攻撃者がランサムウェア攻撃を"あえて暗号化しない"ワケ

Microsoftの調査によれば、ランサムウェア攻撃はこの1年で3倍近く増加した。同時に、暗号化に至らない攻撃も増えている。その理由は何だろうか。

[Matt Kapko，Cybersecurity Dive]

　ランサムウェア攻撃が猛威を振るっている。だが、数が増えるだけでなく、攻撃者の戦略が刻一刻と変化しているようだ。

　どのような変化だろうか。「ランサムウェア攻撃＝暗号化」という等式が成り立たなくなってきたことだ。犯罪者はランサムウェア攻撃を実行する際に、暗号化を実行しなくなっている。

　暗号化しなければ被害を受けた企業から金銭を脅し取ることができなくなるのではないだろうか。Microsoftによれば、このような思い込みは間違っているという。

攻撃者がランサムウェアをあえて暗号化しないワケ

　Microsoftが2024年10月15日（現地時間）に発表した「デジタルディフェンスレポート」によると（注1）、2023年6月までの1年間で、同社の顧客が受けたランサムウェア攻撃の件数が2.75倍に増加したという。これは顧客のネットワーク内の少なくとも1台のデバイスが標的になったという意味だ。

　明るい話題もある。Microsoftによれば、ランサムウェアが暗号化を始める段階に到達する割合が下がっているため、件数の増加を部分的に相殺しているという。「実際に暗号化段階に到達する攻撃の割合は過去2年間で3分の1に減少した。攻撃のうち失敗する割合が増えるという好ましい傾向には理由がある。自動攻撃を検出し、攻撃に遭った企業側で遮断、防御できたからだ」（Microsoft）という。

　データやITシステムの暗号化はランサムウェア攻撃の一般的な特徴だ。だが、この1年、経済的な動機に基づく攻撃者の多くは暗号化のステップを省略する傾向にある。なぜなら機密データを盗んで恐喝に利用する方が得策だからだ。

　2024年4月、ランサムウェアグループがSnowflakeの顧客100社以上の環境を侵害し（注2）、広範なデータを盗みだし、情報漏えいが起きた。犯罪者はこれによって企業を恐喝した。調査企業のMandiantによると、この攻撃では情報窃取型のマルウェアによって盗まれた認証情報を「UNC5537」と呼ばれる攻撃者が利用し、Snowflakeの顧客インスタンスに不正アクセスした。この攻撃は暗号化を伴っていなかった。

　サイバーセキュリティ事業を営むRapid7によると、ランサムウェアグループはデータリークサイトへの投稿によって被害を受けた企業への圧力を強めている（注3）。実際に投稿数は2024年上半期に67％増加したという。Mandiantの2024年6月の報告によると、2023年に脅威グループは、データリークサイト上でランサムウェア攻撃の成果をうたうために4520件も投稿した（注4）。これは2022年の数値から75％増加している。

犯罪者は暗号化について何を考えているのか

　ランサムウェア攻撃では暗号化できるのにもかかわらず、暗号化しない場合が増えてきているという。では犯罪者は暗号化についてどのように考えているのだろうか。

　ランサムウェア攻撃で暗号化を実行する「メリット」は幾つかある。まず暗号化することで、ファイルやシステムへのアクセスが突然不可能になり、被害を受けた企業に迅速な対応を迫ることが可能になる。業務の中断を強いられるため、被害者は身代金を支払わざるを得ない状況に追い込まれる。さらに暗号化を実行できたということは、攻撃者がシステムに深く侵入し、重要なデータにアクセスできたことを明らかにする。

　それにもかかわらず攻撃者が暗号化を選ばない場合、次のような要因が考えられる。

高いセキュリティ防御　攻撃対象の企業が強力なセキュリティ対策を施している場合、暗号化を避ける可能性がある。データを暗号化する際には短時間に大量のファイルにアクセスし、暗号化プロセスを実行するという通常のITの利用時とは異なる挙動を示すため、検出されやすくなるからだ。暗号化を避けて、データを窃取する方が検出されにくい。

データの種類　有用で機密性の高いデータの場合、暗号化して身代金を要求するよりも、まずデータの窃取を優先する場合がある。窃取したデータを公開したり、他者に受け渡すと主張したりして金銭を受け取る方が得策だという判断だ。本文ではこちらの理由を主に挙げている。この他、被害を受けた企業に一切コンタクトせず、データをそのまま他者に売り渡すという戦略もある。（キーマンズネット編集部）

　Microsoftの調査は、ランサムウェアの持続的な脅威を強調しており、米国のサイバー当局が提供する最新の数値を上回る結果を含んでいる。

　2024年10月の初めに米国当局が述べたところによると、ランサムウェア攻撃は2022年の2593件から2023年には4506件と74％増加した（注5）。国家情報長官室のサイバー脅威情報統合センターに所属するローラ・ガランテ氏（ディレクター）によると、2024年は既に2023年の記録を上回る勢いで攻撃が増えており、2024年上半期だけで2321件の攻撃を追跡したという。

何が原因でランサムウェア攻撃に遭うのか

　Microsoftの報告によると、成功したランサムウェア攻撃の92％は管理されていないデバイスが原因だ。攻撃者はリモートでの暗号化や初期アクセスのために、引き続きこれらのデバイスを利用している。

　Microsoftによると、2023年に最も多く観察された初期アクセスの手法には、ソーシャルエンジニアリングや認証情報の侵害、外部に公開されているアプリケーション、パッチの適用が遅れているOSの脆弱（ぜいじゃく）性の悪用がある。

　Microsoftでカスタマーセキュリティとトラストを担当するトム・バート氏（コーポレートバイスプレジデント）は、2024年10月15日に「Microsoftの顧客だけでも1日当たり6億件以上の攻撃を受けており、オンライン上の攻撃全体の数を減らすための対抗措置が必要だ」と述べている（注6）。

　「効果的に攻撃を抑止するには、侵入を防ぐか、悪質な行為に対して罰則を課すことだ。状況を変えるためには、公的機関と民間企業の両方が意識を高め、協力することで、攻撃者が有利に立てないようにする必要がある」（バート氏）

出典：Microsoft reveals ransomware attacks against its customers nearly tripled last year（Cybersecurity Dive）
注1：Microsoft Digital Defense Report 2024（Microsoft）
注2：What we know about the Snowflake customer attacks（Cybersecurity Dive）
注3：Ransomware swells despite collective push to curb attacks（Cybersecurity Dive）
注4：CVE exploits, stolen credentials fueled ransomware surge in 2023（Cybersecurity Dive）
注5：Ransomware attacks surge despite international enforcement effort（Cybersecurity Dive）
注6：Escalating Cyber Threats Demand Stronger Global Defense and Cooperation（Microsoft）