「攻撃で暗号化されたファイルを元に戻すには身代金の支払いが必要だ」というのがランサムウェア攻撃の基本的な流れだ。2023年時点では状況が悪化している。なぜなら、被害者組織を「悪者」に仕立て上げる新しい戦術が使われ始めたからだ。
ランサムウェア攻撃の被害を受けた企業は支払いを拒否する傾向がある。だが、これを打ち破る攻撃者側の戦術が生まれた。
業務に必要なファイルが暗号化されてしまい、「解除するためには身代金を支払え」というのが基本的なランサムウェア攻撃の流れだ。新しい戦術では被害者の企業を「悪者」に仕立て上げて身代金を奪い取る。これはどのような意味だろうか。
Palo Alto Networksは2023年3月21日、「ランサムウェアと支払い強要に関する調査報告書」(注1)を発表した。報告書によれば攻撃者は、被害者に支払いを強要するために設計された一連の強要戦術を採用し、被害者に対する圧力を強めた。
同社でセキュリティベンダーのリサーチとインシデント対応を担う「Unit 42」のマイケル・シコルスキー氏(CTO《最高技術責任者》兼脅威インテリジェンス担当バイスプレジデント)は、「全てを素早く暗号化するという従来の戦術から、現在では複数の恐喝戦術の採用へと着実に大きく変化した。最新の攻撃を受けた組織にとって、攻撃への対応と復旧はより困難になった」と述べた。
長らくランサムウェアの主要な恐喝戦術だったのは、ファイルやシステムの暗号化だ。だが、Unit 42が2021年下半期から2022年にかけて対応したランサムウェアインシデントの約10件に1件はこの戦術を採っていない。Unit 42によればこれに対し、データ盗難を伴う攻撃は、2021年半ばの40%から2022年後半には70%に急増した。嫌がらせ戦術は約20倍に急増し、攻撃者は約5件に1件の割合でこの戦術を採った。
「私は嫌がらせ戦術が急増するのを目の当たりにした。例えばCEO(最高経営責任者)の妻が攻撃者からテキストメッセージで嫌がらせを受けた事件についての調査もあった」(シコルスキー氏)
支払いを強要するためにどこまで嫌がらせをするのか、その過程でどのような大混乱が引き起こされたのだろうか。
シコルスキー氏によると、ある病院がランサムウェアに感染し、支払いを拒否したところ、攻撃者はその病院の患者を狙い始めた。病院が身代金を支払わなければ患者の(公開されたくない)健康記録を漏らすと脅したという。
別のケースでは、ある組織のCIO(最高情報責任者)が、身代金要求の支払いを拒否してバックアップからシステムを復旧した。だが、CIOは嫌がらせ戦術がどれほどひどいものになるかを認識していなかった。
「攻撃者は組織の顧客にひどい嫌がらせをしたため、最終的に攻撃者ではなく、企業が顧客に直接損害を与えているかのように見えてしまった。嫌がらせがここまでひどいと知っていたら身代金を支払っていただろう。そのせいで顧客を失ったのだから」(シコルスキー氏)
身代金を支払わないという被害者側の決意が近年、高まっている。だが、「攻撃者の要求に応じない場合、嫌がらせ戦術の被害がどれほど大きくなるのかを被害者側が理解するにつれ、身代金を支払うという意識が常識になり得る」とシコルスキー氏は指摘する。
保険やバックアップ、組織の復旧能力や業務再開能力はランサムウェア攻撃に対してこれまで有効だった。だが、奪い取ったデータを漏えいするという脅迫や嫌がらせ戦術にはほとんど役立たない。
そのためランサムウェア攻撃後の「交渉の力学」も変化する。身代金を支払わないという強い意志だけでは交渉できなくなる。攻撃者が顧客に関するデータを販売したり、漏えいさせたり、顧客に直接嫌がらせや恐喝を実行した場合に耐えなければならなくなる。潜在的なリスクがこれまでよりも大きくなったのだ。
「CIOやCISO(最高情報セキュリティ責任者)、CEOにランサムウェア攻撃の現状を説明するのが非常に難しくなっている。本当に複雑な状況だ。よく考えてみる必要がある。多くの企業においては、社内のあらゆるところに重要なデータがあふれている。それが流出すれば経営が立ち行かなくなる可能性がある」(シコルスキー氏)
2021年5月から2022年10月までにUnit 42が対応した約1000件のサイバーインシデントのうち、約3分の1でランサムウェアが関与しているとシコルスキー氏は言う。毎日平均7件の新しいランサムウェア攻撃の被害者について(誰がいつ攻撃されたかという)情報が、攻撃者によってリークサイトに投稿されたという。
恐喝行為は場当たり的だ。だが、Unit 42は攻撃された組織についていくつかのパターンを確認した。
米国の組織はランサムウェア攻撃によって最も深刻な影響を受け、観測された流出の5件に2件以上を占め、「Forbes Global 2000」に含まれる30社が2022年、恐喝行為によって公に影響を受けた。
Unit 42によれば、2023年のランサムウェアの活動の見通しはあまり良くないという。2023年が大規模なクラウドランサムウェアの侵害が発生する年になると予測したからだ。また、内部脅威に関する恐喝の増加も予想した。攻撃者はサプライチェーンやソースコードへの感染を目的とした攻撃から目をそらすためにランサムウェアや恐喝を利用するという。
© Industry Dive. All rights reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。