データ暗号化は“時代遅れ”？ ランサムウェアグループの攻撃手法に起きた変化とは

Areteが2023年上半期のサイバーセキュリティ動向を報告した。身代金やランサムウェアグループ、攻撃手法などの変化を指摘し、講じるべき対策について解説した。

[後藤大地，有限会社オングス]

　セキュリティ企業のAreteは2023年上半期のセキュリティインシデントに関する調査報告書を公開した。2022年下半期から2023年上半期にかけてサイバー攻撃にどのような変化が生じたかがまとめられている。

Areteは2023年上半期のセキュリティインシデントに関する調査報告書を公開した（出典：AreteのWebサイト）

身代金支払い割合は低下傾向も油断できない理由

　報告書で指摘されている主な内容は以下の通りだ。

• サイバー攻撃者からの身代金要求は増額が続いている。2022年下半期における身代金の中央値は30万2千ドルだが、2023年上半期にはこれが60万ドルまで増加した
• 身代金要求に従って身代金を支払った割合は2022年下半期は29％だが、2023年上半期にはこれが19％へと低下した。Areteは業界全体でデータ漏えいのみの攻撃が増加していることがこうした支払う企業が減少した一因になっている可能性があると指摘している
• 2022年下半期に観測された上位ランサムウェアは1位から順に「ALPHV／BlackCat」「Phobos」「Hive」「LockBit」「Black Basta」だった。2023年上半期は順位が変動し、ALPHV／BlackCatとLockBitが同値で1位でこれにBlack Basta、「Royal」「Akira」が続いた。LockBitはAreteで観測されたランサムウェア事件の30.3％を占めている
• LockBitはランサムウェアビルダーの改善、ユーザーへの新しいバイナリのリリース、複数のOSへの対応など開発努力を継続している。新しく「Linux」を標的とするようになった他、「macOS」版が開発段階にあることが明らかになっている
• 2022年下半期における初期アクセスベクトルはソフトウェア／ハードウェアの脆弱（ぜいじゃく）性が最も多く、これにリモートデスクトッププロトコル（RDP）、窃取されたユーザー認証情報が続いている。2023年上半期にはこの傾向が大きく変わり、初期アクセスベクトルにはRDPが最も多く使われ、これにVPN、ソフトウェア／ハードウェアの脆弱性が続いている
• この数年間でRaaS（ランサムウェア・アズ・ア・サービス）に加えて、「Cybercrime as a Service」も増加している。サイバー攻撃者がリソースにアクセスする障壁が低くなり参入障壁が下がっている
• この数年間で独自のランサムウェア暗号化プログラムの漏えいがあり、これによって、アクセシビリティーが向上し強力な暗号化プログラムが新興のサイバー犯罪者の手に渡ったことでランサムウェアを使った攻撃がこれまで以上に簡単になった
• 脅威アクターが「ChatGPT」を活用するようになった。脅威アクターはChatGPTの出力結果制限を回避する方法を模索しつつ、そもそも制限がないChatGPT風のサービス「WormGPT」を利用するようになった
• 最近の脅威アクターはデータの暗号化ではなくデータの窃取に重点を置くように戦術を変更しつつある

　Areteはサイバーレジリエンスを高めデータとシステムと保護するために組織に対して次の事前対策の導入を検討することを推奨している。

• セキュリティソフトウェアを定期的に更新して脆弱性に対するパッチを適用する
• ユーザー権限を仕事を完了するために必要な最小限のアクセスに限定する
• 一般的なソーシャルエンジニアリング手法について従業員を教育する
• XDR（Extended Detection and Response）ソリューションを実装してランサムウェアやその他のマルウェアの脅威を検出する
• 攻撃対象領域（アタックサーフェス）管理ツールセットを利用して外部に面したインフラストラクチャを調べて、関連する脆弱性を特定する
• 侵入テストを毎年実施してセキュリティのギャップと弱点を特定する
• インシデント対応計画を定義しランサムウェアからの回復を合理化する