ランサムウェアが「as a Service化」なら、こちらも○○で対抗だ

ランサムウェア攻撃が形を変えつつある。「人手を介したランサムウェア攻撃」が主流になり、こちらの手の内を見ながら攻撃中の行動を変えてくるのだ。どうすれば対抗できるのだろうか。

[Matt Kapko，Cybersecurity Dive]

　ランサムウェア攻撃への対応が難しくなりつつある。型通りの攻撃ではなく、攻撃対象に侵入して得た情報に基づいて、刻一刻と攻撃のパターンを変えてくるからだ。これは対応が難しい。

被害が拡大した理由と対策

　Microsoftによれば、「人手を介したランサムウェア攻撃」は、最も一般的なランサムウェアの形態だという。なぜなら攻撃対象に侵入できる確率が最も高いからだ。

　Microsoftは2022年11月4日に発表した報告書「Digital Defense Report」（注1）で、人手を介したランサムウェア攻撃に狙われた組織の3分の1が感染して、そのうちの5％が最終的に身代金の要求に至ったと報告した。

　「このようなサイバー犯罪はフランチャイズ化しており、攻撃者層が拡大している。サイバー犯罪用ツールの『市販』により、攻撃者は侵入、データの流出、ランサムウェアの展開を容易に行えるようになった」とMicrosoftは報告書に記している。

悪の元凶は「RaaS」

　ランサムウェア攻撃は当初、単一のグループがランサムウェアのペイロードを開発し、配布することから始まった。コモディティ型ランサムウェア攻撃だ。現在ではサービスとしてのランサムウェア（RaaS：Ransomware as a Service）モデルへと進化している。この変化により、攻撃者はより戦略的にターゲットを特定できるようになり、攻撃の成功率が高まった。

　従来のランサムウェア攻撃とは異なり、人手を介したランサムウェア攻撃は「ターゲットのネットワークで偵察者や攻撃者が発見した情報に基づき、攻撃の各段階で意思決定を行う人間によって制御されている」（Microsoft）。

　Microsoftが2022年上半期のエンドポイント検出と対応データから作成したモデルによると、RaaSを使う攻撃者は意図した影響や潜在的な利益に応じて標的を大幅に絞り込むという。

　ランサムウェア攻撃者はまずアクセスブローカーからアクセス可能なネットワークの情報を購入する。アクセス可能なネットワークのうち、約2％がターゲットになる。これが冒頭に紹介した「3分の1」「5％」という数字につながっていく。

　Microsoftによると、ランサムウェア攻撃者がセキュリティブローカー経由でアクセスできる潜在的な標的組織2500社のうち、60社がランサムウェア攻撃に遭遇し、20社が感染し、1社がランサムウェアイベントの犠牲になった。

　「サイバー犯罪を専門とする者同士の協力関係が拡大したことで、ランサムウェア攻撃のペースはもちろん、攻撃が高度になり成功率が高まっている」とMicrosoftは述べている。

向こうがRaaSなら、こちらは防衛の「XaaS」で対抗

　このような攻撃のダイナミズムは、2022年6月に開催された「RSA Conference」（注2）で国家サイバー長官（National Cyber Director）クリス・イングリス氏が警告した談話の核心に触れるものだ。

　「攻撃者がわれわれをクラウドソーシングしたように、（全ての連邦機関とサイバー防衛者は）攻撃者をクラウドソーシングする必要がある」（イングリス氏）

　米財務省の金融犯罪取締ネットワーク（Financial Crimes Enforcement Network）によると、ランサムウェアの支払額は2021年に急増した（注3）。2020年比で188％増加して、総額約12億ドルに達した。

出典：Precise ransomware strikes boost threat actors’ success rate（Cybersecurity Dive）

注1：Microsoft Digital Defense Report 2022

注2：America’s cyber chiefs have a long to-do list（Cybersecurity Dive）

注3：US ransomware payments surge to $1.2B in 2021: Treasury（Cybersecurity Dive）