ランサムウェア危機が深刻化 四重恐喝により支払額は過去最高を記録

This post is also available in: English (英語)

Unit 42ランサムウェア脅威レポート1H 2021のアップデート

ランサムウェアの平均支払額は、2020年から82％上昇し、2021年上半期には57万ドルという高値を更新しました。これは、サイバー犯罪者がより攻撃的な戦術を採用して組織に巨額の身代金支払いを迫った結果です。この増加は昨年の平均支払額が171％増の31万2,000ドルとなったことにつづいての増加です。セキュリティコンサルティンググループUnit 42がまとめたこの数字は多くの方がすでに知っていることを数値化したもので、犯罪者が収益性の高いランサムウェアオペレーションに増資し、ランサムウェアの危機が激化し続けていることを示しています。

私たちは、ニュースを見て状況が悪化していることを知っていましたし、多くの人が個人的な経験からも知っていました。ランサムウェアの攻撃により、職場のコンピュータにアクセスできなくなったり、肉の価格が上昇したり、ガソリン不足になったり、学校が閉鎖されたり、訴訟が遅れたり、車の点検ができなくなったり、患者を受け入れられない病院が出てきたりしました。

「四重恐喝（Quadruple Extortion）」の台頭

「四重恐喝」の増加は、Unit 42のコンサルタントが2021年上半期に数十件のランサムウェア案件を処理した際に確認した気がかりな傾向の1つです。今のランサムウェアオペレーターは被害者に支払いを迫るために4つもの手口を使います。

1. 暗号化: 暗号化されたデータや重要ファイルが暗号化されて機能しなくなったコンピュータシステムへのアクセス回復のため被害者は身代金を支払う
2. データ窃取: 身代金が支払われない場合サイバー犯罪者は機微情報を公開する（この傾向は2020年に本格化）
3. サービス拒否（DoS）: ランサムウェアギャングは被害者の公開Webサイトを停止させるサービス拒否攻撃を行う
4. ハラスメント: サイバー犯罪者は顧客・ビジネスパートナー・従業員・メディアなどに連絡を取り組織がハッキングされたことを伝える

一組織が4つの手法すべての被害に遭うことは稀ですが、今年に入ってからは暗号化・データ窃取後に被害者が支払いをしぶるとランサムウェアギャングが追加手段を取るケースが増えています。2020年の動向をまとめた「Unit 42ランサムウェア脅威レポート」では、二重恐喝が新たな手法として注目されていましたが、最新の観測では、攻撃者が使用する恐喝手法の数がふたたび倍増しています。ランサムウェアギャングはこうした新たな攻撃方法の採用でさらに貪欲化しています。Unit 42のコンサルタントが2021年前半に確認した数十件では平均身代金要求額が530万ドルでした。これは2020年の平均額84万7,000ドルから518％の増加となっています。

当社のコンサルタントが確認した単一被害者の最大身代金要求額は、昨年の3,000万ドルから2021年上半期には5,000万ドルに上昇しました。さらにREvilは最近、Kaseya VSA攻撃の影響を受けたすべての組織に共通で使える復号鍵を7,000万ドルで提供するという新しいアプローチを試みましたが、これはその後すぐ5,000万ドルに値下げしました。Kaseyaは最終的に共通復号鍵を入手しましたが、支払いがあったかどうかは不明です。

今年これまでに確認されている最大支払い額はJBS SAが6月の大規模攻撃の後に公開した1,100万ドルでした。昨年私たちが観測した最大支払い額は1,000万ドルでした。

ランサムウェアの軌跡

サイバー犯罪者たちは被害者に支払いを強要するための戦術にさらに磨きをかけ、攻撃をより破壊的にするための新たなアプローチを開発しているため、ランサムウェアの危機は今後数ヶ月間、勢いを増していくと思われます。たとえば、ランサムウェアがハイパーバイザと呼ばれるソフトウェアを暗号化し、1台のサーバー上で動作する複数の仮想インスタンスを破壊するケースが見られるようになりました。私たちは今後数ヶ月の間にハイパーバイザその他のマネージドインフラストラクチャソフトウェアの標的化が増えると見ています。また、マネージドサービスプロバイダ（MSP）の顧客にランサムウェアを配布するためにKaseyaのリモート管理ソフトウェアを利用した攻撃を受け、マネージドサービスプロバイダやその顧客を標的にした攻撃が増加すると予想しています。

身代金は今後も増加傾向にあると思われますが、一部のギャングは引き続き低価格市場にフォーカスし、サイバーセキュリティに多額の投資をするリソースを持たない中小企業を定期的に狙うと予想されます。今年はこれまでに、NetWalker、SunCrypt、Lockbitなどのグループが、1万ドルから5万ドルの支払いを要求し受領しているのを確認しています。私たちが観測した最大身代金額に比べればこれはささやかではあるかもしれませんが、こうした規模の支払いでも小さな組織を消耗させる可能性があります。

ランサムウェアについて詳しく知りたい方は、Unit 42のブログでランサムウェアに関する記事をご覧ください。ハイライトには2021 Unit 42 ランサムウェア脅威レポートにくわえ、グローバルに多数の攻撃を仕掛けるランサムウェアギャングのプロフィールが含まれます。

• Mespinoza
• REvil
• Prometheus
• Conti
• DarkSide
• Clop

ランサムウェア攻撃への備えは計画立案から。Ransomware Readiness Assessment（ランサムウェア対応力診断）を受けることからはじめてください。