どこまで増える身代金 ランサムウェア攻撃は2023年にどう変わったのか

サイバー攻撃の中で最も被害額が大きいのはランサムウェア攻撃だ。2023年の攻撃は落ち着いたのだろうか、それとも拡大したのだろうか。

[Matt Kapko，Cybersecurity Dive]

　ランサムウェア攻撃の被害はこれまで増加傾向にあった。2023年は攻撃が落ち着いたのだろうか、それとも依然として悪化しているのだろうか。

被害額はどの程度増えているのか

　比較的はっきりした数字が分かっているのは仮想通貨の被害だ。

　2024年2月8日にブロックチェーン分析企業は「仮想通貨取引所における金銭的動機に基づく犯罪活動」に関するレポートを発表した。

　同レポートによると（注1）、被害を受けた組織が2023年に支払った身代金の総額は11億ドルで、これは過去最大の数値だという。

　Palo Alto NetworksのUnit 42部門が2024年2月5日に発表したランサムウェアレポートによると（注2）、サイバー攻撃者は脅迫のためにダークWebのリークサイトで約4000の被害組織を公然と名指した。4000という数は2022年と比較すると49％も多い。

　ランサムウェア攻撃者は利用者が多いIT製品の致命的なゼロデイ脆弱（ぜいじゃく）性を悪用して大きな成功をおさめた。

　Unit 42によると、2023年のランサムウェア攻撃の急増は「MOVEit」や「GoAnywhere」などのファイル転送サービス（注3、注4）の他、Citrix Systemsのネットワークデバイス（注5）や印刷管理ソフトウェア「PaperCut」を標的としたゼロデイ脆弱性の悪用が原因の一つだ（注6）。

リークサイトへの投稿は攻撃活動の指標になるのか

　Unit 42はこれら4つの脆弱性が頻繁に悪用されたときに、ランサムウェアのリークサイトへの投稿が増加していたことを確認した。

　リークサイトへの投稿はランサムウェア活動の活発化を示唆する。ただし、Unit 42は「これは攻撃の全容を示すものではない」と指摘する。ランサムウェアグループの中には、このようなリークサイトを使わずに活動を開始するものもある。身代金をすぐに支払う被害者組織は通常、リークサイトに名前が載らないからだ。

　Unit 42は報告書で、次のように述べている。

　「リークサイトはランサムウェアグループの活動を正確に反映したものではない。ランサムウェアの影響範囲は、これらのサイトが示すものとは異なる場合がある」

　ブロックチェーンを分析するChainalysisも、身代金支払いの追跡について同様の注意を表明した。同社の報告書によれば「ランサムウェアの活動は巧妙化しているだけでなく、絶えず拡大しており、全てのインシデントを監視したり、暗号通貨関連の全ての身代金の支払いを追跡したりすることは困難だ」という。

　Chainalysisは「2023年の11億ドルという被害額は保守的な見積もりであり、新たなランサムウェアの活動が発見されるにつれて増加する可能性が高い」とも述べた。

政府も全貌をつかみ切れていない

　2023年11月に行われたメディア向けのブリーフィングで、バイデン政権の高官は「2022年5月から2023年6月までの間に、米国内のランサムウェア被害者が身代金として支払った金額は15億ドルだ」と述べた（注7）。

　しかし、連邦政府のサイバー担当者は「発生した攻撃についてより多くの情報が必要だ」と一貫して述べている。ランサムウェアの被害に関する報告の不足は、法執行機関の行動を妨げ、これにより、多くの活動が影で行われるようになる。

出典：Ransomware actors hit zero-day exploits hard in 2023（Cybersecurity Dive）
注1：Ransomware Payments Exceed $1 Billion in 2023, Hitting Record High After 2022 Decline（Chainalysis）
注2：Ransomware Retrospective 2024: Unit 42 Leak Site Analysis（Unit 42）
注3：Progress Software’s MOVEit meltdown: uncovering the fallout（Cybersecurity Dive）
注4：Clop ransomware group triggers new attack spree, hitting household brands（Cybersecurity Dive）
注5：CitrixBleed isn’t going away: Security experts struggle to control critical vulnerability（Cybersecurity Dive）
注6：PaperCut actively exploited by multiple threat actors, targeting education sector（Cybersecurity Dive）
注7：Countries pledge to not pay ransoms, but experts question impact（Cybersecurity Dive）