復活するランサムウェアグループとの“いたちごっこ”に終止符を打つには？：Cybersecurity Dive

ランサムウェアグループのインフラをシャットダウンする取り組みがあったにもかかわらず、ランサムウェアグループの活動はとどまるところを知らない。これらの取り組みの効果は、なぜ限定的になってしまうのか。

[Matt Kapko，Cybersecurity Dive]

　国家情報長官室（ODNI）の最新の年次脅威評価報告書によると（注1）、攻撃者が攻撃を実行するために依存しているインフラを破壊する法執行措置があったにもかかわらず、ランサムウェアは依然として根強い脅威だという。

ランサムウェアグループとの“いたちごっこ”に終止符を打つには？

　2024年3月12日（現地時間、以下同）に公開された同報告書には、以下の記載がある。

　「ランサムウェア作戦に関与する国際的な組織犯罪者は、攻撃を改良し、資金を要求し、重要なサービスを妨害し、機密データを漏えいさせている。医療や学校、製造業など米国の重要なサービスや（電力やガス、鉄道、空港などの）重要インフラがランサムウェア攻撃を受け続けている」

　情報部門の指導者たちは、ランサムウェアの問題は悪化しており、その対策はますます困難になっていると警告している。

　中央情報局（CIA）や連邦捜査局（FBI）、国家安全保障局（NSA）、国務省、国防情報局、ODNIを含む米国の国家情報機関の指導者たちは、報告書の公開に合わせて2024年3月11日に上院情報委員会との公聴会で証言した（注2）。

　報告書によると、攻撃者は分散させた安価なインフラを利用しているため、専門的なランサムウェア活動を匿名で拡散できる。この相互接続されたシステムは、ランサムウェア攻撃の効率と巧妙さを向上させるだけでなく、新たな攻撃者の技術的な参入障壁を引き下げている。

　ランサムウェアの運営者に対する法執行措置について、連邦政府は、それが長期的な影響を防ぐのに不十分であり、限られた効果しか期待できないことを認めている。

　報告書によると、世界的な犯罪シンジケートの中には、法執行措置の後、一時的に活動を停止するものもあるが、ランサムウェアの運営者とその関連企業は多くの場合、グループ名を変更して活動を継続している。

　2023年12月に世界的な法執行機関がランサムウェアグループ「ALPHV」（別名BlackCat）のインフラをシャットダウンした後（注3）、同グループが、シャットダウンをものともせずにChange Healthcareに対する悪質なランサムウェア攻撃に関与していたことは、私たちに厳しい現実を突き付けた。ALPHVはシャットダウンから数時間以内に再出現し（注4）、現在も活動を続けている。

　LockBitもインフラが解体されてから数日以内に活動を再開したランサムウェアグループだ（注5）。同グループは、依然としてこの分野で最も活発な犯罪グループの一つである（注6）。

　報告書では、「サイバー犯罪者に安全な避難場所や寛容な環境を提供するロシアやその他の国々と協力して法執行を実行しない限り、被害軽減の努力は限定的なものになるだろう」と述べている。

（注1）ANNUAL THREAT ASSESSMENT OF THE U.S. INTELLIGENCE COMMUNITY（THE U.S. INTELLIGENCE COMMUNITY）
（注2）Hearings（U.S. Senate Select Committee on Intelligence）
（注3）US leads AlphV ransomware infrastructure takedown（Cybersecurity Dive）
（注4）Notorious ransomware group tussles with law enforcement, regenerates after takedown（Cybersecurity Dive）
（注5）LockBit group revives operations after takedown（Cybersecurity Dive）
（注6）LockBit operations dismantled following international takedown（Cybersecurity Dive）

原文へのリンク