ランサムウェア攻撃者が狙うのは「脆弱性」ともう一つは？

ランサムウェア攻撃に対抗するには攻撃者が最初に何をするのかを理解しなければならないだろう。攻撃のきっかけは2つある。

[Matt Kapko，Cybersecurity Dive]

　KADOKAWAやJAXAなどランサムウェア被害の話題は尽きることがない。ランサムウェア攻撃を受けにくくする方法は2つあるという。脆弱（ぜいじゃく）性への対応が一つ。もう一つは何だろうか。

ランサムウェアが狙うのは脆弱性だけではない

　Googleの子会社でサイバーセキュリティに特化したMandiantはランサムウェアに関する調査結果を発表した。ランサムェア攻撃のきっかけは何だろうか。

　2024年6月3日にMandiantが発表した報告書によれば（注1）、攻撃者が正規のリモートアクセスツールを悪用して企業のネットワークに侵入する事例が急増したという。

　ランサムウェア攻撃と言えば、PCやサーバのデータを暗号化して身代金を要求するという流れがよく知られている。だが、Mandiantの報告書によれば新しい傾向がはっきりした。データ流出サイトに犯罪者が投稿した件数は2023年には4520件に達し、2022年と比較して75％も増えた。データ流出サイトを利用して被害者を恐喝する傾向が強まったということだ。Mandiantによると、2023年第3四半期には投稿数が1300件以上に急増し、四半期ベースで過去最高を記録した。

　Mandiantは2022年のランサムウェア活動がわずかに落ち込んだことを以前発表していたが、これは、ロシアによるウクライナへの侵攻や特定のRaaS（Ransomware as a Service）の活動による例外的な数字だったとまとめた。

きっかけは「脆弱性」と盗まれた「正規の認証情報」

　Mandiantの調査結果からは、業界全体の努力がランサムウェア攻撃の減少に役立っておらず、企業が重大な被害を受けたことが分かる。

　2023年、Mandiantはランサムウェアのインシデント対応調査の規模を拡大し、2020年に誹謗（ひぼう）中傷サイトの情報の追跡を開始して以来、最も多くの投稿をデータ漏えいサイトで見つけ出した。2023年にデータ漏えいサイトで名指しされた被害者とされる組織の地理的分布は全世界に広がっており、110カ国以上に及んだ。これまでの各社の調査によれば、ランサムウェア攻撃の60〜80％が米国企業を狙っていた。ランサムウェア攻撃が盛んになるにつれて、日本を含め米国以外の国の被害も増えている形だ。

　2023年にMandiantが観測したランサムウェア攻撃のうち約5件に3件近くは、データの盗難が確認されたか、またはその疑いがあるものだった。

　ランサムウェア攻撃がはじまるきっかけはMandiantによれば2つある。盗まれた認証情報や公衆向けインフラの脆弱（ぜいじゃく）性の悪用だ。

　Mandiantの研究者は報告書で、次のように記している。「最初のきっかけ（アクセスベクトル）が判明している攻撃のうち、約40％において、攻撃者は被害者の環境にアクセスするために盗まれた正規の認証情報を使った。これらの攻撃の大部分は、被害企業のVPNインフラの認証も利用していた」

　Mandiantによると、2023年のランサムウェア攻撃のうち、脆弱性の悪用が原因となったものは約30％であり、2022年の24％から増加した。

　報告書では次のように結論をまとめた。「攻撃者が正規のツールを頼る理由は2つある。被害者側が準備した検知メカニズムから攻撃を隠蔽（いんぺい）することが一つ。もう一つはカスタムツールを開発したり保守したりするために必要な時間とリソースを攻撃者が抑えようとしているためだ。被害者の環境に最初にアクセスするための方法として脆弱性も依然として一般的で、攻撃者は既知の脆弱性をうまく利用している」

出典：CVE exploits, stolen credentials fueled ransomware surge in 2023（Cybersecurity Dive）
注1：Ransomware Rebounds: Extortion Threat Surges in 2023, Attackers Rely on Publicly Available and Legitimate Tools（Google Cloud Blog）