ランサムウェアの大半は、サイバーセキュリティ上のよくあるミスを突くことで攻撃を開始する。しかし、適切なセキュリティ管理によって、こうしたミスが生じないようになっていた場合、ほとんどの被害者は攻撃を免れていたはずだ。
提供:Getty
Microsoftは米国時間8月22日、新たな「Cyber Signals」レポートを公開した。匿名化された脅威アクティビティーデータを同社が分析し、まとめたこのレポートによると、ランサムウェア攻撃の80%超が、ソフトウェアやデバイスにおける上のよくある設定ミスに端を発していたという。
これらのミスには、アプリケーションをデフォルト状態のままで使用し、あらゆるユーザーがネットワーク全体にアクセスできるようにしてしまっているというものや、セキュリティツールがない、または誤った設定にしているというもの、クラウドアプリケーションの設定が認証されていない侵入者でも簡単にアクセスできるようにしてしまっているというもの、Microsoftの攻撃面の縮小(ASR)ルールを適用せず、攻撃者によるマクロやスクリプトを用いた悪意あるコードの実行を許してしまっているというものが含まれている。
ランサムウェア攻撃者が脆弱な標的を探す際に目を向けるのが、こういった設定ミスだ。また、ランサムウェア攻撃では、身代金が支払われなければ盗み出した機密データを公開すると脅す二重脅迫型の手法がよく用いられる。
Microsoftは、こういった手法がサービスとしてのランサムウェア(RaaS)のエコシステムの成長によって進歩し、技術的な専門知識を有していない攻撃者でも攻撃を実行して身代金の支払いを強要するためのランサムウェアを独自に開発できるようになっていると警告している。
RaaSキットは地下フォーラムで比較的簡単に見つかり、カスタマーサポートを受けることもできるため、犯罪者は実行に必要な支援すべてを得られるようになっている。こういったランサムウェアキットの中には、サブスクリプションモデルを採用して販売されているものもある一方で、被害者らが復号鍵を得るために支払った身代金から一定の利益を開発者が受け取るというアフィリエイトモデルを採用しているものもある。
RaaSを支えている市場は、既存のRaaSが消滅するとともに新たなRaaSが登場するという極めて流動的なものとなっている。このレポートでは、最も悪名高いランサムウェアグループの1つである「Conti」が活動を停止したと思われたが、間もなく「LockBit」や「Hive」、「Quantum Locker」、「Black Basta」などのランサムウェア攻撃が台頭してきたという例を挙げている。
おそらくContiのメンバーの一部がこうした新たな脅威に関与し、世界中の組織を標的にしていると考えられるが、Microsoftは被害者にならないようにすることが可能だと述べている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。