ウィズセキュア、2024年上半期のランサムウェア動向に関する調査を公開：セキュリティニュースアラート

ウィズセキュアは2024年上半期のランサムウェアを巡る情勢やトレンドに関するインサイトをまとめた「最新ランサムウェア脅威レポート 2024年上半期版」を発行した。調査によると、ランサムウェアグループの情勢に変化が生じているという。

[田渕聖人，ITmedia]

　ウィズセキュアは2024年9月4日、2024年上半期のランサムウェアを巡る情勢やトレンドに関するインサイトをまとめた「最新ランサムウェア脅威レポート 2024年上半期版」を発行した。

　レポートによると、ランサムウェア業界の規模は2023年後半にピークを迎えた後、2024年にはその生産性はほぼ横ばいの傾向を見せている。しかし、2024年上半期における攻撃件数や身代金の支払い額は2022年や2023年の同時期と比較して上昇傾向にあるという。

ランサムウェアグループのパワーバランスに生まれた変化とは？

　同レポートが提示する主なインサイトは以下の通りだ。

• 2024年上半期にランサムウェアのリークサイトに掲載された被害者数は2568だった。地域別では米国が1位で1332件（52％）、次点は欧州の644件（25.1％）、日本は21件（0.8％）となっている
• セクター別の被害では、1位のエンジニアリング／製造業が20.59％となっており、2位の不動産／建設（9.02％）と比較して倍以上の差を付けた
• 被害者の企業規模別では小規模組織（従業員200人以下）が2022年の50％から2024年には61％に増加している

　WithSecureで脅威インテリジェンス部門の責任者を務めるティム・ウェスト氏は2024年上半期のトレンドについて、「2024年2月の法執行機関によるLockbitのテイクダウンは主要なランサムウェアグループの活動を阻止する上で重要な役割を果たしたが、テイクダウンの長期的な影響は依然として不透明であり、ランサムウェアグループはこれに順応し、進化している。私たちは、Lockbitはより強固なオペレーション体制での復活を模索しており、現在は再構築の段階にあることはほぼ間違いないと考えている」とコメントした。

　同レポートでは、ランサムウェアグループのアーキテクチャを検証し、アフィリエイトを自陣に引き入れるためにグループ間の競争が激化していることについても取り上げている。法執行機関によるLockbitやALPHVへの措置の後、「ノマド型」のアフィリエイトが、他のグループに移籍して活動している。

　ウェスト氏は「ALPHVの出口詐欺では、アフィリエイトが本来得るはずだった報酬をALPHAVが支払わなかった。そのため、サイバー犯罪コミュニティー内の信頼は著しく低下している。アフィリエイトの勧誘のために、ランサムウェアグループのMedusaは利益の最大90％を、Cloakは85％をそれぞれアフィリエイトに分配している。こうした背景もあり、ランサムウェアのエコシステム内のパワーバランスがさらに複雑なものになってきている」と語った。

　この他、同レポートで確認された顕著な傾向としては、エッジサービスの悪用による初期アクセスの採用が増加していること、ランサムウェアグループによる正規のリモート管理ツールの頻繁な使用が挙がった。また、身代金を支払った多くの企業や団体が一度被害に遭った後、同一または別のランサムウェアグループによって再び標的にされたというデータも明らかになった。

　「2022年以降、ランサムウェアのリークサイトに掲載される企業のうち、中小企業が占める割合が大きくなってきている。身代金の支払い率は低下し、1件当たりの身代金支払額も小さくなってきているが、攻撃グループがトータルでの収益を保つために脅迫の件数は増加している。大企業と違い、中小企業はサイバー保険に加入していないところが多く、身代金の額は少なくても、攻撃者にとっては狙いやすいターゲットだといえるだろう」（ウェスト氏）