日本を含む世界中で猛威を振るっているランサムウェアは、犯罪集団による一大ビジネスとなっています。本記事では、2022年の最新情報をもとにランサムウェアの特性、傾向、国家機関との関わりについて紹介します。
ランサムウェアとは何か?
ランサムウェアとは何か?
ランサムウェアはマルウェアの一種です。感染したコンピュータのファイルを暗号化しアクセスできなくすることで、被害者に身代金(ransom、ランサム)を支払うよう要求するものです。
身代金は通常、資金洗浄の容易な仮想通貨(ビットコイン)での支払いを求められることが多いです。
ランサムウェアは個人、企業、公的機関を問わず、世界中で被害が発生しており、日本でも有名な企業や役所、病院などが攻撃を受け、ニュースで報じられることが多くなっています。
特に2019年以降は、二重恐喝(Double-extortion)ランサムウェアが台頭し、暗号化に加えて、盗んだデータをダークウェブ上で公開する手法が蔓延しています。
ランサムウェアは犯罪集団にとって、麻薬売買や銀行強盗などと比べてローリスク・ハイリターンのビジネスとなっています。
本記事では、インド・チェンナイに拠点を置くセキュリティ企業Cyber Security Worksのレポートを一部参考に、ランサムウェアの最新情勢を紹介します。
ランサムウェアの簡単な歴史
ランサムウェアの簡単な歴史
Wikipediaによると、ランサムウェアの歴史は古く、インターネット黎明期から存在していたようです。
ここでは、世界規模で被害をもたらしたWannaCry以降に焦点をあてたいと思います。
2017年 WannaCryランサムウェア
WannaCryは世界的に流行したランサムウェアです。米国家安全保障局(NSA)から流出したハッキングツールを利用し、北朝鮮サイバー部隊(Lazarusグループと推定)が開発・運用したと考えられています。
WannaCryは感染したPC内のファイルを暗号化し、身代金としてビットコインを振り込むよう脅迫する機能を保有していました。ところが、身代金を振り込んでも、暗号化が解除された例は報告されていないそうです。
このランサムウェアは日本でも日立、JR東日本、ホンダ、マクドナルド、イオンなど有名企業が多数感染し、ニュースになりました。
ちなみに、WannaCryに使われたハッキングツールをNSAから盗んだのは、ロシアと推定されています。
2019年~ 二重恐喝ビジネスの流行
2019年、ランサムウェアギャングMAZEを皮切りに、後続の犯罪集団が次々と採用した攻撃手法です。
ランサムウェアが標的のコンピュータに侵入すると、暗号化する前にまず大量のデータを盗み出し、それから暗号化します。ランサムウェアグループはダークウェブ上にWebサイトを持っており、サイト上に盗んだデータをアップロードすると脅して身代金を要求します。
主な標的は企業や公的機関などです。攻撃された組織は、データを暗号化されたことによるダメージだけでなく、企業秘密や重要情報の流出、当局からの個人情報保護違反の罰金、顧客からの訴訟など、様々な二次被害を受けることになります。
二重恐喝ランサムウェアの中には、「大物狙い」と呼ばれる大企業や政府機関を狙うグループがいます。かれらが政府機関や大企業、エネルギーなどの重要インフラを攻撃し、社会に大きな悪影響を及ぼしています。
各国政府や軍・警察がランサムウェアグループ摘発に向けて活動を続けていますが、2022年現在も勢いは衰えていません。
2020年~ コロナ禍でランサムウェア犯罪が増大
コロナウイルスによるパンデミックが発生し、多くの国が経済的な苦境に見舞われました。
特に失業や貧困、防疫のための制限で生活手段を奪われた人たちの一部が、リスクの低いサイバー犯罪に手を染めるようになったと考えられます。
さらに、この潮流を受けて、職業的なサイバー犯罪者や組織犯罪グループも勢力を拡大しています。
ランサムウェアはどうやって攻撃をしかけてくるのか
ランサムウェアはどうやって攻撃をしかけてくるのか
侵入経路
ランサムウェアはどのように標的のシステムやネットワーク、コンピュータに侵入するのでしょうか。
本項では、専門的な技術情報を極力省いて、いくつかの主な侵入経路を紹介します。
ソフトウェア・ハードウェアの脆弱性
攻撃者が標的に対しランサムウェア攻撃をしかける際、もっとも利用されているのが脆弱性(Vulnerability)です。
脆弱性とは、システムの不具合や欠陥のことを意味します。コンピュータやゲームにおける「バグ」に近い意味合いです。脆弱性が発見されると、開発元は通常、修正プログラムである「パッチ」を提供したり、アップデートを行ったりします。
ところが、まだ発見されていない脆弱性を、犯罪者が利用することがあります。これをゼロデイ攻撃と呼びます。
ゼロデイ脆弱性は、まだ誰も知らない脆弱性であり、開発元も対処していない脆弱性です。このため、各国情報機関やサイバー犯罪者が熱心に収集しており、世に出回っている製品のゼロデイ脆弱性を販売する企業も存在します(ゼロデイ市場)。
2021年に発覚し大きな問題になっているNSO社製Pegasusスパイウェアは、iPhoneのゼロデイ脆弱性を使い標的のスマホ利用を監視する製品でした。
アップル、スパイウェア「Pegasus」開発元を提訴(CNET.Japan)
https://japan.cnet.com/article/35179835/
なお一般的に、古くなった製品(EoL(End of Lifecycle)と呼ばれます)は、もはやアップデートされず、ユーザーサポートもないため、多数の脆弱性を抱えていることが多く、攻撃の標的になりやすい傾向があります。
VPNへの攻撃
VPNとはVirtual Private Network (仮想プライベートネットワーク)の略で、暗号化されたトンネルを作り、安全にインターネット接続するサービスです。
リモートワークが普及した現在では、自宅から会社のネットワークに接続するために多くの人が利用するようになりました。
こうした状況を逆手に取り、VPNの脆弱性を攻撃する事例が激増しました。VPNで接続すれば、攻撃者は会社のネットワーク内に容易に侵入することができてしまうからです。
また、VPNを利用するためのログイン情報(ユーザー名、パスワードなど)が盗まれた場合、攻撃者は正規ユーザーになりすましネットワークに侵入できます。
Webサイトやブラウザに対する攻撃
Webサイトに対し不正なプログラムを埋め込むことで、閲覧したユーザーを攻撃する手法もまた用いられています。また、ブラウザ(Google ChromeやEdge、FireFoxなど)の脆弱性を悪用し、ユーザーから情報を盗み取る手法もよく使われています。
Google Chromeを利用している方は、頻繁にセキュリティアップデートが行われているのを知っていると思いますが、これは脆弱性を利用したサイバー攻撃に対処するためであることが多々あります。
フィッシング
メールでユーザーをだますフィッシング攻撃も依然として有効な手段です。マルウェア付きメールやスパムメールを遮断するフィルターやメールセキュリティソフトは日々性能を向上させていますが、それでも攻撃者は検知回避の手段を次々に生み出し、ユーザーに対し攻撃メールを送りつけます。
内部犯行者(インサイダー)採用
一部のランサムウェアグループは、攻撃を遂行するために標的組織内の内通者を募集していることが判明しています。
医療・重要インフラ・教育、小売業が狙われている
ランサムウェアを運用する犯罪者たちは、どのように標的を定めているのでしょうか?
それは、身代金を払ってくれる組織機関です。
ランサムウェアの標的になっている業界の1つが医療機関です。医療機関のシステムが攻撃を受け停止すると、ただちに人命に関わる事態となります。ランサムウェアグループにとっては、医療機関は身代金を払ってくれる格好の標的です。
同じように、社会を支えるインフラストラクチャ企業も、ランサムウェアグループの標的となっています。
- 米コロニアル・パイプライン社への攻撃(米最大の石油パイプライン)
- JBSへの攻撃(世界最大の食肉大手)
- Health Service Executiveへの攻撃(アイルランドの公共医療サービス機関)
サプライチェーンに対する攻撃
サプライチェーン攻撃は、信頼されているソフトウェアやハードウェアにマルウェアや不正プログラムを埋め込むことで、多数の顧客企業・組織に被害を及ぼします。
2021年にも、サプライチェーンを利用したサイバー攻撃が国内外で大きく報じられました。
- Kaseya社製IT資産管理ソフトへの攻撃→利用していた数百社が被害
- 航空輸送データ会社SITAへの攻撃→エア・インディアをはじめ国内外の航空会社から乗客情報流出
一度に多数の標的を攻撃可能な手法を、ランサムウェアグループも利用しています。
最新のランサムウェア傾向
最新のランサムウェア傾向
ランサムウェアグループはロシア・旧ソ連圏で活動
ほとんどのランサムウェアグループは、ロシア、または旧ソ連諸国を拠点に活動しています。主な理由は、当局による取り締まりが厳しくないためです。
ロシアは、自国および自国の影響圏内を攻撃しない限りは、サイバー犯罪を黙認していると考えられています。
ランサムウェア犯罪者の多くはロシア語を使います。また、当局からの摘発を避けるために、様々な対策をとっています。
- ロシア連邦およびCIS(独立国家共同体)諸国の企業組織は攻撃しないと声明を出している。
- 感染したPCの言語設定がロシア語だった場合、ランサムウェアは活動停止する。
ただし、後述するように、ランサムウェア被害の増大に対し各国が共同で取り締まりを始めたため、あまりに派手な活動を行ったグループがロシアや東欧諸国内で摘発される例も増えています。
ランサムウェア犯罪集団「REvil」の容疑者、ロシアで逮捕・起訴(ZDNET.Japan)
https://japan.zdnet.com/article/35182154/
主要ランサムウェアグループ紹介
Conti
2020年から活動しているグループで、それ以前に猛威を振るっていたRyukランサムウェアグループのリブランディングと推定されています。
これまでに世界規模で組織機関を攻撃しています。
- Health Service Executive(アイルランドの公共医療サービス機関)
- JVCケンウッド
- 米オクラホマ州タルサ市
BlackByte
2022年になって活動が目立ってきた新興グループであり、後述するRaaSです。2022年1月、米国内で被害が増えているとしてFBIが注意喚起を出しました。
現時点で、米国の複数重要インフラが被害を受けています。
Pysa/Mespinoza
Pysaグループは政府機関や教育機関などを集中的に攻撃しており、FBIにも名指しで追及されています。
LockBit
ランサムウェアの中でも多数の被害を出しているグループで、アクセンチュアに対する攻撃が有名です。
Clop
世界中の産業を攻撃している犯罪集団です。背景には、金銭目的のサイバー犯罪を行うグループFIN11がいると考えられています。
2021年6月に、ウクライナで構成員6名が逮捕されましたが、現在も活発に活動しています。
トランプ元大統領陣営の法律事務所などが被害にあっています。
REvil/Sodinokibi
2021年に多数の企業・組織を攻撃しています。
- JBS(ブラジル拠点、世界最大の食肉会社)
- Kaseya(IT資産管理サービス)
- スリランカ大手通信事業者
- 米核兵器製造業者
- 富士フイルム
- ほかエネルギー、医療業界
2022年1月、ロシア連邦保安庁(FSB)が米国の要求に応じREvil構成員複数名を逮捕し、多数の証拠や資産を押収しました。
今後、残ったメンバーによって活動が継続されるのかは不明です。
Darkside
2021年5月、米石油パイプライン最大手コロニアル・パイプラインへの攻撃が国際的なニュースとなりました。
この事件により米政府がロシアに対し非難する声明を出し、その後、米国がサイバー攻撃を行ったためか、Darksideは活動を停止、グループが収集していたビットコインも押収されたとされます。
しかし構成員たちは捕まっておらず、米国務省は懸賞金をかけています。
ビジネスの多様化
RaaS(Ransomware as a Service)は、ランサムウェア開発グループが、犯罪集団らにランサムウェア利用サービスを提供するビジネスモデルです。
サイバー犯罪者は、ランサムウェアグループからツールやキットの提供を受け、容易に犯罪活動を行うことができます。
RaaSモデルにみられるようなランサムウェア犯罪の分業化が進んでおり、標的企業・組織へのネットワークアクセスを販売するイニシャル・アクセス・ブローカー(Initial Access Broker)もマーケットを形成しています。
ランサムウェアと国家サイバー戦力
ランサムウェアと国家サイバー戦力
米サイバー軍の対ランサムウェア作戦
米国重要インフラへの攻撃が相次いだことを受けて、米サイバー軍はランサムウェアグループに対し攻撃作戦を行っていることを明らかにしています。
米サイバー軍司令官、ランサムウェア攻撃への「反撃」認める(CNN.co.jp)
https://www.cnn.co.jp/tech/35179001.html
ランサムウェアは、単なる犯罪ではなく、国家安全保障にも影響を及ぼす存在となっています。
ランサムウェアを利用する国家機関
サイバー犯罪集団だけでなく、国家機関もランサムウェアを利用しています。2021年から活動を確認されているイラン系ハッカーグループMoses Staffは、イスラエル政府機関や企業を標的にランサムウェアを利用し、被害組織のシステム破壊やスパイ活動を行っています。
2017年以降、ロシア情報機関は継続的にウクライナに対しサイバー攻撃を行っています。2017年にウクライナ全土に大規模な停電を引き起こした攻撃は、NotPetyaというマルウェアによって行われました。このマルウェアは、Petyaランサムウェアを改造し、感染したコンピュータ内のファイルを暗号化する代わりに、消去する機能を持たせたものです。
まとめ
本記事のまとめは以下のとおりです。
- 二重恐喝型ランサムウェアが2019年以降大流行、さらにコロナウイルスに伴う経済状況悪化も、サイバー犯罪者を増大させている
- ランサムウェアは、ソフトウェアやハードウェアの脆弱性を狙う。サプライチェーンを悪用した攻撃も台頭
- ランサムウェアグループのほとんどはロシアか旧ソ連諸国に存在。当局の取り締まりが甘いため
- 米国や各国は、ランサムウェアを国家安全保障上の脅威とみなし、対策を強化している
日本企業や個人もランサムウェアの被害を多数受けており、身近にある脅威といえます。本ブログでは今後もランサムウェア最新情報を紹介していきます。
参考レポート:Cyber Security Works: Ransomware Spotlight Report 2022