6社に1社が身代金に応じる今、中堅・中小企業はランサムウェアにどう立ち向かうか

トレンドマイクロはアンダーグラウンド調査からランサムウェアグループの活動の実態を解説した。ランサムウェアグループの標的の傾向や身代金の支払率、悪用されやすい脆弱性などが判明した。

[齋藤公二，ITmedia]

　トレンドマイクロは2023年2月8日、「アンダーグラウンド調査から解明したランサムウェア攻撃グループの実態」と題した記者説明会を開催した。最新のリサーチ結果を基にランサムウェアグループの攻撃トレンドを明らかにし、中堅・中小企業に向けたランサムウェア対策のポイントを解説した。

　調査によると、ランサムウェア攻撃被害の75％は中堅・中小企業であることが分かった。取るべきセキュリティ対策はあるか。

60以上のリークサイトを監視して得られたインサイトとは？

　ランサムウェア攻撃はデータを暗号化して脅迫するタイプから、暗号化だけではなく窃取したデータを外部に公開、暴露することで脅迫する「二重の脅迫」タイプに移行している。二重の脅迫を実行するランサムウェアは「暴露型ランサムウェア」などとも呼ばれている。さらにRaaS（Ransomware as a Service）のような犯罪者間での分業体制を促すサービスが流行した結果、誰でもスピーディーに高度な攻撃を実行する基盤が整いつつある。

トレンドマイクロの石原陽平氏

　トレンドマイクロの石原陽平氏（セキュリティエバンジェリスト）は今回の調査について「複数のデータソースを用いた統計的な分析から、ランサムウェア攻撃グループの実態を可能な限り定量的に把握した」と話す。

　具体的には60以上のランサムウェアグループのリークサイトを監視し、2019年11月以降に収集したデータを基に被害組織のプロファイルを分析した。過去10年間にわたる約15万件の身代金支払いに使われたアドレスと約20万件のトランザクションを利用して、身代金に関わる傾向も分析した。さらにランサムウェア攻撃者と被害者間のチャットログを入手し、攻撃側の交渉方法を分析した。

　石原氏はこの結果から「今後のランサムウェア対策としては中堅・中小企業の暴露型ランサムウェア攻撃への耐性向上が鍵」になると話す。「被害組織の分布」「身代金」「悪用される脆弱（ぜいじゃく）性」という3つのテーマからこれを解説していこう。

ContiとLockBitによる被害企業の詳細は？

　1つ目の「被害組織の分布」については、ランサムウェアの2大グループである「LockBit」「Conti」のリークサイトを監視し、被害組織の特徴や属性を分析した。なお、ランサムウェアグループのリークサイトで情報を暴露された被害組織の数を見ると、これら2グループで全体の約30％を占める。

　Contiの標的となっている企業の93％が北米と欧州に集中していた。対してLockBitは無差別に攻撃を実行していることが分かった。被害を受けた組織の規模としては、従業員数200人までが全体の56％を占め、201〜500人までの企業を含めると75％に達した。

1〜500人規模の組織が全ランサムウェア被害の75％を占めている（出典：トレンドマイクロ提供資料）

　なお、ContiとLockBitともに業種による被害組織の偏りは見られなかった。「LockBitによる医療業界の被害数は有意に少ない結果となっており、同組織の『医療業界は攻撃しない』という宣言に即した傾向が見られた」（石原氏）。

　石原氏はこれらの結果から「被害組織の分布で得られた洞察は、被害企業の75％は従業員数500人以下の中堅・中小企業であり、暴露型ランサムウェア攻撃の標的となるのは大企業だけではなくなっているということだ。また、組織が拠点とする所在国によって暴露型ランサムウェアのリスクが異なり、攻撃者が特定産業を標的にしていることを示す結果は出ていないことも分かった」と話す。

6社に1社が身代金を支払っている実態が明らかに

　2つ目の「身代金」については被害者分析や金融取引、チャットログから分析した。リークサイトでは身代金の支払いがあるとリークサイトから組織名を掲載削除するとうたっているため、掲載と削除を照合することで身代金を支払ったかどうかを推計できる。この定義に沿って「身代金の支払率」を予測したところ、調査期間中に観測・分析した被害組織数は1716件、そのうち削除された被害組織数は274件となり「身代金支払率」は約16％となった。

　石原氏は「平均の支払率は16％だったが、被害組織の属性によって対応の差が顕著になる点も興味深い」と話す。「カイ二乗検定」によって有意差のあるデータを特定したところ、身代金支払が有意に低い地域は欧州、有意に高い地域はアフリカだった。国別で見ると南アフリカとペルーが、業種では金融がそれぞれ有意に高くなった。

　従業員が1万人以上では支払率が非常に低くなることも分かっている。石原氏はこの結果について「組織とシステムの規模が比例すると仮定した場合、大規模なシステムはランサムウェアで停止する範囲が相対的に狭くなる。また、身代金の支払いを判断する人が少なくなるほど、個人の判断にゆだねられるため、身代金支払いの確率が上がりやすいとも推定できる」と語る。

　調査では、属性を複数組み合わせた分析も実施しており「米国では製造業の支払率が低いのに対して金融や法律では高い」「スペインにおける11〜50人の組織が最も身代金の支払率が高い」といった結果も得られた。この他、身代金の金額については企業の年間経常収益（ARR）の「5％」が目安になっていることが分かった。

データから見る身代金の支払率（出典：トレンドマイクロ提供資料）

　「リークサイトのチャットログには『全ての情報に基づいて、支払金額を5％に設定しました』『4億1600万ドルの収入に基づいて計算すると（要求額）830万ドルになります』といった書込みが見られた。このことから標的型攻撃はターゲットによって身代金を変更しており、標的とする企業におけるARRの5％を目安にしていると考えられる。身代金支払いに応じた組織や個人は全体の8％だったが、その半数以上がランサムウェア感染の20日以内に支払いに応じていることが分かった」（石原氏）

深刻度「緊急」だけが狙われるわけではない　注意すべき脆弱性は

　3つ目の「悪用される脆弱性」では、ContiやLockBit、Cuba、Egregor、REvilの5大ランサムウェアグループを分析して最も悪用される脆弱性を特定した。調査データとしては一般公開されている調査レポートやリサーチデータなどをソースとし、CVE（共通脆弱性識別子）ベースで比較したところ46種が特定された。

　46種のCVEのうち悪用されるのが最も多い共通脆弱性評価システム（CVSS）スコアは7.2で、次いで7.5だった。脆弱性タイプは「権限昇格」が54.3％、「コード実行」が17.4％で、この2つがほとんどを占めた。石原氏はこのことから「CVSSで考えると『緊急』（Critical）の脆弱性が狙われると思われがちだが、実際には『重要』（High）が多い。これら2つの脆弱性に対応することでリスクを大幅に低減できる」と話す。

　ランサムウェアグループ別に分析したところ、脆弱性は合計で15ベンダー、30製品のNデイ脆弱性（修正パッチが公開されている既知の脆弱性）を悪用していた。Contiの場合は、4ベンダーの17製品の脆弱性を悪用しており、中でもMicrosoft製品の脆弱性のうち、ほとんどがシステムに侵入する際ではなく、侵入後のラテラルムーブメント（水平移動）といった内部活動に悪用されるものだった。

（左）ランサムウェアグループ別の脆弱性悪用傾向（右）Contiが悪用する脆弱性の例、90.6％がMicrosoft製品（出典：トレンドマイクロ提供資料）

来るべき未来に備えて中堅・中小企業がやるべき“はじめの一歩”

　石原氏はこれらの結果を基に、今後の予測として「中堅・中小企業へのサイバー攻撃が増加する」ことと「サイバー攻撃者が身代金以外の収益源確保にシフトする」ことを挙げた。

　「攻撃者の収益源はあくまで身代金だ。身代金は『標的母数』と『攻撃成功率』と『身代金支払率』の掛け算で求められる。攻撃成功率と身代金支払率が今以上の向上が期待できないと考えた場合、身代金による収益確保のためには『標的母数』を増やすことが重要になる。そこでより攻撃しやすい中堅・中小企業を狙ったサイバー攻撃が増えると予想できる。一方、攻撃者にとっては身代金に期待するよりも、窃取した情報を転売した方が費用対効果が高いとも考えられる。そこで窃取したデータ自体を売買するといった身代金以外の収益源の確保にシフトする可能性もある」（石原氏）

中堅・中小企業を狙ったサイバー攻撃が増加しつつ、身代金以外の収益源確保にもサイバー攻撃者は動くはずだ（出典：トレンドマイクロ提供資料）

　では、中堅・中小企業の暴露型ランサムウェア攻撃への耐性を向上させるにはどのような対策が求められるのか。石原氏は今後の鍵として「サプライチェーンセキュリティ」「ゼロトラストセキュリティの実現」を掲げて以下のようにアドバイスした。

　「サプライチェーンセキュリティでは『組織間の情報連携』が肝になる。そのためには自社のデータが誰のものなのを明確にし、管理することが重要だ。また、ゼロトラストセキュリティを実現する上では『適切な権限管理』が重要になる。脆弱性を悪用して権限昇格を狙う攻撃者を想定することがゼロトラスト実現への第一歩となる。具体的な対策としては、サプライチェーンセキュリティにおいては、『データを分類する』『従業員アウェアネストレーニングを実施する』、ゼロトラストセキュリティの実現においては、『ITシステムの保守契約を見直す』『クラウド利活用を検討する』から始めてほしい」（石原氏）