5月に発生したColonial Pipeline社に対するDarkSideランサムウェア攻撃により注目が集まったことが、ランサムウェア脅威の状況を変化させるきっかけとなりました。最も重要な変化の1つは、デジタル犯罪フォーラムであるXSSが、メンバーに対してランサムウェアに関するトピックの投稿を禁止すると発表したことです。Bleeping Computerの報道によれば、その後間を置くことなく、Exploitフォーラムも同様の措置を取ったとのことです。

このようなポリシーの変更を受けて、ランサムウェアの攻撃者は、アフィリエイトを募集することから、侵害されたネットワークへのアクセス権を闇取引で販売する初期アクセスブローカー達とのつながりを持つことへと関心を移すようになりました。研究者によると、フォーラムの複数のユーザーが、VPN、Citrix、Remote Desktop Protocol（RDP）に関する支援や企業ネットワークへアクセスするための他の手段に関する支援を求め始めているようです。このような行為は、ランサムウェアギャングがアクセス権を購入し、それを悪用して脆弱な組織を自力で攻撃するというアイデアに基づいています。

インサイダー脅威への移行

当然ながら、初期アクセスブローカーを利用するにはコストがかかるほか、ランサムウェアグループは自らの活動を遂行する上で第3者に依存することを余儀なくされます。そのため、ランサムウェアギャングの中には、初期アクセスブローカーを完全に回避しようとする者も現れています。

LockBit2.0を事例として挙げてみましょう。8月上旬、Bleeping Computerの報道によると、アップデートされたランサムウェアのサンプルによって、感染先したコンピューターのWindowsの壁紙が内部協力者を募集するための募集要項に置き換えられていました。この悪意のある壁紙には、企業の内部協力者が、組織のRDPやVPNへのアクセス権や、企業の電子メールのクレデンシャル情報を攻撃者に提供した場合、「数百万ドル」を受け取ることができると書かれていました。

さらに、この募集要項には、ランサムウェアの攻撃者が内部協力者に「ウイルス」を送信した後、同ウイルスを内部協力者のローカルコンピューター上で実行することで、攻撃者がより大きな企業ネットワークへのアクセス権を取得できるようになるとも書かれていました。注意すべき点は、企業の内部協力者を買収しようとしているのは、LockBit2.0の背後にいる人物だけではないことです。

Bleeping Computerの報道から数週間後、Threatpostの報道によると、あるセキュリティ企業が、ナイジェリアの脅威アクターから顧客に送られた複数の電子メールをブロックしました。メールの内容は、受信者が自社のコンピューターやWindowsサーバーにDemonWareランサムウェアをインストールすることに協力するならば、予想される250万ドルの身代金支払い額の40％を提供するというものでした。

被害者との交渉

前述したように、今や多くのランサムウェア攻撃者は、内部協力者を標的として、ランサムウェアがデータの暗号化を行う前に、被害者のデータを窃取するために必要となるネットワークへのアクセス権を攻撃者に提供するよう求めると同時に、二重脅迫の一環として、被害者が身代金を支払わない場合には、そのデータを公開するという脅しをかけています。しかし、攻撃者グループの中には、特に感染後に被害者が対応を拒否した場合、それ以上のことを行おうとする者もいます。

たとえば、2021年3月、Bleeping Computerの報道によると、Clopランサムウェアギャングが、被害者から身代金を受け取っていないことを確認した後、その被害者の顧客にメールを送信した事例がありました。このメールには、主要な標的が攻撃者の要求に従わなかった場合、攻撃者は、その標的企業の顧客のデータも公開する予定であると書かれていました。さらに、このメールは、「この会社に電話をかけるかメールを送ることで、あなたのプライバシーを守るように要求してください」と同メールの受信者に促しており、主要な標的企業に身代金を支払うよう圧力をかけました。

さらに攻撃的なアプローチを採用しているグループもあります。Security Magazineの報道によると、2020年後半に、Avaddonランサムウェアギャングおよびその他のグループが、要求に従わない被害者に対して分散型サービス拒否（DDoS）攻撃を仕掛けたことで話題となりました。この攻撃の狙いとしては、被害を受けた企業が圧力に屈して交渉に応じるまで、標的となった企業のWebサイトやネットワーク、およびその他の重要な業務サービスを利用できなくするためです。

ランサムウェアから身を守るには

上述したような状況を鑑みると、企業や組織にとって、ランサムウェアとその進化し続ける戦術から身を守ることの必要性が浮き彫りとなります。これまで、ランサムウェアギャングは、企業の内部関係者の協力を求めること、被害者の顧客に連絡を取ることや、DDoS攻撃を仕掛けたりすることに通常はありませんでした。セキュリティ企業がそれらの攻撃を特定する前に、複数ではないにしても、ある１つのキャンペーン攻撃の中で初めて登場した新しい手法です。その結果、新しい手口に気付くことなく、自分自身を守る上でさらに弱い立場に追い込まれてしまった企業や組織も出てきました。

組織にとって最良のランサムウェア対策とは、ランサムウェア感染の防止に注力することです。これを実現するには、企業や組織には、ランサムウェア攻撃を初期段階で検知および防御できるようにする、微妙な振る舞いの痕跡（IOB：Indicators of Behavior）に関する可視性が必要となります。Cybereasonはランサムウェアとの戦いにおいて無敗を誇っています。これは、Cybereasonが次世代アンチウイルス製品「Cybereason NGAV」、EDR製品「Cybereason EDR」含め次のような多層型の防御、検知、対応機能を備えているためです。

• アンチランサムウェア機能 – 防御機能とおとり技術：振舞い検知と独自のおとり技術を組み合わせ、きわめて複雑な構造を有するランサムウェアの脅威を検知し、重要なデータが暗号化される前にランサムウェアの動きを封じます。
• インテリジェンスベースのアンチウイルス：過去に検知された攻撃に基づく、増え続ける脅威インテリジェンスのプールを活用することで、既知のランサムウェアのバリアントをブロックします。
• NGAV：機械学習を活用するCybereason NGAVでは、コード内に存在する悪意のあるコンポーネントを特定し、変異した未知のランサムウェアが実行されるのを防ぎます。
• ファイルレスランサムウェア対策機能：従来のアンチウイルスツールでは検知できない、MBRベースのファイルレスランサムウェアを利用した攻撃を無力化します。
• エンドポイントコントロール：セキュリティポリシーの管理、デバイスの制御の維持、パーソナルファイアウォールの実装、固定デバイスとモバイルデバイスの両方を含むさまざまなタイプのデバイスを対象としたディスク全体の暗号化を通じ、サイバー攻撃に対するエンドポイントの耐性を強化します。
• ドキュメントに隠された脅威を振る舞いで検知：非常に一般的なビジネスドキュメントのフォーマットに隠されたランサムウェアをCybereasonは検知し、その攻撃を防ぎます。このようなランサムウェアには、悪意のあるマクロや他のステルス型攻撃ベクターを悪用するランサムウェアなどがあります。

【グローバル調査結果】ランサムウェア 〜ビジネスにもたらす真のコスト〜

サイバーリーズンは、ランサムウェアがビジネスに及ぼす影響に関するグローバル調査を2021年4月に実施しました。 本レポートでは、主な業種におけるランサムウェア攻撃のビジネスへの影響を把握した上で、ランサムウェア対策アプローチを改善するために活用できるデータを紹介しています。 https:https://www.cybereason.co.jp/product-documents/survey-report/6368/