2020年はランサムオペレータ(攻撃者)にとって多くの成功があった年、シュナイアー氏のブログ記事は、まさにその通りだなと思います。
www.schneier.com
ランサムウェア攻撃の規模と重大度は2020年に明るい線を越えたと言う研究者もいますが、今年は段階的で残念ながら予測可能な権限委譲の次のステップに過ぎないと説明する研究者もいます。彼らの技術を磨くのに何年も費やした後、攻撃者はより大胆に成長しています。彼らは、組織のデータを盗み出し、被害者が追加料金を支払わない場合はそれを解放すると脅迫することにより、恐喝のような他の種類の恐喝を武器庫に組み込み始めました。最も重要なことは、ランサムウェアの攻撃者は、多くの個人を攻撃し、多くの小さな身代金の支払いを蓄積するモデルから、大きなターゲットの小さなグループに対する攻撃を慎重に計画するモデルに移行したことです。そこから彼らは大規模な身代金を要求することができます。ウイルス対策会社のEmsisoftは、要求された平均料金が2018年の約5,000ドルから今年は約200,000ドルに増加したことを発見しました。
(Schneier on Securityブログ記事より引用)※機械翻訳
キタきつねの所感
当ブログでも2020年は数多くの「ランサム」インシデントを取り上げましたが、2重恐喝手法は今年のセキュリティ業界での「流行語大賞」だったと言っても過言ではないかと思います。
www.ipa.go.jp
2重恐喝手法は2019年にMazeによって使われ始めましたが、多くのランサムオペレータがその手法を取り入れ、脅威として認識されたのは2020年でした。
また、ランサムオペレータ(ランサムを仕掛けてくるハッカーグループ)が急激に増加したのも2020年の特徴の1つだったかと思います。
ランサムオペレータの主要なグループ名は、2020年4月のZDNet記事では、21のランサムオペレータを挙げていますが、新たなグループや、派生グループの”成功例”も報じられている事から、相当数のランサムオペレータが新たにランサム市場に参入していると推測されます。
www.zdnet.com
因みに、上記記事で挙げられている21のオペレータ(AKO (REBRANDED AS RANZY), AVADDON, CLOP, CONTI, DARKSIDE, DOPPELPAYMER, EGREGOR, EVEREST (EVERBE), LOCKBIT, MAZE, MESPINOZA (PYSA), MOUNT LOCKER, NEFILIM, NEMTY, NETWALKER, RAGNARLOCKER, RANSOMEXX (DEFRAY777), REVIL (SODINOKIBI), SEKHMET, SNATCH, SUNCRYPT)の内、当ブログで記事にした事があるのが、記憶に残っているのが赤字の辺りで、活動停止を発表したMaze以外は現役である事を考えると、来年は2桁ではなく、3桁のランサムオペレータがその活動成果をリークサイト等で公開してくる可能性は十分にありそうです。
※上記リストにはRyukが入ってない等、漏れもありますし、セキュリティベンダーが命名したオペレータの別名が多々あるので、2020年に活動していたランサムオペレータはもう少し多いと思います。
これらの2重恐喝以外にも、気になる攻撃手法が登場したのが2020年です。
それが「ランサムの自動化」です。
上記に挙げたランサムオペレータは「人手による標的型のランサム攻撃」であるのに対して、脆弱性を自動的に探して侵入し、データを暗号化して少額の身代金を要求する「機械による総当たりのランサム攻撃」を行うランサムオペレータも出てきています。
これらの手法は近い将来、恐らく2021年には進化した攻撃(攻撃手法の深化や身代金額の増加)に化けていく事が予想されます。
2020年前半の全世界のランサム被害は2019年の倍を記録しています。そして後半のデータはまだ出ていませんが、インシデント発表が多かった事を考えると”更に悪化”している可能性を感じます。
www.infosecurity-magazine.com
いくつもの日本の大手企業がランサム被害を発表したのも2020年の特徴と言えるかも知れません。VPN装置、フィッシングメール、Cloudサービス・・・等々、その侵入手口は様々ですが、海外における対岸の火事ではなく、ランサムの前には「日本語の壁」は無くなっている事を改めて日本企業・組織は認識すべきです。
japan.zdnet.com
最後に、ランサム対策のヒントとなる記事を再掲して、今年の投稿を締めたいと思います。本年も多くのご来訪ありがとうございました。
foxsecurity.hatenablog.com
更新履歴
