次に来るランサムウェアは何か？ カスペルスキーが2023年のサイバー空間の状況を分析：セキュリティニュースアラート

カスペルスキーは2023年に同社が観測したサイバーインシデントのうち、ランサムウェアが33.3％を占めたと報告した。特に政府機関や企業を狙う攻撃が増加している。調査から今後流行すると思われるランサムウェアも明らかになった。

[後藤大地，有限会社オングス]

　カスペルスキーは2024年6月4日、2023年にインシデントレスポンスチームが対応したサイバーインシデントのうち、3件に1件（33.3％）がランサムウェアによるものであったことを明らかにした。

今後流行する可能性が高いランサムウェアをカスペルスキーが予測

　同社によると、特に政府機関や特定の企業を狙った標的型ランサムウェア攻撃の増加が顕著で、2023年のランサムウェアグループの数は前年に比べて30％増加し、被害組織は71％急増したという。

　カスペルスキーの調査によると、ランサムウェア攻撃の経路は、企業の請負業者やサービスプロバイダーを介したものが多かったという。これは攻撃者が正規の行動と似た手口を使うことで検出に時間をかけさせることが狙いだとカスペルスキーは分析している。

　この他、ランサムウェア攻撃グループはネットワークの脆弱（ぜいじゃく）性を詳細に理解し、多様なツールや手法を駆使して目的を達成しようと試みることも分かった。2023年に対応したインシデントの39.1％で「Windows」のネイティブコマンドや正規のセキュリティツールが使われていた。

　インシデント対応で最も頻繁に遭遇したランサムウェアファミリーはLockBit（27.8％）で、次いでBlackCat（13.0％）、Phobos（9.3％）、Zeppelin（9.3％）だった。攻撃のほとんどは1日以内（43.5％）または数日以内（32.6％）に完了しており、数週間や1カ月以上継続したケースは少数（10.9％）とされている。

　2023年に最も広く浸透したランサムウェアとして「LockBit 3.0」「BlackCat／ALPHV」「Cl0p」が挙げられている。LockBit 3.0は2022年に同ビルダーがこのランサムウェアに関する情報を漏えいしたことでさまざまな亜種が作成された。

　BlackCat／ALPHVは連邦捜査局（FBI）などの法執行機関によって一度活動停止に追い込まれたが、活動を再開させている。Cl0pはファイル転送システム「MOVEit Transfer」の脆弱性を悪用したランサムウェアで、2023年12月までに2500以上の組織に影響を与えたとされている。

　カスペルスキーは、今後脅威となる可能性の高いランサムウェアファミリーとしてBlackHuntやRhysida、Akira、Mallox、3AMを挙げている。ランサムウェア攻撃の進化に伴い、これらのより小規模で捉えにくいランサムウェアグループが出現してきている。同社はこれに加えて「Ransomware as a Service（RaaS）の台頭によってサイバーセキュリティの状況をさらに複雑化させているとし、被害を未然に防ぐセキュリティ対策の必要性が高まっている」と指摘した。

　Kasperskyのランサムウェアの脅威および対応したサイバーインシデントに関する調査結果は次のページで公開されている。

• Kaspersky Anti-Ransomware Day report 2024 | Securelist
• 2023 Kaspersky Incident Response report | Securelist