ランサムウェアの現状：情報開示ルールの武器化など

2024 年の終わりが近づいていますが、ランサムウェアはあらゆる組織に対して依然として支配的かつ進化を続ける脅威です。サイバー犯罪者はかつてないほど巧妙で創造的になっています。彼らは新しいテクノロジーを統合し、地政学的な緊張に便乗し、さらには法的規制を巧みに利用しています。

かつては破壊的ではあるが比較的単純な犯罪のように思えたものが、今では企業と官公庁・自治体の両方を脅かし続けている多層的でグローバルな課題へと発展しています。

ランサムウェアの現状を見てみましょう。ここでは、サイバー犯罪者がどのように戦略を変え、AIに依存し、法的フレームワークを悪用するのかについて焦点を当てます。

ランサムウェア分野における最も重要な進歩の 1 つは、フィッシング攻撃やソーシャル エンジニアリング攻撃を強化するために人工知能 (AI) を使用するようになったことです。これまでは、フィッシングEメールには、スペルミス、文法の誤り、よくある怪しいメッセージなど、明らかな詐欺の兆候が含まれることがよくありました。しかし、新しい生成AIツールは、高度にパーソナライズされプロフェッショナルな見た目のEメールを作成できるようになり、状況は劇的に変化しました。フィッシング キャンペーンはこれまで以上に簡単に作成でき、説得力も増しているため、フィッシング攻撃の量と成功率が上昇している原因には、このことが考えられます。

AIを使用することで、脅威アクターは膨大な量のデータをマイニングして、特定の個人や組織を対象とした説得力のある電子メールを作成できます。これらのEメールには、一見、正当なものに思えるようなコンテキスト情報が含まれている場合があり、成功する可能性が大幅に高まります。ランサムウェアがこのような正確な攻撃を実行できる能力を持つようになったため、医療などの業種・業務に特に壊滅的な被害をもたらしており、この混乱が人命を脅かす結果をもたらす可能性があります。

さらに、AIによって生成されたディープフェイク テクノロジーがソーシャル エンジニアリングに狙いを付け始めています。サイバー犯罪者は、企業幹部の音声や動画のディープフェイクを作成し、従業員を騙して金銭を送金させたり機密情報を漏らさせたりすることができるようになりました。これにより、詐欺行為の検出がはるかに困難になり、組織はそのような攻撃から身を守ることがますます困難になっています。

ランサムウェアグループは、被害者に身代金を支払わせるために技術的な手段に頼るだけでなく、法的規制を巧みに利用して自分たちに有利なように仕向けています。2024年の最も顕著な動きの一つは、米国証券取引委員会(SEC)が発行した開示規則の武器化です。

最近の注目を集めた事件では、ランサムウェア・グループBlackCat/ALPHVが、デジタル融資サービス・プロバイダーに対して正式なSEC苦情を提出しました。同グループは、同社のファイルを盗み出した後、組織は4営業日以内にサイバーセキュリティーインシデントを開示しなければならないという規制をプロバイダーが遵守していなかったとSECに報告したとされています。この追加の「法的」施策は、金銭的罰金や風評被害を回避するために、被害者に身代金を支払うよう圧力をかけることが可能になってしまいます。

この憂慮すべき事件は、ランサムウェア グループが、官公庁・自治体の規制であっても、あらゆるものを活用することを示しました。「脅威アクターはこの規制を利用して被害者により多くの圧力をかけています。これは見逃せない傾向です」と、欧州連合サイバーセキュリティー機関（ENISA）のサイバーセキュリティー専門家であるIfigeneia Lell氏は述べています。これは、法的枠組みが国民を保護し透明性を促進することを意図しているにもかかわらず、悪意のある人物によって悪用され、その目的が達成される可能性があることを思い知らせる恐ろしい事例です。

ENISA Threat Landscape 2024レポートによると、過去 1 年間、サイバー犯罪者による「Living Off-the-land（システム内寄生）」(LOTL) 戦術の使用が増加しました。LOTL攻撃は、被害者のシステム内にすでに存在するツールやソフトウェアを使用するため、セキュリティチームが悪意のあるアクティビティを検出するのが難しくなります。攻撃者は、ウイルス対策ソフトウェアによってフラグが付けられる外部マルウェアに依存する代わりに、PowerShell や Windows Management Instrumentation (WMI) などの正規の管理ツールを悪用して攻撃を実行します。

たとえば、マルチ恐喝ランサムウェアグループであるPLAYは、ターゲットネットワーク内での検出と横移動に、Cobalt Strike、Empire、Mimikatz などの既成ツールを頻繁に使用します。攻撃者は、新しい疑わしいソフトウェアの導入を避けることで、検知を長期間回避することができるため、被害者が効果的に対処するには手遅れになることがよくあります。従来のウイルス対策ソリューションがこれらの巧妙な攻撃に対して効果が薄れてきているため、LOTL 技術への移行は、サイバーセキュリティの専門家にとって継続的な課題となってきています。

技術の進歩に加えて、ランサムウェアは地政学的影響力やハクティビズムの武器として使用されるケースが増えています。サイバー犯罪者の動機はもはや金銭的利益だけではありません。政治的目的を推進したり、政府を不安定化させたり、特定の地域で混乱を引き起こしたりするためにマルウェアを使用する犯罪者もいます。

ENISA の報告書は、地政学的緊張がランサムウェア攻撃とどのように結びついているかを強調しました。たとえば、ロシアとウクライナの紛争では、ランサムウェア グループがウクライナおよびウクライナと同盟関係にある他の国または地域の重要インフラを標的にしました。これらの攻撃は必ずしも金銭的な動機によるものではなく、むしろ政治的な動機によるものでした。その目的は、国家運営を混乱させたり、エネルギー、医療、運輸などの主要部門を麻痺させることでした。

多くのハクティビスト集団もランサムウェア集団と連携し、自らの思想的目標を推進しています。たとえば、特定の政治的出来事や世界的な動きに関連して、行政や交通部門に対する攻撃が増加しています。サイバー犯罪がより政治的になるにつれ、組織や官公庁・自治体は、ランサムウェアがもはや単なる金銭的脅威ではなく、グローバルな舞台で混乱を引き起こすツールであることを認識しなければならないでしょう。そして、世界中で地政学的緊張が高まっていることを考えると、この種の攻撃は今後ますます頻繁に発生するに違いありません。

ランサムウェアを抑制しようとする世界的な取り組みにもかかわらず、ランサムウェア攻撃の数は今も増加傾向にあります。Ransomware Trackerによると、恐喝サイトに脅された被害者の数は2024年5月には前月の328人から450人に急増し、過去数年間で最も活動が活発な月の一つとなりました。

業種の中では医療、行政、運輸、金融関連が標的とされるケースが最も高くなっています。これらのセクターは、デジタル インフラストラクチャへの依存と、運用上のダウンタイムが引き起こす深刻な影響のため、サイバー犯罪に対して特に脆弱です。たとえば、米国保健福祉省は、過去 5 年間で医療分野におけるハッキング関連の侵害が 256% 増加したと報告しており、この分野の脆弱性が高まっていることを浮き彫りにしています。

ランサムウェアの経済的影響は 2024 年にさらに拡大し、コストは身代金の支払いを超えて拡大すると予想されます。ある業種の報告書によると、州および地方自治体におけるランサムウェア被害者の平均復旧費用は 273 万ドルで、2023 年に報告されている金額の 2 倍以上になっています。これらのコストには、身代金の支払いだけでなく、ダウンタイム、データの損失、業務の中断、評判の失墜に関連するコストも含まれます。

身代金の要求自体も急増しています。報告書によると、州および地方の官公庁に対する身代金要求の平均は現在 330 万米ドルで、一部の要求は 500 万米ドルを超えています。世界的には、医療、エネルギー、教育プログラムなどの業種でも同様の傾向が見られています。さらに悪いことに、高額の身代金要求と多大な復旧コストにより、小規模な組織は機能不全に陥ったり、閉鎖に追い込まれたりする可能性があります。

2024 年のランサムウェア状況は、ますます複雑化しています。AI駆動型のフィッシング キャンペーン、非日常的な手法、法的枠組みの悪用、地政学的な緊張との融合などにより、リスクはかつてないほど高まっています。しかし、AIサイバー セキュリティ ツールの進歩と、これらの進化する脅威に対するアウェアネスの高まりにより、防御を改善する道が提供されるはずです。

サイバー犯罪者が適応しイノベーションを起こすにつれて、サイバーセキュリティー専門家や組織も適応しなくてはなりません。このような常に存在する脅威と戦うには、脆弱性管理、堅牢なバックアップ戦略の採用、インシデント対応機能への投資などの事前対策が不可欠です。ランサムウェアは進化し続けるかもしれませんが、それに対抗するためのツールや戦略も進化し続けるでしょう。