ランサムウェアによる「大物狩り」が始まり、犯罪者が標的を選び、最大限の混乱を来して身代金を支払うよう仕向ける手法が独創的になってきています。大物狩りは、高価値で目立つ標的を探して、タイミングを計って攻撃し、広範なダメージを与えるものです。
教育、ヘルスケア、行政など、ダウンタイムの悪影響が最も顕著な組織が被害に遭う傾向があります。
ランサムウェアを使う犯罪者が企業を脅して身代金を巻き上げる方法が、2019年以降劇的に進化しました。身代金の高額化だけでなく、犯罪者の圧力のかけ方が強 度と独創性を増し、大っぴらになってきています。こうした新たな問題に対処するには、Zero Trustへの総合的なアプローチで、攻撃者が攻撃ベクトルを利用して横方向に移動できなくする必要があります。
ランサムウェア攻撃の戦略は常に変化していますが、ここ2年の攻撃には共通のテーマがあります。恐喝の戦術が、より大きな痛みを伴う可視性の高いものになり、リスクが遥かに大きくなっているのです。今や目的は、ファイルの暗号化だけでなく、被害者への潜在的影響を重大にして、身代金を払うより他ないと思わせることによって成功率を上げることです。最近使われている7つの攻撃戦術を、以下で紹介します。
2019年以前は、犯罪者が漏洩を意図してデータを盗むことは稀でした。しかし、ある分析によれば、2021年の第3四半期には攻撃の83.3%がデータを流出させると脅迫するものでした。交渉のしかたや支払いを迫る方法は、ランサムウェアカルテルによって異なります。Clopランサムウェアグループのように、2つの身代金を別個に要求するものもあります。1つは暗号化キーを入手するため、もう1つはファイルの流出を回避するための身代金 です。これはつまり、ファイル復元のためのバックアップがある企業でも、風評被害やデータプライバシー関連の罰金を回避するための身代金は支払うかもしれないということです。攻撃者は、善意の印としていくつかの元ファイルへのアクセスを返却する場合もあります。いわばランサムウェアの無料お試しです。あるいは、一部の情報を直ちに漏洩し、残りを時間経過に伴って公表する場合もあります。
三重恐喝の場合、攻撃者は顧客や提携先など被害企業に関係する第三者に連絡を取ります。心理療法クリニックへの攻撃のように、第三者に支払いを要求する場合もあります。患者は、診療録をオンラインで公表されたくなければ金を払えと脅されました。また、犯罪者が脅迫相手に対し、被害企業に連絡して身代金の支払いを促すよう指示するケースもあります。説得努力を一部アウトソースするわけです。
FBIによれば、合併、買収、製品発表など差し迫ったイベントがある企業が標的になる場合もあります。風評被害や株価暴落のリスクが、身代金要求 に応えざるを得ないと感じさせます。FBIは、この攻撃は秘密裏に交渉が進んでいる合併に対しても起こると報告しています。犯罪者はネットワークに侵入し、非公開データを掘り出して標的を特定し、支払いの動機づけをします。製品の青写真やロードマップのリリースに関わる漏えいは、競争優位を損なうため、特に大きなダメージを与えかねません。FBIのデータによれば、混乱を招きやすい休日や週末にかけての攻撃が頻発しています。
犯罪者は複数経路で被害者に圧力をかけ、嫌がらせをします。ネットワークに侵入して入手した情報を使って、従業員に電話したりメールを送ったりするグループもあります。たとえば、Egregorランサムウェアを使う犯罪者が、被害企業のプリンターで身代金要求書をリモート印刷しました。身代金の支払い期限や金額上積みのタイミングを強調するために、カウントダウンタイマーを使う者もあります。
過去2年の間に、盗難データを公表するためのWebサイトが数十サイトも出現しました。犯罪者は、身代金を支払わない被害者から盗んだデータをそれらのサイトに投稿したり、ファイルを1つずつ漏えい して交渉時の圧力を高めたりします。個人データが公表されると、被害企業は漏えいを規制当局へ報告しなければならず、罰金を科される場合もあります。
攻撃の可視性を上げる戦術には、実にさまざまなものがあります。たとえば、攻撃者はジャーナリストに連絡することによって、支払いへの圧力を増し、被害企業をデータ保護法に基づく訴訟のリスクにさらすことができます。Ragnar Lockerグループは、盗んだ資格情報を使ってFacebook上の広告を購入して注目を集めました。被害者のデータをオークションにかけてグローバルに利益を得ようとするランサムウェアグループもあります。さかんに報道された攻撃の例としては、REvilグループによる有名人専門弁護士事務所の依頼人データのオークションがあります。
法執行機関や影響を受ける顧客へ連絡したりバックアップファイルを探したり、ラテラルムーブメントを最小限に抑えたりするので既に手一杯な被害企業に対し、分散サービス妨害(DDoS)攻撃を示唆したり開始したり する攻撃者もいます。ただでさえ慌ただしい時にネットワークを圧倒されると、ストレスが増大し、より多くのITリソースがとられてしまいます。
ランサムウェアは数十年前から存在するのに、恐喝の手口がこのように突然に変化したのはなぜでしょうか?
犯罪者が今、身代金の支払いを強く迫ることができるのは、被害企業にとってオンラインを維持することの重要性が遥かに高くなっているからです。生活の多くの部分がオンライン上で営まれる現在、ダウンタイムの回避は極めて重要です。リモートワーカーの接続やオンライン授業、オンライン診療、ネット注文、その他の日々の営みに干渉すれば、いかに大きな混乱を招くか、犯罪者は知っているのです。たとえ企業が復元用のバックアップを持っていたとしても、復元にかかる時間による財務損失が大きく、身代金を支払った方が安上がりになる可能性があります。
その他、ここ2年で攻撃の手口が進化した要因には次のようなものがあります。
「サービスとしてのランサムウェア」の出現。企業がクラウドベースのサービスを 通じてファイアウォールを購入できるのと同様に、技術的能力の有無を問わず誰でもランサムウェアをレンタルして展開することができます。このモデルは、均一料金または受け取った身代金の一定パーセンテージを支払うというもので、攻撃開始の参入障壁が低くなっています。
驚異的に高い粗利率。ある推定によれば、ランサムウェアの粗利率は98%です。他の闇ビジネスに比べ、ランサムウェアは逮捕や死亡のリスクがかなり低く、それが市場参入のインセンティブになっています。
プライベートデータ保護の義務。GDPRなどのプライバシー保護規制が制定・施行され、データ漏えいの被害企業は多額の罰金を支払う羽目になりかねません。自分のデータが露出してしまった人々から訴訟を起こされる可能性もあります。このことが、犯罪者の標的選びと身代金算定に影響します。犯罪者は、企業がインシデント対応を計画する際に費用対効果分析をすることを見越しているからです。
企業には、包括的で多面的なランサムウェア防止・軽減戦略が必要です。新手の恐喝手口で攻撃の余波が広がり、その必要性が高まっています。
ランサムウェアキャンペーンは数段階にわかれており、阻止の機会は複数あります。ネットワーク境界を強化してラテラルムーブメントを抑える手段の1つが、Zero Trustセキュリティモデルの導入です。このアプローチは、厳格なアクセス制御を実施し、いかなるユーザーもいかなるシステムも信頼しないことをデフォルトとするもので、犯罪者が権限を昇格したり、交渉で強く出られる要素を見つけたりする機会を減らします。
ランサムウェア攻撃の防止と軽減に役立つZero Trustの側面には、次のようなものがあります。
最小権限アクセス:各ユーザーにネットワークの必要部分のみのアクセスを許すことにより、露出を最小限にし、攻撃が発生した際のラテラルムーブメントの可能性も最小限に抑えます。
多要素認証:IDの証明を複数要求することにより、攻撃者がユーザーを騙りにくくなります。
ブラウザ分離:ブラウジング活動をエアギャップのあるクラウドベースの環境に限定することにより、企業は悪意のあるサイトやアプリからネットワークを保護することができます。
DNSフィルタリング:ユーザーやエンドポイントが悪意あるサイトを読み込めないようにすることにより、ユーザーデバイスやネットワーク全体にランサムウェアが入り込むことを防ぎます。
ユーザーとデバイスのポスチャー確認:エンドポイントセキュリティプロバイダーやIDプロバイダーと終始照合することにより、安全なユーザー、安全なデバイスだけがネットワークに接続できるようにします。
Zero Trustの「サービスとしてのネットワーク(NaaS)」プラットフォーム、Cloudflare Oneは、セキュリティとネットワーキングのサービスを統合し、リモートユーザー、オフィス、データセンターを安全に接続します。Cloudflare Oneは、高リスクのブラウジングを分離し、悪意あるURLへのアクセスをブロックし、オープンサーバーポートを外部者の侵入から保護することにより、ランサムウェアを防止します。
この記事 は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
この記事を読めば、以下が理解できます。
ランサムウェアを使ったアグレッシブな恐喝の新手口
こうした手口の変化の背景にある要因
攻撃者がネットワークに侵入して入手したデータを人質にして交渉に応じさせようとする手口
ランサムウェア軽減におけるZero Trust原則の重要性