脅威の調査

ランサムウェアの縄張り争い: その勝者と敗者

2022 年版ソフォス脅威レポートの公開に合わせて今年 1 年を振り返り、変化するランサムウェアの状況に関する個人的考察を行いました。
作成者
2021、 11月 9
Threat Research Conti Maze Raas REvil ソフォス脅威レポート ランサムウェア 特集 脅威リサーチ

** 本記事は、Winners and losers in the ransomware turf wars の翻訳です。最新の情報は英語記事をご覧ください。**

当然のことながら、サイバーセキュリティ関連のニュースのほとんどは、攻撃者の行動や、被害を最大化するために攻撃者がどのように進歩したり変化したりしているかに焦点を当てています。これは、防御側が日常的に把握しておくべき重要な情報でであり、最新の 2022 年版ソフォス脅威レポートでも詳しく取り上げられていますが、それと同時に私たちがどこまで進歩しているかを振り返ることも重要です。

年末は、悪者を倒すための努力が最大の効果を発揮する時期のように感じます。

最近では、BlackMatter ランサムウェアが「プロジェクト閉鎖」を発表しました。これはおそらく、ユーロポール (欧州刑事警察機構) などによる最近の逮捕に関連して、BlackMatter がチームメンバーの何人かを失ったことを意味しています。

しかし、このような話は以前にもあり、「閉鎖」がランサムウェアの終わりを意味することはほとんどありません。サービスとしてのランサムウェア (RaaS) とは単にサービスのことです。サービスを購入して実際にハッキングを行うアフィリエイトは、新たに提携するネットワークを探して、衰えることなく犯罪を続けます。一方で「閉鎖」したランサムウェアのオペレーターや開発者は、新たな名前で再登場する可能性もあります (これについては後述します)。

閉鎖のお知らせ

BlackMatter の発表は、同じく RaaS を提供するグループである REvil が、2021 年 10 月 18 日に正式に閉鎖したというニュースに続いて行われました。

REvil のニュースは典型的なサイバードラマです。「Unknown」という名前の共同設立者の 1 人が失踪し、彼が逮捕されたのか、それとも「持ち逃げ」 (借金や債務を一切払わずに全財産を奪って逃げること) されたのか誰にもわからないようですが、大方の予想は後者です。

もう 1 人の共同設立者である「0_neday」は、3 か月の休止期間を経てサービスを復活させようとしていたようですが、盗んだデータを流出させるために悪用していた闇サイトが米国政府に差し押さえられたことで、不安になり逃げてしまったと思われます。自慢好きなグループとして知られていた REvil ですが、弱々しく消えてしまったようです。

REvil は、2021 年前半に最も活発に活動したランサムウェアグループの 1 つでしたが、それ以前に最も盛んに活動していたランサムウェアグループ「Maze」の攻撃が最後に確認されたのは、わずか 1 年前のことでした。

Maze は 2020 年 11 月 1 日に解散しました。退屈なレポートとしか言いようがないこの声明は、「カルテル」が正式に閉鎖されたことを宣言しています。声明は FAQ 形式になっており、機密情報を預かる脆弱な企業への攻撃がいかに簡単か、世界がいかに「デジタル収容所化 (デジタルなしでは生きていけない世界化)」しているかを訴え、自分たちの犯罪の動機などを説明しようとしています。

Maze は、単に情報を暗号化して身代金を要求するだけでなく、恐喝目的で情報を盗み出す初めてのグループとして、ランサムウェア脅威の傾向を変えました。

Maze は、恐喝を試みた別の犯罪組織 Shadow Kill Hackers から着想を得たと思われます。2019 年 10 月下旬、Shadow Kill Hackers はヨハネスブルグ市内のネットワークに侵入し、住民の個人情報を盗み出し、その情報を公にしない代わりに身代金を要求しました。

絶えず入れ替わるランサムウェア

サイバー犯罪との戦いは、2021 年を含めて毎年第 4 四半期には、かなりの進歩を遂げています。起訴と犯人の特定のペースが、ようやく明確に違いがわかるレベルまで上がってきました。しかし、まだ始まったばかりなので油断はできません。以下に示すように、1 つのランサムウェアグループが表舞台から去ると、すぐに別のグループが現れるからです。

たとえば昨年の 2021 年版ソフォス脅威レポートでは、Maze ランサムウェアが被害者からの支払いを増やすために、恐喝を利用した戦術を洗練させたのではないかと推測されていました。

半年後、Maze はほぼ忘れ去られ、セキュリティ業界の研究は、REvil がどのようにしてテクニックをさらに進化させたかに移っていました。いつの間にか REvil も過去のものとなり、現在は Conti ランサムウェアなどが主流となっています。

新しいランサムウェアか否か

実際のところ、これらのランサムウェアに何か違いはあるのでしょうか。どうやらサイバー犯罪は違いを嫌うようです。ある犯罪者が新しい道を切り開こうとすると、別の犯罪者は喜んでそのアイデアを盗み、さらに上を目指します。

毎年、一見異なる攻撃組織が罪のない被害者の身代金を要求していますが、奇妙なことに、その多くは過去の組織と酷似しています。

彼らが同一人物なのか、それとも単に野心的な新進気鋭の便乗主義者なのかはどうでもいいことです。結局のところ、彼らは身代金を奪うことを目的としており、その行動はますます大胆になってきています。セキュリティ業界は進歩していますが、プロトコルと防御策を策定することの重要性は、ランサムウェアの標的となりうるすべての人々に届いていません。

今後について

ランサムウェアを撲滅するための主な方法としては、身代金を支払わないこと、他者のセキュリティ上の失敗から学ぶこと、警戒心を高めてセキュリティプロトコルをより強固にすることで攻撃者のハードルを上げ続けること、などが挙げられます。侵入の難易度が上がればコストも上がります。それにより攻撃者の数が減り、攻撃の影響を軽減するための行動がより効果的になります。

近年、私たちは驚くべき進歩を遂げました。ブラウザのプラグインを削除し、ブラウザのパッチを自動化し、インターネット通信の 95% 近くを暗号化しました。これにより、現代生活のほぼすべての面で、平均的なインターネットユーザーのリスクが大幅に減少しました。

ソフォスは、2022 年版ソフォス脅威レポートによってこの傾向がさらに強まることを願っています。ソフォスのチームは、世界で最も熱心で情熱的なセキュリティ研究者で構成されており、私たちに危害を加えようとする者が用いる重要な傾向、変化、および戦術を特定するために数か月を費やしました。

ソフォスと皆様が協力すれば大きな変化が生まれることはすでに明らかです。2022 年を近年最も安全な 1 年にしていきましょう。

著者について

Chester Wisniewski is Director, Global Field CTO at next-generation security leader Sophos. With more than 25 years of security experience, his interest in security and privacy first peaked while learning to hack from bulletin board text files in the 1980s, and has since been a lifelong pursuit. 

Chester works with Sophos X-Ops researchers around the world to understand the latest trends, research and criminal behaviors. This perspective helps advance the industry's understanding of evolving threats, attacker behaviors and effective security defenses. Having worked in product management and sales engineering roles earlier in his career, this knowledge enables him to help organizations design enterprise-scale defense strategies and consult on security planning with some of the largest global brands.

Based in Vancouver, Chester regularly speaks at industry events, including RSA Conference, Virus Bulletin, Security BSides (Vancouver, London, Wales, Perth, Austin, Detroit, Los Angeles, Boston, and Calgary) and others. He’s widely recognized as one of the industry’s top security researchers and is regularly consulted by press, appearing on BBC News, ABC, NBC, Bloomberg, Washington Post, CBC, NPR, and more.

When not busy fighting cybercrime, Chester spends his free time cooking, cycling, and mentoring new entrants to the security field through his volunteer work with InfoSec BC. Chester is available on Mastodon (securitycafe.ca/@chetwisniewski).

For press inquiries, email chesterw [AT] sophos [.] com.

関連記事を読む

コメントを残す

Your email address will not be published. Required fields are marked *