウェアのリスクを軽減できる。国家安全保障局（NSA）のサイバーセキュリティ担当ディレクターであるロバート・ジョイス氏はイベントで、「私たちは常に高度な脅威、特にランサムウェアの攻撃者が成功する方法について話をしているが、それは多くの場合、既知の悪用可能な脆弱性を介している」と述べた。

　全ての企業はこれらの脆弱性を是正し、"今もドアのロックを解除して侵入している犯人"に対処する必要がある、と同氏は言う。

出典：Ransomware groups shift tactics and objectives（Cybersecurity Dive）

注1：Google swoops in to buy Mandiant for $5.4B after weeks of market speculation