恐ろしいランサムウェア この方法で自社を守ろう
ランサムウェアの活動が活発化している。世界各国の警察組織が合同で摘発した「LockBit」も復活してしまった。自社を守るためにまず何をすればよいのだろうか。
ランサムウェアの活動は月によって増減はあるものの、着実に増えている。国内でも名の知られた企業が次々に標的になった。
サイバーセキュリティに取り組むReliaQuestが2024年7月15日に発表したレポートによると(注1)、2024年第2四半期にランサムウェアの活動が急増した。
どうすれば自社を守れるのか
ランサムウェア攻撃を受けるとPCやサーバの内容が暗号化されるだけでなく、情報自体が盗み出されてしまう。犯罪者は身代金を取り立てるために、盗み出した情報の一部をダークWebにあるデータリークサイトに掲載する。2024年第2四半期には企業や組織の数にして1237の情報が掲載された。これは同第1四半期よりも20%多い。このような事態から自社を守るためには、以下で紹介する方法が役立つ。
ランサムウェア攻撃が増えている原因の一つには強力な攻撃グループの存在がある。
2024年5月は特に活動が活発だった月で、ランサムウェアグループ「LockBit」によるデータリークサイトへの投稿が急増した。同月の被害件数の36%を占めたほどだ。
2024年5月に急増した攻撃は同年6月に減少したが、これは国際的な法執行機関によるインフラの取り締まりからLockBitが回復しようとしており、一時的に活動が低下したためだ(注2)。6月のランサムウェアの被害者数は2023年同月比で13%減少した。
ランサムウェア界の台風LockBitの栄枯盛衰
米国司法省によれば、LockBitは2023年末時点で2000以上の企業や組織を攻撃し、1億2000万ドル以上の身代金を集めた。2023年時点で「ランサムウェア市場」の4分の1を占めるほど活動が活発だった。
警察庁によれば、日本を含む各国が国際的な共同捜査を進めた結果、2024年2月にLockBitの一員とみられる被疑者を海外の捜査機関が検挙した。
さらにユーロポールによれば、これに続く措置として、英国、米国、オーストラリアの当局がLockBitにおいてランサムウェアの開発や運営を担当していたロシア人被疑者の資産を凍結して、米国でこの被疑者を起訴した。
この結果、LockBitの活動は停止した。だが、本文に示したようにLockBitは復活してしまった(キーマンズネット編集部)
2024年第2四半期におけるランサムウェア攻撃の大部分は米国に拠点を置く企業に集中しており、この期間にデータリークサイトに掲載された全被害者の半数以上を占めた。サイバー犯罪者に集中的に狙われた業界は、製造業と専門サービス、科学サービス、技術サービスだった。
ReliaQuestの脅威調査チームは、レポートの中で「2024年5月だけで179の被害組織が掲載されていることから、LockBitは活動を再開し、『同グループを解体した』という法執行機関の声明を否定しようとした可能性が高い」と述べた。
ランサムウェアの犯人が最初に手を付ける「認証情報」を守ろう
ReliaQuestによると、2024年第2四半期に最も活発だったLockBitは、パッチが適用されていないVPNやリモートデスクトップツールの他、ソーシャルエンジニアリングキャンペーンを悪用して、被害者のネットワークに入り込んでいた。
攻撃者が収集したデータを掲載したサイバー犯罪者フォーラムにおけるマーケットプレースの出品数も30%急増した。
2024年第2四半期中に100を超える「Snowflake」の顧客環境を標的とした攻撃が相次ぎ(注3)、正規の認証情報を悪用した攻撃だったことが明らかになった。
ReliaQuestは、レポートの中で次のように記した。
「ひそかにITシステムに侵入し、機密情報を収集する情報窃取型マルウェアによって盗まれた認証情報は、最初の侵入経路として使われる。認証アプリケーションからSnowflakeのようなクラウドデータサービスまで、さまざまなソフトウェアに影響を及ぼす可能性がある。当社は情報窃取型マルウェアの利用が増加するにつれて、盗まれた認証情報を悪用したランサムウェア攻撃も増加すると予測した」
ReliaQuestは、RaaS(サービスとしてのランサムウェア)のエコシステムが混乱しているにもかかわらず、ランサムウェアの活動は短期的に着実に増加し、2024年末までに最も高い水準に戻ると予測した。
出典:Ransomware leak site posts jumped 20% in Q2(Cybersecurity Dive)
注1:Ransomware and Cyber Extortion in Q2 2024(ReliaQuest)
注2:LockBit operations dismantled following international takedown(Cybersecurity Dive)
注3:What we know about the Snowflake customer attacks(Cybersecurity Dive)
© Industry Dive. All rights reserved.
関連記事
- 5分で分かる、ランサム対策で必ず押さえる10カ条
第1回、第2回に続き、今回はランサムウェアが人を攻撃する仕組みとITを攻撃する仕組みを紹介する。最後に総まとめとしてベストプラクティスを5分で学ぼう。 - ランサムウェア攻撃を受けたとき、身代金を払う前にやるべき10のこと
ランサムウェアに備えるには防御策を固めると同時に、いざ攻撃が受けたときにすべきことを事前に決めておくことが必要だ。 - 「サイバー犯罪者」対「政府連合」 軍配はどちらに上がるのか
1億2000万ドルもの身代金を要求していたランサムグループが数カ国の政府の協力で解体された。だが、解体後にも活動が見られた。政府の行動には意味がなかったのだろうか。 - Snowflakeユーザーを狙った大規模サイバー攻撃 被害者の共通点とは
Snowflakeを利用していた企業のうち、少なくとも100社がサイバー攻撃を受けた。原因はSnowflakeなのか、それともそれ以外の原因があるのだろうか。