今は身代金を支払うことにより、ランサムウェアの被害者が必ずしもデータを回復できるわけではないことが明らかになっています。また、身代金を支払ったからといって、２回目の攻撃がなくなることもありません。当社のランサムウェアレポートによると、要求された身代金を支払うことを選択した組織の80％が、結局は再度攻撃を受けています。これらの被害者の半数近く（46％）が、同じ攻撃者により再び感染させられたと考えており、34％は他の誰かの仕業かもしれないと考えています。

最新の調査結果によると、複数のランサムウェアアクターが協力し合うことで、利益を最大化しようとしている様子が見て取れます。しかし、このことは次のような疑問を生みます。複数のランサムウェアグループ間の協力関係はどのようなものでしょうか？また、ランサムウェア攻撃者には、複数の協力手段があるのでしょうか？

複数のランサムウェアグループがカルテルを形成

このような共同作業には、他の攻撃グループとカルテルを形成することを選ぶランサムウェア攻撃者が関与する場合もあります。たとえば、2020年6月に、あるランサムウェアカルテルが形成されました。当時、Bleeping Computerは、ランサムウェアギャングであるMazeが、国際的な建築会社の情報とファイルを彼らのデータリークサイトで公開したと報じました。しかし、このデータはMazeによる攻撃の結果流出したものではなく、LockBitグループが関与した攻撃により窃取されたものだったのです。

Bleeping Computerは、何が起こっているのかを詳しく調べるために、Mazeのオペレーターと接触しました。その結果、Mazeのオペレーターは、自分たちはLockBitと協力することで、データリークサイトと攻撃の経験を共有していると答えました。また、Mazeのオペレーターは、同グループが他のランサムウェア攻撃グループを自分たちのカルテルに取り込むために活動していることも示唆しました。

この証言を裏付けるかのように、最初の報道から1週間後、Bleeping Computer社は、Mazeのデータリークサイトに、Ragnar Lockerグループによる攻撃の被害者の情報が公開されたと報じました。

複数のランサムウェアによる「二重暗号化」

また、複数の種類のランサムウェアを組み合わせて1つの攻撃を行うことも可能です。このような攻撃を可能にするものとして、「二重暗号化」と呼ばれる新しい手法が挙げられます。Wired誌の報道によれば、この手口には、2つの独立した攻撃者が1人の被害者を同時に攻撃するケースと、1つのアクターが複数の種類のランサムウェアを1人の被害者に感染させるケースがあります。

これらのシナリオにおいて、二重暗号化は次に示す2つの形態のうちどちらかを取ります。1つ目は、「レイヤード型」の暗号化と呼ばれるものであり、これは、攻撃者が特定の種類のランサムウェアを使って被害者のデータを暗号化した後、今度は別のマルウェアのペイロードを使って被害者のデータを再度暗号化するという手口です。2つ目は、「サイドバイサイド型」の暗号化と呼ばれるものであり、これは、攻撃者が特定の種類のランサムウェアを使って被害者のデータの「一部」を暗号化した後、別の種類のランサムウェアを使って残りの情報を暗号化するという手口です。

複数のランサムウェアグループによる共同作業がセキュリティコミュニティにとって大きな脅威となる理由

ランサムウェアギャングは、単独で活動する場合でも十分に悪質です。複数のランサムウェアギャングが共同で活動するとなると、それらは互いに情報をやり取りすることで、さらに悪質なものとなります。それがまさに、Mazeグループがカルテルを形成した場合に起こったことです。Bleeping Computerが2020年9月に報じたところによると、LockBitはMazeのカルテルに参加した後、最終的に独自のデータリークサイトを立ち上げることにしたとのことです。カルテルに参加したという経験が、LockBitにとって、二重脅迫を推進する上で役に立ったのは間違いありません。

二重暗号化において、複数の種類のランサムウェアが関与している場合（レイヤード型の暗号化の場合）には、復旧が非常に困難なものとなります。サイドバイサイド型の暗号化の場合、被害者はどのシステムがどのランサムウェアに感染したのかを把握した上で、必要な暗号解除ソフトウェアを導入する必要があります。そうしないと、被害者はデータを正常に復元できなくなります。レイヤード型の暗号化の場合にも同様の問題が起こりますが、サイドバイサイド型の暗号化の場合と異なるのは、どの暗号解除ソフトウェアを「最初に」導入するかを決める必要があることです。

ランサムウェア感染を防ぐことが最も重要

組織にとって最良のランサムウェア対策とは、ランサムウェア感染の防止に注力することです。これを実現するには、企業や組織には、ランサムウェア攻撃を初期段階で検知および防御できるようにする、微妙な振る舞いの痕跡（IOB：Indicators of Behavior）に関する可視性が必要となります。Cybereasonはランサムウェアとの戦いにおいて無敗を誇っています。これは、Cybereasonが次世代アンチウイルス製品「Cybereason NGAV」、EDR製品「Cybereason EDR」含め次のような多層型の防御、検知、対応機能を備えているためです。

• アンチランサムウェア機能 – 防御機能とおとり技術：振舞い検知と独自のおとり技術を組み合わせ、きわめて複雑な構造を有するランサムウェアの脅威を検知し、重要なデータが暗号化される前にランサムウェアの動きを封じます。
• インテリジェンスベースのアンチウイルス：過去に検知された攻撃に基づく、増え続ける脅威インテリジェンスのプールを活用することで、既知のランサムウェアのバリアントをブロックします。
• NGAV：機械学習を活用するCybereason NGAVでは、コード内に存在する悪意のあるコンポーネントを特定し、変異した未知のランサムウェアが実行されるのを防ぎます。
• ファイルレスランサムウェア対策機能：従来のアンチウイルスツールでは検知できない、MBRベースのファイルレスランサムウェアを利用した攻撃を無力化します。
• エンドポイントコントロール：セキュリティポリシーの管理、デバイスの制御の維持、パーソナルファイアウォールの実装、固定デバイスとモバイルデバイスの両方を含むさまざまなタイプのデバイスを対象としたディスク全体の暗号化を通じ、サイバー攻撃に対するエンドポイントの耐性を強化します。
• ドキュメントに隠された脅威を振る舞いで検知：非常に一般的なビジネスドキュメントのフォーマットに隠されたランサムウェアをCybereasonは検知し、その攻撃を防ぎます。このようなランサムウェアには、悪意のあるマクロや他のステルス型攻撃ベクターを悪用するランサムウェアなどがあります。

【グローバル調査結果】ランサムウェア 〜ビジネスにもたらす真のコスト〜

サイバーリーズンは、ランサムウェアがビジネスに及ぼす影響に関するグローバル調査を2021年4月に実施しました。 本レポートでは、主な業種におけるランサムウェア攻撃のビジネスへの影響を把握した上で、ランサムウェア対策アプローチを改善するために活用できるデータを紹介しています。 https:https://www.cybereason.co.jp/product-documents/survey-report/6368/