-
Analyst's Choice
2FA
Cyber Intelligence
EDR
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
ChatGPT
Cyber Intelligence
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
本記事は、レポート『2024 Ransomware? What Ransomware?』(※)の概要をまとめたSirobreaker社のブログ記事(2024年5月7日付)を翻訳したものです。
(※)弊社のパートナー企業でOSINTプラットフォーム「Sirobreaker」を提供しているSirobreaker社は最近、『2024 Ransomware? What Ransomware?』と題したレポートを公開しました。本レポートにおいて同社は、オープンソースから集めたインシデント開示に関する情報や通知、報道などを分析し、攻撃発生から情報開示までのギャップ、被害組織が被害公表時に使用する言葉遣いの傾向、被害者心理や関与した脅威アクターなどのテーマを掘り下げた上で、ランサムウェア・インテリジェンスにおいてOSINTが果たす役割の重要性についても提唱しています。
最新レポート:情報開示の状況と公に報じられた攻撃から読み取れる情報をオープンソースから分析
- 2022年と比べると、ランサムウェア攻撃が報告されるまでに要する時間はやや短くなりましたが、被害者が自ら情報を開示するケースは依然として多くありません。
- インシデントの種類に関係なく、2023年には被害者の半数近くが攻撃された事実を一切公表しませんでした。とはいえ、4分の1にも満たなかった2022年と比べて大幅に増加しています。
- インシデント発生が最も早く伝えられる媒体は、引き続きダークウェブのリークサイトでした。平均で最初の攻撃から35日後に言及されています。しかし、脅威アクターが攻撃を主張するまでに費やす時間は、これまでよりも長くなっているようです。
これらの見解は、ランサムウェア攻撃に関して開示された被害情報と、公に報じられた情報から読み取れるトレンドの分析から得られた知見の一部です。当社は昨年の調査に引き続き、2023年にランサムウェア攻撃がどのように報告され、被害組織がどうやって攻撃された事実を公表したのかを比較。加えてランサムウェアアクターが使うテクニックの変化も分析し、脆弱性を悪用する事例が目立っていることを確認しました。
医療と教育は依然として格好の餌食に
2023年に最も狙われた分野は医療部門で変わりませんでしたが、政府部門を上回った教育部門がこれに続いています。教育部門は引き続きVice Societyの主なターゲットだった一方で、同部門を標的にした多くの攻撃でLockBitも犯行声明を出しました。これらの分野が狙われ続けているという事実は、こうした業界のセキュリティ体制が不十分であることをランサムウェアグループ側に利用され、格好の餌食にされていることを示唆しています。残念なことに、こういった攻撃によって患者が診療を受けられなくなったり、すでに資金不足に陥っている組織がさらなる負担増に苦しんだりするなど、より深刻な事態が引き起こされる場合があります。
遅々として進まない情報開示、説明も曖昧に
ランサムウェア攻撃が公表されるまでにかかった時間は、2022年と比べてやや短縮され、2023年には平均で41日強となりました。しかし、公表までに要した時間は比較的長いままで、インシデント発生から1週間以内に報告された事例はわずかしかありません。被害者によって情報が開示されたケースとなると、2023年にランサムウェアによる攻撃を受けたと発表した組織はさらに少なくなります。また、報告時に「ランサムウェア」という用語が使われる頻度も下がっており、多くの組織が「不正アクセス」や「障害発生」といった曖昧な表現を使い続けています。このようにはっきりとした開示を行わないことは、技術的に考えれば正しいことなのかもしれません。しかし、とりわけランサムウェアグループが暗号化よりデータ窃取に重点を置くケースでは、そのインシデントが引き起こす可能性のある、より広範な影響を適切に伝えることがほとんどできなくなります。
ランサムウェアアクターに脆弱性を悪用される事例が増加
脅威アクターは標的に圧力をかけるための新たな手段を探し続けており、被害組織の従業員や顧客を直接脅したり、被害組織にDDoS攻撃も仕掛けたりするといった新たなベクターを導入した三重恐喝攻撃などを用いるようになっています。
初期アクセスの手法も変化しているようです。通常のフィッシングキャンペーンを引き続き利用するランサムウェアグループもいれば、初期アクセスブローカーに頼るグループや、システムへの侵入手段として脆弱性を悪用することにシフトしているグループもいます。MOVEit Transferの欠陥は当初ゼロデイとして悪用されましたが、常にこのような侵害が行われているわけではありません。多くの脅威アクターは最近修正された欠陥を悪用しており、公開済みのエクスプロイトコードを使っている場合がほとんどです。2023年に数々の大規模なサプライチェーン攻撃が見られたことに伴い、各組織は技術の変化に対応する必要があるほか、攻撃に関わる広範なリスク、ひいてはサプライチェーンの侵害リスクを減らすための、効果的なパッチの優先順位付けを確実に行わなければなりません。
ランサムウェアに対する法的取り組みが世界中で増加
2022年と比較すると、全体的にインシデントを公表しない被害組織が増加しているにもかかわらず、サイバーインシデントに関する新たな報告義務を導入したり、身代金の支払いを全面的に禁止するかどうかについて議論したりする国が増えています。また、多くの国でサイバー攻撃の報告が義務化されるようになりました。報告を義務付けることで、自らのセキュリティや将来生じうるミスに関して責任を持つことを被害組織に促しつつ、影響を受けた者に素早く情報を提供できるようになります。
身代金の支払いを完全に禁じている事例はないものの、このテーマをめぐって現在進められている数々の議論は、ランサムウェアグループが資金を獲得するメカニズムをどのように妨害するのか、そしてどうやって金銭的なインセンティブを完全に排除するのかを探る上での第一歩となるかもしれません。また法的執行機関の継続的な取り組みにより、主要なランサムウェアグループが数多くテイクダウンされてきました。その1つであるLockBitが活動停止に追い込まれた2月20日以降、2024年の攻撃発生件数は著しく減少しています。
最後に
依然として被害組織の情報開示が遅れがちな上、攻撃に関する詳細がさまざまなチャネルから表面化していることを踏まえると、オープンソースメディアとともにディープウェブやダークウェブで入手可能なデータにアクセスし、適切な分析と報告を行うことは、やはりランサムウェア攻撃に関するタイムリーかつ実用的なインテリジェンスを得るために最も効果的な方法です。脅威インテリジェンスプラットフォームのSilobreakerは、ランサムウェア攻撃に関する情報の可視化をサポートするとともに、組織がオープンウェブ、ディープウェブ、ダークウェブに存在する無数の情報源と完成されたインテリジェンスデータを駆使しながら、脅威ランドスケープの全体像を理解するための力となります。
完全なレポートはこちらでご覧いただけます。
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。
