フィンランドに拠点を置くセキュリティ企業WithSecureの日本法人ウィズセキュアは11月16日、2023年第1〜3四半期のランサムウェア攻撃に関する自社の調査結果を発表した。それに先立つ10日、説明会を開催した。
Mikko Hypponen氏
WithSecureで最高リサーチ責任者(CRO)を務めるMikko Hypponen氏は、7月に発売された著書「『インターネットの敵』とは誰か?」に触れ、「本日のトピックは、インターネットの敵とは誰かについて。今日、最も大きな攻撃源は、ランサムウェア犯罪集団」と話す。
現在、ランサムウェア犯罪集団のプロフェッショナル化が進んでいると同氏。オフィスを構え、人を雇い、マルウェアの開発、再販、利用も個々の専門的なグループが手がける分業制になっている。攻撃者がより多くの収益を得ることでプロ集団として成熟化しており、直近の例としては、「LockBit」による中国工商銀行(ICBC)への攻撃があるとHypponen氏は続ける。
島田秋雄氏
このようなランサムウェア犯罪集団の企業化は、防御側にとって不利な状況だとウィズセキュアでサイバーセキュリティ技術本部 本部長を務める島田秋雄氏は指摘する。
ランサムウェアの活動は、2021年から2022年にかけて、以前と比べてわずかに減少したが、2023年には急増したことが調査で明らかになっている。それらのいくつかはLockBitや「Alphv」「Clop」といった既存の組織に関連しているが、全体の25%は新たなランサムウェアの登場に起因しているという。
新しいランサムウェアが登場している原因の一つとして、コードの流出が挙げられる。「Conti」では2022年2〜3月にかけて、元アフィリエイト(マルウェアの利用者)により、ソースコードおよび極秘情報が流出した。「LockBit 3.0」では2022年9月、不満を持つデベロッパーによりソースコードが流出している。「Babuk」では2021年9月、不満を持つアフィリエイトにより、ソースコードが流出したという。
流出したソースコードを使うことで新たな組織が攻撃を簡単かつ短時間に開始できるようになった。ただし、リサイクルされた古いランサムウェアだからといって、危険が少ないと考えるのは間違いだという。ランサムウェアで重要なのはデータ暗号化の速度であるため、より高速なエンクリプターがリサイクルされているとHypponen氏。
攻撃は、企業のシステムにある脆弱(ぜいじゃく)性を悪用した侵入とランサムウェアのシステム内での展開という2つが別々のグループによって実行される。その際、ソースコードが再利用されているかは無関係で、目的が達成できれば成功と見なされると同氏はいう。
新しいランサムウェアである「8Base」は、2023年5月に活動が開始されており、「Phobos locker」を大幅に改良したものが使用されている。初期アクセスには、初期アクセスブローカー(IAB)や「SmokeLoader」を利用。X(旧Twitter)上で活発な動きを見せていたが、アカウントが最近凍結され、情報の流出も既に起こっているという。
「Akira」は、2023年4月に活動が開始されている。コードの多くは独自のものだが、プレイブック(手順書)にはContiとの共通点が見られる。また、Contiのアフィリエイトが以前使用していた暗号ウォレットが再利用されているという共通点もある。初期アクセスにはフィッシング、IAB、VPN/RDP、ブルートフォースを利用。「Contiがやったことが上手くいっていたなら、それを基にしたマルウェアを作ればいい」という考えで、コストを抑えながら効率良く稼ごうとしていると島田氏。
他に、2023年7月に活動を開始した「Cactus」、9月に活動を開始した「3AM」などがあり、29の新型ランサムウェアが観測されているという。2023年後半から活動開始が多くなっているが、その理由について、2022年のソースコード流出を受け、金銭を得られるよう準備を整える時間が必要だったためという考えを島田氏は示す。これらの新しいランサムウェアの多くは短命に終わっているという。