アカマイ・テクノロジーズは11月28日、新たなレポートとして発表された「インターネットの現状|猛威を振るうランサムウェア」と、ランサムウェア対策として有効とされるマイクロセグメンテーションについて解説するプレス向け説明会を開催した。
説明を行ったシニアリード プロダクトマーケティングマネージャーの金子春信氏は、調査結果を踏まえたランサムウェアの現状として「全体として攻撃件数は高止まりという状況だが、2023年第1四半期には前年同期比で143%増という顕著なスパイク状の増加が見られた」ことを紹介。また、以前は活発に活動していた攻撃者グループ「Conti」が活動停止に追い込まれた結果、現在は「LockBit」が最大手に浮上し、全体の39%を占めるに至っていることも明かした。
アカマイ・テクノロジーズ シニアリード プロダクトマーケティングマネージャーの金子春信氏
LockBitの台頭について同氏は、一般のソフトウェア開発企業なども行っている手法「バグバウンティプログラム」でソフトウェアの不具合情報などを積極的に収集して品質改善に努めたり、RaaS(Ransomware-as-a-Service)として自分たちが提供しているランサムウェアを利用して実際に攻撃を仕掛けるグループ(アフィリエイト)の取り分を多くすることで実行者からの支持を獲得したりしており、ビジネスという見地から堅実な戦略を採っていると指摘した。
また同氏は、ゼロデイ攻撃による被害増加についても解説した。2023年第1四半期に被害件数が急増していることは前述したが、この理由として紹介されたのが攻撃グループ「CLOP」によるゼロデイ攻撃で、Progress Softwareのファイル転送システム「MOVEit」で発見されたSQLインジェクションに対する脆弱性を突いた攻撃で多数の被害を出したという。MOVEitは日本国内ではさほどユーザー数が多くはないが、海外ではユーザー数が多いことから大きな被害につながったようだ。
このほか興味深い指摘として同氏は、暗号化を実行せず、盗み出した重要データの公開などの脅迫で身代金支払いを強要する流れが強まっていることも紹介した。データの暗号化に対してはバックアップなどの対策を講じることで身代金支払いを行わずに復旧することも可能なため、暗号化されても身代金支払いには応じない企業/組織は少なくない。そのため、マルウェア感染を成功させた後、暗号化を実行する前にまず重要データをコピーして盗み出しておき、これをリークサイトなどで公開するという脅迫も併せて行う「二重脅迫」という手法が広がった経緯がある。
同氏が指摘したのは、暗号化に加えて補強策としてデータ窃取/公開を行うという流れがさらに発展し、暗号化の前にまず窃取したデータを使った脅迫が行われるようになってきているというものだ。これは、暗号化を行う作業は攻撃者にとっても負担が重いことから、攻撃者側としても暗号化まで実施しなくても身代金が取れるのであれば、その方が都合が良いという考え方が広がってきているものだという。
