二重恐喝ランサムウェアの流行とサイバーインテリジェンスの重要性

ランサムウェア攻撃を受け、金銭支払いに応じている企業が一定数存在することを窺わせる一方で、攻撃を想定し、適切なタイミングでのバックアップ取得、復旧計画の整備を行っている企業では被害を抑えることができ、金銭支払いに応じる必要性は薄れる。恐らく、ランサムウェア対策が進み、支払いに応じない企業が増えたことで、次に攻撃者が編み出したのが「二重恐喝ランサムウェア」であろう。従来の暗号化に加えて、内部データの窃取を行い、支払に応じなければデータを公開すると脅すことからその名がついている。二重恐喝ランサムウェアによる攻撃のステップは以下のとおりである。

1. ファイルの暗号化前に、社内からインターネット経由でファイルを転送（窃取）
2. ファイルの暗号化を実施
3.  身代金を要求   （第一弾の恐喝）
4. 支払いに応じない場合は、サイバー犯罪者が運営しているサイトで社内から転送した秘密情報を含むファイルを段階的に公開すると恐喝  （第二弾の恐喝）
5. 社外秘を含むファイルを5％, 10%という細かい刻みで公開

現在では、さまざまなランサムウェアが二重恐喝手法を取り入れており、そのなかには窃取データ公開用サイトを開設しているものもある。二重恐喝ランサムウェアのうち、恐らく最も広く攻撃を行っている Mazeの窃取データ公開サイトを見ると「New Clients」として掲載されているのは、最近ファイルを公開された企業・団体であり、著名な企業も挙がっている。ただし、これらは攻撃者による一方的な主張であり、虚偽・誇張が含まれる可能性がある。また、最近、大手自動車会社で発生し、生産ラインにも影響が出たシステム障害では「EKANS」と呼ばれるランサムウェアが使用されたと報道されているが、このEKANSも最近二重恐喝手法を取り入れている。

デロイト トーマツのCIC (Cyber Intelligence Center)のインテリジェンスチームでは昨年11月から、これら二重恐喝ランサムウェアのデータ公開サイトをモニタリングし、被害状況のデータを収集・分析している。下のグラフは2020年2月から2020年6月末までの業種別および地域別の被害件数で、業種では「製造業」、地域では「北米」の被害が圧倒的に多く、このトレンドはここ数ヶ月変わっていない。前述の自動車会社の事例も「製造業・北米」という二重恐喝ランサムウェアの攻撃トレンドからすると、決して唐突なことではない。

サイバー攻撃者はどういった攻撃が成立しやすいかに加え、どういったところに攻撃するとより多くのメリットを得られるかでターゲットや手法を変えていく。このため、企業は世の中に数多あるサイバー脅威に関連する情報から自社の属する業界、さらに自社まで焦点を絞り、どのようなリスクがあるのかを分析していくことが肝要だ。特にCovid-19の影響で在宅環境を狙ったサイバー攻撃の増加が観測されていたり、新たな手法の台頭が予測されていたりする状況下で、事前に具体的な対策を打つためにも自社・自業種に特化したサイバー脅威情報（サイバーインテリジェンス）は益々重要になると考える。

関連リンク
サイバーインテリジェンスサービス

> D-nnovation Perspectives その他の記事はこちら