ブログ(トレンド&インサイト)

ランサムウェア:もはや無視できない脅威

サイバー犯罪は10億ドル規模の産業であり、常に進化を続けています。ハッカーや詐欺師は、法執行機関の先を行くだけでなく、テクノロジーやフォレンジックの進歩を常に克服していかなければなりません。被害者のデータを暗号化して身代金を要求するランサムウェアの問題に関しては、事態は制御不能に陥っています。これらの攻撃の背後にいるアクターは、現在、最も重要な標的を探し出して攻撃し、被害者から搾取する新しい方法を開発することに成功しています。ランサムウェアの脅威はあまりにも多量で悲惨なものとなっているため、もはや単なる迷惑行為やビジネスリスクと考えるべきではなく、全世界のセキュリティにとって重大な脅威であると考えるべきでしょう。

近年、Mandiantは、ネットワークへの徹底的な侵入とその後の展開に注力するランサムウェアのオペレーターの数が増加しているのを目の当たりにしてきました。オペレーターは、犠牲者を無差別に標的にするのではなく、莫大な身代金を支払う手段と動機を持った 重要な組織を悪用しています。ネットワークが侵害されると、オペレーターは被害者のネットワークを横方向に巧みに移動し、バックアップを見つけた場合はそれを削除したり暗号化したりします。そして、機密性の高いシステムにマルウェアを配備します。その結果、一握りのマシンにしか影響を与えない無差別な方法ではなく、人間の知性に導かれた非常に効果的で広範囲なランサムウェアが展開されます。

重要なシステムへのアクセスを得ることで、ランサムウェアの運営者はより高額の身代金を要求することが可能になり、被害者側の支払いへの切迫感が高まります。そして、犯罪者がより多くの重要な標的を求めるようになると、経済的な面だけでなく、結果はより悲惨なものになります。多くの重要な市民サービスを運営する地方自治体のネットワークは、特にこの手法の影響を受けており、多くの都市では、組織自身やそのコミュニティをオンラインに戻すために法外な身代金の支払いを余儀なくされています。ランサムウェア事件は既にいくつかの選挙システムに影響を与えており、州や地方のシステムに精通していることが影響しているのかもしれません。

現在、ある病院はランサムウェア攻撃によって四面楚歌の状態にあり、患者の治療を混乱させています。米国内のいくつかの病院が攻撃を受けており、ドイツでは1人の死亡者が攻撃につながっている可能性さえあります。現在の状況では、物理的に危険な事件は避けられません。脅威の主体がこの一線を越えようとする意思があるかどうかについては、常に疑問がありますが、UNC1878のような主体は残酷で自由奔放であることが証明されています。実際、これらのシステムの重要性は、これらの犯罪者を標的にする動機付けにしかならなかったのかもしれません。

新型コロナウイルス感染症の大流行はまた、ランサムウェアの危険性を強調しています。病院とその患者に対する危険性は、病院に過剰な負担をかけ、少しのミスも許されない感染症のさらなる増加によって、さらに悪化することになるでしょう。ワクチンや治療法の開発に取り組む研究所も標的にされています。これらのシステムの利用可能性が、世界中の人々の苦しみを軽減するために極めて重要であるにもかかわらず、最も慎重さを欠いた運営者の一部は、何の抑制も示していません。ロシア、イラン、中国のサイバースパイ活動家もこれらの組織を標的にしていますが、身代金を要求してこれらの組織を破壊しようとしているかどうかは疑問です。

サイバー犯罪者は、ランサムウェアの展開とデータの窃盗や恐喝を組み合わせて、自分たちが管理するウェブサイトを介して標的から機密データを漏洩すると脅しています。本質的には、これはもう一つの手段を加え、これらのグループの要求に従わせるように被害者への圧力を強めます。この大胆な手法は、給料日など多額の支払いが発生する機会を認識しているいくつかの組織の間で注目されています。ランサムウェアの運営者は、被害者に対して積極的で派手なアプローチをする代わりに、自制心を放棄させるケースが増えています。

今年、目にしたもう一つの憂慮すべき傾向は、最も重要なインフラの産業プロセスを実行するオペレーショナル・テクノロジー(OT)ネットワークに対する脅威が増加していることです。Mandiant Threat Intelligenceでは、少なくとも7つのランサムウェア群が運用技術を妨害する能力を組み込んでいることが確認されています。この能力により、脅威アクターは重要なシステムを混乱させ、工場の機械を停止させたり、病院の装置を不安定にしたりするなど、実際の世界では動体的な影響を及ぼす可能性があります。ランサムウェアが産業プロセスに侵入すると、その行動の影響は予測不可能なものになる可能性があります。

恐喝戦術としてのデータ漏洩の傾向と、OT資産に影響を与えるランサムウェアの利用の両方を示すグループとして、FIN11があります。少なくとも2016年から活動しているこのグループは、歴史的に様々な金銭目的の犯罪に関与してきました。しかし2019年には、このグループは、ますます悪名高いCLOPランサムウェア群を使用して、ランサムウェアの運用に焦点を移しました。2020年の今、彼らは恐喝とデータ窃盗の戦術を採用して被害者に圧力をかけ、1000万ドルもの要求を成功させた結果、多くの仲間が加わりました。

国家権力者による破壊的なサイバー攻撃には大きな注目が集まっています。ロシア、イラン、北朝鮮はいずれも、私たちの生存や生活を混乱させるために重要なインフラを攻撃することに関心を示しています。しかし現実には、これらのアクターがもたらす脅威が、現在のランサムウェアのオペレーターがもたらす脅威を上回ることはないかもしれません。外国の敵対者が開発している能力と同様に、ランサムウェアは国際社会に対する脅威であり、私たちの全面的な注意とリソースが必要です。

ランサムウェアやその他の脅威についての詳細な情報は、脅威インテリジェンス・プラットフォームの無償版であるMandiant Advantage Freeに登録してください。

 

本ブログは機械翻訳(MT)を使用して翻訳しています。原文と翻訳版の意味、文言が異なる場合は原文を有効とします。

原文:October 29, 2020 「Ransomware: The Threat We Can No Longer Afford to Ignore