Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ランサムウェア攻撃が増えている理由

ランサム被害が増えている理由は色々考えられますが、この記事を読んで私はコロナ禍も大きく影響していると改めて思いました。

thehackernews.com

サイバー攻撃は注目を集めていますか、それとも実際に増加していますか?
両方の質問に対する答えはイエスです。ランサムウェアは実行が簡単なため、より一般的になっていますハッカーはソフトウェアを使用してセキュリティホールを突くか、信頼できるソースから来たように見えるマルウェアを送信するなどのフィッシング詐欺の戦術を使用してネットワークユーザーをだまします。さらに、一部の大企業は、サイバーセキュリティの専門家が最近学んだネットワークセキュリティプロトコルに甘んじています。

そのようなケースの1つは、コロニアルパイプラインでのサプライチェーン攻撃です。コロニアルパイプラインのCEOであるJoseph Blountは、ユーザーがログインするときに会社が多要素認証を使用しないことを議会で認めました

2020年に発表されたインターネット犯罪レポートに基づくと、FBIは2020年に2,500件近くのランサムウェアレポートを受け取りました。これは2019年に報告されたケースよりも20%高くなっています。FBIはまた、2020年のランサムウェア攻撃の総費用は2,910万ドルに近いと述べました。 。これは、コストが890万ドルに達した2019年に比べて200%の増加に相当します。

 

 

キタきつねの所感

去年後半から、当ブログでもランサム事件を多く取り上げ、今年に入ってからは日次や週次のセキュリティ記事まとめでも、ランサムのカテゴリを最初に挙げる様になり、最近はDarkWebでランサムリークサイトをウォッチしています。

海外セキュリティ関連記事を日々ウォッチしている中、上記記事にも書かれている通り、ランサムの脅威=記事件数が急速に増えてきている事を感じており、日本でも危ないと思っていますが、様々な統計データを見ると、特に去年のランサム被害は酷かった事がよく分かります。

 

この原因の1つは、上記記事ではランサムの一般化という風に表現されていますが、RaaS(Ransom as a Service)の一般化です。開発者とそのプラットフォーム(ツール)を使う、パートナー(攻撃者)による分業制です。

著名なランサム脅威グループはほぼ全てRaaSサービスを提供しており、そこに集まる実際の攻撃を受け持つパートナー(アフェリエイト)が増え相対的な攻撃件数の増加に繋がっています

 

では何故、アフェリエイトが集まったのか・・・と考えると、私は数々の「成功事例」「仮想通貨相場の急騰」が大きかったと思います。

 

 

数あるランサムグループの中で、「悪名名高き」と形容詞が付く事が多かったのは、既に活動を停止した2グループ「Maze」と「REvil」でないかと思いますが、これら2つのグループのメイン構成員は、(現時点までの所)逮捕されずに引退しています。

しかし彼らが開発した手法、例えばMazeの2重脅迫手法は、現在のランサムオペレータの基本戦術となっていますし、彼らがRDPやVPN脆弱性、つまり急遽強制的に始まってしまったテレワークの穴を狙った攻撃によって、多くの世界的企業をも被害リストに加えました。

foxsecurity.hatenablog.com


Mazeは大手企業を狙う事でも有名で、平均身代金要求額は480万ドルと言われていました。一方でREvil(Sodinokibi)もAcerや、Quanta、Kaseya等々の”戦果”があり、5000万ドル(約55億円)以上が請求された件もあります。

全ての被害企業がランサム(身代金)を払った訳ではないにしても、こうしたトップグループの得た”収入”はコアメンバー全員一生遊んで暮らせる分を遥かに超えていたと言われており、こうした成功事例を見て、一攫千金を狙うアフェリエイトがゴールドラッシュのソレと同様に集まってきてるのだと思われます。

 

また違う見方では、仮想通貨の高騰も影響しているかと思います。Mazeの活動停止時期は、Bitcoinが急騰していた時期です。

REvilはバイデン大統領とプーチン大統領の会談の後で慌てて停止を急いだ感がありますが、MazeやREvilが当時保有していた、現金化されていない仮想通貨の価値が跳ね上がっていた事も、彼らが”もう十分稼いだ”と、ハッピーリタイアメントをした1つの要因となり、その姿がアフェリエイトから見る”憧れ”になっているのではないでしょうか。

 

ランサム被害は残念ながら日本企業(特に海外部門や海外関連子会社)もその影響を受けています。現在は海外環境だけの限定的な侵害で収まっているケースが多い様ですが、日本の環境が直接被害を受けるケースも今後増えてくる気がします。

そうなる前に、こうした攻撃側の動機や最新の攻撃手口について理解を深める為、日本企業はもっと積極的に脅威情報を取りに行くべきではないでしょうか。

 

 

 

予告です。セキュリティ関連記事のまとめ(週次・日次)を実験的に記事化してきましたが、明日8/16(週次まとめの日)まででテスト期間を終了します

・週次まとめは、8/17以降に新たに出す記事では、★★★記事と、ランサム記事まとめ以外のジャンル記事は無償閲覧できなくなります。

・日次まとめは、8/17以降に新たに出す記事は無償閲覧できなくなります。

 ※Twitterでも海外記事情報は結構呟いていますので、無償がお好きな方は是非フォロー下さい。

・キタきつねの調査記事(※「調べてみた」やカード情報漏えいまとめ等)についても、詳細部分は無償閲覧できなくなります。

 

(一部記事の)無償扱いを止め、有償記事(codoc)にする事はかなり迷ったのですが、海外記事調査、あるいはそれらの発信、記事作成に毎日相当な時間を使っている割に、相対的な評価があまりされない事が背景にあります。

ブログ記事に関しては、コンサル(プロ)のくせに大した分析(所感)になってないとのご批判もあろうかと思います。

また、外から入手できる情報を元に分析する、いわゆるOSINT手法を使っている関係上、(後から見ると)間違った事を書いている事もあるかも知れません。

あるいは幅広過ぎるセキュリティ分野の中で、取り上げるテーマ、書き方が好みに合わない方もいらっしゃるのかも知れません。

しかし(誤解を恐れずに言えば)、専門であるカード情報保護(PCI DSS)や、本業のコンサルワークにおいて日々感じているのは、日本の多くのセキュリティ担当の方は海外情報について圧倒的に入手が遅れているという事です。

サイバーセキュリティの世界では、この情報ギャップが致命的になる事もあるかと思います。それを少しでも埋められる様にと、Twitterではなるべく自分の意見は付けずに、ウォッチすべき海外記事を発信していますし、ブログでは所感という形で拙いながらも自身の知見と経験に基づくコメントを入れていますが、残念ながら一部の方を除いて、コメントやらイイネといった反応を頂けていません。

※いつも反応を頂いている方には感謝しております。

 

正直に言えば、現在の作業時間をコンビニのバイトに当てる、あるいは資格試験の勉強にでも当てる方が自分にとって有益な状況で、毎日の作業のモチベーションを維持するのが難しくなっています

また、OSINT(セキュリティ)の世界では、有償サービスを使わないと入手できない情報や、有償サービスを使わないと効率的に情報を入手できない部分もあり、そうした有償サービスを自己負担で行うのは限界があり、有償化によって将来のこうした費用の一部が賄えると良いなと考えています。

 

色々と葛藤はあったのですが、きちんと自分なりに調査した記事内容であったり、時間をかけた成果(データ)記事に関しては、完全オープンにせずに、その情報が必要な方に一部対価を負担頂きながら限定公開する事としました。

諸々ご批判はあろうかと思いますが、ご理解いただけますと幸いです。

 

※尚、有償無償に関わらず、面白いテーマでの共同研究、講演、勉強会、アドバイザリー等、あるいはここ困っているんだけど・・といった(私に出来る)助言等がありましたら、モチベーションが上がるかと思いますので、お声がけ頂けましたら幸いです。 

■キタきつね(foxcafelate@gmail.com)

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 銀行強盗のイラスト

 

更新履歴

  • 2021年8月15日 AM