衝撃的な数のランサムウェア攻撃が上半期に報じられる
ランサムウェアは引き続き、サイバーセキュリティ研究者たちのホットな話題となっています。背景には、攻撃が2023年の上半期になっても高いペースで発生していることがあります。弊社のレポート「Ransomware? What Ransomware?」における2022年の調査結果と比べると、2023年の数値は衝撃的と言っても過言ではありません。2022年に分析した、公に報じられたランサムウェア攻撃は合計430件でしたが、同じ件数が2023年上半期単体で確認されています。
もっとも、このように2023年上半期の件数が高いのは、ランサムウェア攻撃の報じられ方が、ここ半年の間に改善したからかもしれません。一方で、セキュリティ研究者たちも、攻撃の増加を一層広く観測しています。被害者のほとんどが身代金を支払わないようアドバイスを受けているにもかかわらず、ランサムウェア攻撃は、依然として多くのサイバー犯罪者にとって非常に儲かるビジネスモデルであるようです。
*本記事は、弊社マキナレコードが提携する英Silobreaker社のブログ記事(2023年10月24日付)を翻訳したものです。
調査結果の概要
全ての調査結果は、Silobreakerのプラットフォーム上で利用可能なデータに基づいており、Silobreakerのアナリストチームが作成したレポートを出発点に最初の公の報道が導かれています。このため、対象が主に英語の報道に集中しているなどの限界があります。調査手法に関する詳しい情報は、2022年の「Ransomware? What Ransomware?」レポートに記載されています。
2023年の上半期に確認された被害者の数は437社です。このうち7社は、攻撃が発生したことを否定したか、もしくは攻撃の成功を阻止しました。残りの430社の被害者のうち、6社はランサムウェア攻撃の可能性、もしくは疑いのある事案の標的でしたが、3社は標的となった後に脅威アクターから謝罪の言葉と復号ツールを受け取りました。

2023年1月1日〜6月30日までの、ランサムウェアグループトップ10
ClopランサムウェアによるMOVEit Transferへの攻撃を数に入れると、Clopはこの期間では、飛び抜けて最も活発なランサムウェアグループでした。MOVEit Transferへの攻撃を除けば、Clopが犯行声明を出した被害者は、ほんの少数です。Clop以外で最も活発なグループは、LockBit(被害者数:82社)、AlphV(同:54社)、Vice Society(同:25社)でした。これは、LockBit、Hive、AlphV、Vice Societyが上位を占めた昨年のトレンドに従っています。ただし、Hiveに関しては、2023年の被害者数は今のところ3社にとどまっています。
全ての攻撃のうち、85件は未知の脅威アクターによって実行されました。被害者のうち13社に関しては、複数の既知のランサムウェアグループが攻撃の犯行声明を出しました。これらの事例において、被害者が2回以上標的になったのか否かや、犯行声明を出したグループとその被害者たちの間に関連性があるのか否かは不明です。
2023年上半期には、ヘルスケア部門が最も標的とされ、合計88社の被害者が確認されました。これ以外で最も標的となった部門は、教育、政府、製造、テクノロジーでした。これは、ヘルスケア部門が最も標的となり、政府、教育、製造が続いた昨年のトレンドを反映しています。

2023年1月1日〜6月30日までの、標的となった部門トップ10
最も標的となった世界の地域は北米であり、米国で230件、カナダで14件の攻撃がありました。これに、ヨーロッパ、アジア太平洋、中南米、中東・アフリカの13件が続きました。以上は、西洋諸国が他と比べてより頻繁に標的とされたという、昨年の調査結果と同様です。

2023年1月1日〜6月30日までの、最も標的となった地域を示す世界地図
昨年のトレンドに引き続き、ランサムウェアグループによってディープ・アンド・ダークウェブ(DDW)上に掲載された被害者の数は、公に報じられたランサムウェア攻撃の件数を大幅に上回りました。具体的には、2,000を超える被害者がDDWのサイト上に掲載されました。公の報道で扱われないランサムウェア攻撃の数が、引き続き膨大であることが窺い知れます。
大規模な脆弱性悪用キャンペーン
2023年上半期は、公に報じられたランサムウェア攻撃が顕著に増加しただけでなく、ランサムウェアアクターによる大規模な脆弱性悪用による攻撃キャンペーンが特徴的でした。こうしたキャンペーンのうち2つは、Clopランサムウェアグループによって実行されました。同グループは、サプライチェーン攻撃を行って甚大な影響を引き起こす脅威アクターとして、ランサムウェア脅威ランドスケープの中では有名になっています。後ほど説明する各キャンペーンでは、標的となった製品における特定の脆弱性が悪用されました。この手口は、ここ数か月の間に、脅威アクターの間で人気が高まった模様です。
組織に対する他のランサムウェア攻撃のうち、下流にいる他組織に影響を与えかねないものと同様、弊社のデータベースコレクションは、影響を被る製品のベンダーを被害者組織と見なされています。これに対し、データを盗まれた企業は、サプライチェーンの被害者として扱われています。よって、以下に登場する攻撃キャンペーンの影響を受けた個々の被害者組織は、全体の統計からは除外されています。
MOVEit Transfer
このような大規模な脆弱性悪用による攻撃キャンペーンのうち最も新しいものは、マネージドファイル転送サービスのMOVEit Transferにおける脆弱性を悪用したものです。攻撃が最初に始まったのは2023年5月下旬で、2023年6月にはClopがこの攻撃の犯行声明を出しました。この記事を書いている時点で、2千以上の組織が、影響を受けたことが確認されており、6千万人以上のデータが被害を受けています。
このランサムウェアキャンペーンを非常に特殊にしている要因は、Clopが使用した戦術と技術でした。同グループは、まず当該脆弱性のエクスプロイトを2021年初頭にテストしており、MOVEit Transferのような広く使用されている製品への攻撃がもたらし得る影響の大きさに、はっきり気づいていたと報じられています。Clopの通例の攻撃とは異なり、ファイルの暗号化にランサムウェアペイロードが用いられることはありませんでした。その代わり、Clopはデータの窃取だけを行い、データをリークするとの恐喝を2023年の6月と8月に1回ずつ行いました。Clopは、ダークウェブのリークサイトにデータを掲載しただけでなく、クリアネットサイト上とTorrent経由でも、盗まれたデータを利用可能にしました。クリアネットサイトへ掲載する手口は、過去にAlphVランサムウェアグループにも使用されました。Clopは2023年8月15日、自ら設定した2回目の締切日までに、初めて全データのリークをリリースしました。その後、15日後には大量のデータダンプがあり、合計229の組織のデータがClopのリークサイト上にダンプされました。
MOVEit Transferへの攻撃は、引き続き組織に影響を与えており、新たなデータ侵害通知が日々出されています。標的となった組織の中に要求された身代金を支払ったところがあるのか、あるなら何社なのかは、現在も不明です。
GoAnywhere MFT
Clopは、MOVEit Transferを大規模に悪用する前にも、別のマネージドファイル転送サービスである、Fortra社のGoAnywhere MFTにおける脆弱性を標的としていました。このキャンペーンで被害を受けた組織の数は、MOVEitのキャンペーンに比べると遥かに少なく、130の被害者に犯行声明が出されました。Clopは当該脆弱性を2023年1月末に初めて悪用し、2023年2月10日に攻撃の犯行声明を出しました。2023年3月17日までに、Clopは60の被害者から盗まれたデータをリークしました。MOVEitの事例と同様、被害を受けた組織の中に要求された身代金を支払ったところがあるのか、あるなら何社なのかは不明です。攻撃発生が1月であったにもかかわらず、直近の被害者による開示の中には、2023年7月の終わり頃に行われたものもあります。
ESXiArgs attacks
ある興味深いランサムウェア攻撃群が2023年2月初旬に始まりましたが、そこにESXiArgsと呼ばれるランサムウェア種が関わっていました。一連の攻撃は、ランサムウェアグループBlack Bastaの仕業とも、新たに登場したNevada Groupの仕業とも言われている一方で、ESXiArgsがBabukのソースコードをベースにしているとの指摘もあります。標的となったのは、パッチ未適用のVMware ESXiサーバーで、2021年に修正された既知のリモートコード実行の脆弱性が悪用されました。このキャンペーンは失敗に終わったとの評価が大多数を占め、報じられた5千の被害者組織のどこからも、一切データがリークされませんでした。
観測されたトレンド
脅威アクターの暗号化離れ
データの暗号化を徹底的に防いだり、ファイルを容易に復旧したりする上で必要なセキュリティ対策が整っている組織は、ますます増えているように見えます。しかし、既に2022年に観測されているように、ランサムウェアアクターたちは引き続き、被害者組織からデータを盗んでからシステムを暗号化しています。よって、たとえ暗号化用ペイロードの実行が妨げられたとしても、ランサムウェアグループは盗んだデータを利用して被害者を恐喝できるのです。実際、より直近のトレンドとして、攻撃者が暗号化の手順を完全に省略し、データの抜き取りだけを行うこともあります。
このトレンドから、ランサムウェアアクターの定義をめぐる議論が起こっています。厳密には、暗号化用ペイロード、つまりランサムウェアの使用をやめた者は、簡単に言えば、恐喝者に過ぎないからです。それでも、組織のシステムへの侵入は、どんなものであれ、広範囲に影響を与えることがあります。単に保有データが危険に晒されるというだけでなく、被害者組織が持つ顧客の保有データも、危険に晒されるのです。だからこそ一部の企業は、そうしたデータが公開されることを恐れ、要求された身代金を支払う選択をするのかもしれません。
1日に複数の被害者を掲載
もう1つ、2023年上半期に観測されたトレンドは、ランサムウェアアクターがリークサイト上で、同じ日に複数の被害者名を掲載するというものです。Clopの被害者を考慮に入れないとしても、同時に膨大な数の被害者名を掲載し始めた脅威アクターは、多数存在します。例えば、LockBitは2023年6月5日、合計24の新たな被害者をリークサイト上に追加しました。最初の攻撃も全て同じ日に発生したか否かは、不明のままです。
一方で、公の報道では、被害者とされる組織の名前が掲載されないことが多々あります。レポーターはよく、(リークサイトに)名前を掲載された被害者を何社か列挙しますが、多くの場合、被害者の全てではありません。オープンソースの報道に頼るだけでは、ランサムウェア被害者の本当の数を理解する際の死角が広がります。
ランサムウェアに言及せずに開示を行う被害者は依然多数
2022年には、ランサムウェア攻撃を単なるサイバー攻撃やITインシデントと呼んだり、中には、一般的なデータ侵害と呼んだりする被害者組織が増えたことを観測しました。2023年1月から同年6月末にかけても、このトレンドは続いており、「ランサムウェア」に言及して開示した被害者組織がわずか110にとどまったのに対し、17の組織は何らかの形で暗号化に言及し、5社は身代金要求に言及しました。よって、70%近い被害者組織が、ランサムウェア攻撃を受けたことを開示しなかったと言えます。多くのランサムウェア攻撃が、より広いサプライチェーンに影響を及ぼすようになる中、このように透明性が欠如していては、多くの顧客の保有データが危険に晒され、場合によっては、データが被害を受けたことに多くの顧客が気づかないという事態を招きかねません。
最後に
2023年上半期に公に報じられたランサムウェア攻撃が、2022年の全数と同じ数だけ見られたという事実は、ランサムウェアが引き続き組織にとって確かな脅威であるということを示しています。Clopによるものが顕著に観測された大規模な悪用キャンペーンからは、1つの組織に対する攻撃がサプライチェーン全体にとって、どれほど危険となり得るかが明らかになっています。こうした攻撃が下半期も続くかどうかは、まだ分からず、数千もの組織のデータへのアクセスを可能にするゼロデイエクスプロイトを保有するランサムウェアグループ次第です。
ランサムウェアアクターがデータの暗号化に注力しなくなったことで、脅威の性質は、ある程度変化しています。ただし、ランサムウェアアクターが、攻撃の収益化に成功していることに変わりないようです。要求した身代金を受け取ることもあれば、最高額で入札した者にデータを販売することもあります。もしかすると、この種のトレンドも寄与して、多くの被害者組織がランサムウェアに言及せず開示を行うのかもしれません。しかし、(従来通り)データを暗号化された被害者組織でさえ、やや曖昧な表現を使って開示し続けています。これが原因となって、脅威の性質が誤解されるかもしれません。
ランサムウェア攻撃のトレンドを踏まえた備えは、いかにして可能か。詳しくは、こちらのSilobreaker公式ページをご覧ください。レポート「Ransomware? What Ransomware?」も、こちらのページからダウンロードいただけます。
Silobreakerについて
Silobreakerはサーフェスウェブからデータを集積し、ダッシュボード上に可視化するツールです。ニュース、ブログ記事、ソーシャルメディアなどの18か国語のソースからデータを自動収集し、傾向把握がしやすい形(グラフ、マップなど)に処理した上で表示します。
以下の画像は、Silobreakerの操作画面(ダッシュボード)です。このダッシュボードを使って「重大かつ悪用可能なCVE」に関するトレンドを追跡することが可能です。
日本でのSilobreakerに関するお問い合わせは、弊社マキナレコードにて承っております。
資料請求やデモの申込については、以下のフォームからお気軽にお問い合わせください。
関連記事
関連投稿
Writer
一橋大学卒業後、新聞記者などを経て、マキナレコード入社。以降、翻訳スタッフとして、情報セキュリティやダークウェブ関連のインテリジェンスレポートや、マニュアル文書等の英日翻訳を担当。現在、アナリストチームの一員として分析・報告業務に携わる。翻訳者評価登録センター (RCCT)登録翻訳者。資格区分:Professional Translator(T00074)。