トレンドマイクロは2月8日、ランサムウェア攻撃者グループの活動実態について調査結果を報道機関向けに解説した。
セキュリティエバンジェリストの石原陽平氏は今回の調査テーマを「Ransomware as a Science」と説明。「サイエンス、つまり科学的な手法でランサムウェア攻撃グループの実態に迫る」ことを目標とした。キーワードとなるのは「反証可能性」と「定量性」で、「攻撃者の現状を可能な限り定量的に表わし、反証可能な洞察を提示し、市場やセキュリティ担当者の客観的な判断に貢献する」
情報源となったのは「60以上のランサムウェア攻撃者グループのリークサイト(データ公開のためのウェブサイト)を監視し、2019年11月以降に収集したデータから得た被害組織のプロファイル」「過去10年間にわたる約15万件の身代金支払いに使われたアドレスと、約20万件の仮想通貨の取引情報から得た身代金に関わる傾向」「ランサムウェア攻撃者と被害者の間のチャットログを入手して得られた攻撃者の交渉方法」などだ。
分析の結果、「被害企業の75%は従業員500人以下の中小中堅企業」「暴露型ランサムウェアの被害企業のうち、身代金支払いに応じたのは平均16%」「攻撃手法としては、定型化されたNデイ脆弱性攻撃(既に修正プログラムが公開されている脆弱性への攻撃)で内部探索を実行」といった知見が得られたという。なお、身代金支払いに応じたかどうかはランサムウェア攻撃者のリークサイトを監視した結果、「ある企業の内部情報が暴露され、その後情報が取り下げられた」という一連の動きが観測された場合に、被害企業が身代金支払いに応じたことで情報の暴露が止まったものと判断したという。
被害企業に関する分析では、主要な攻撃者グループである「Conti」と「LockBit」で地域的な傾向が異なっていた。Contiは93%が北米と欧州に集中する一方、LockBitはより広く分散している傾向だ。また、いずれも地域別の国内総生産(GDP)との相関を見ると、アジア太平洋地域がGDPの大きさの割に被害企業が少ない傾向だった。
石原氏はこの結果について「言語の壁」が原因ではないかと指摘。盗むべき情報を探すなどの活動が言語の壁によって上手くいかない可能性があるとした。また、リークサイトで情報が暴露された企業の規模別の分布では200人以下の企業が56%、500人以下だと75%に達したという。インシデントとして報道された際には世界的な大企業の事例に注目が集まりがちだが、社数としては中堅中小企業の方が圧倒的に多いため、被害数としては中堅中小企業が大半を占めることになる。なお、業種別に見た場合にはあまり偏りは見られなかったという。
身代金支払いに関しては、データソースとなった2019年11月~2022年6月の期間にリークサイトに暴露情報が掲載された企業/組織は1716件、その後情報が削除されたのは274件、支払率としては約16%だった。ただし、被害企業の組織属性を詳細に見ていくと、対応の差が顕著に表われる点が興味深い。例えば、地域別では欧州企業が身代金支払いに応じる比率が低い一方、アフリカは顕著に高いといった差があった。特に南アフリカとペルーでは支払率が高かった。
また、国ごとに産業別で見た場合には米国では製造業が顕著に低い一方で金融/法律は高いといった違いも見られた。身代金の要求額では、攻撃者側が企業情報をあらかじめ調べた上で支払可能な金額を算定して要求してくるといい、相場としては年間経常収益額(ARP)の5%が目安だという。
攻撃手法に関しては攻撃者グループによって傾向が異なるものと想像されるが、Contiに関して分析した結果としては、82.4%がMicrosoft製品の脆弱性を悪用したもので、特に権限昇格とコード実行を狙ってくるという。ある程度攻撃手法として確立されたものを広範に展開して成果を挙げているという現状が分かることから、既知の脆弱性に確実に対応していくことの重要性が改めて確認できた形だ。
石原氏は今後の見通しとして、「中小中堅企業への攻撃が増える」と「身代金以外の収益源確保にシフトする」を挙げた。今後身代金支払率や攻撃成功率が大きく向上するとは期待できないことから、攻撃者グループが収益を増やすためには攻撃実行数を増やしていくしかなく、さらに身代金支払いに応じないことを想定して窃取した情報を転売するなどの手法で収益確保を狙うようになるという。こうした分析を踏まえて中小中堅企業が取り組むべき対策として「サプライチェーンセキュリティ」と「ゼロトラスト」を挙げた。
