ランサムウェアの脅威が指摘されてから長く、未だに衰えを知らない。その手法は単に洗練されているだけでなく、もはや国家という枠組みを越えて対処するレベルに至っている。では、そうしたランサムウェアの変遷や脅威をセキュリティの権威はどのように見ているのだろうか。
ミッコ・ヒッポネンが振り返る、ランサムウェアの脅威
2024年5月27日、WithSecureは「Sphere 24」開催にともない、記者向けのグループインタビューを実施。「ランサムウェアの現状について、過去10年と次の10年」と題して、WithSecure Chief Research Officer, Mikko Hypponen(ミッコ・ヒッポネン)氏により解説が行われた。
「ランサムウェアは攻撃の種類が1番多く、多くの顧客が直面している脅威だ」と切り出すと、LEGALIZEやPHANTOMなど、“MS-DOS時代”にロシアで作成されたマルウェアについて言及。当時は種類が少なく、1人で解析することができたと語る。ユニークなマルウェアがいくつもある中で、特に注目すべきは史上初のランサムウェアである「AIDS infomation(トロイの木馬)」だとヒッポネン氏。同マルウェアが出現した1989年当時は、まだフロッピーディスクなどの物理的媒体を介して感染させるものが主流であり、シェアウェアに潜ませて暗号化して金銭を要求するものだった。
[画像クリックで拡大]
その後、ランサムウェアはしばらく息を潜めていたが、2013年に「Cryptolocker」が出現する。従来のランサムウェアと大きく異なるのがビットコインでの身代金の要求だ。2010年頃に登場したビットコインを用いることで送金経路の特定が困難になるため、Cryptolocker以降の犯罪者グループに好まれて使われていくことになる。また、身代金の支払いについても「すぐに支払えば$600だが、10日後に支払う場合は$1,000になる」など、その方法自体も巧妙化していった。たとえば「Popcorn Time」のように、身代金を支払えない場合には2名に感染のためのリンクを踏ませることで複合鍵を提供すると、ユーザーに選択肢を与えることでネズミ算式に感染者を増やすことを狙うものもあったという。
「まさに『現代的なランサムウェア』へと移り変わっていったが、今日におけるランサムウェア被害と最も異なることは、一般消費者をターゲットとしていたことだ。ここから犯罪者グループは、企業を標的とすることで『Cybercrime Unicorn』と呼ぶべき時代が始まった」(ヒッポネン氏)
WithSecure Chief Research Officer, Mikko Hypponen(ミッコ・ヒッポネン)氏
LockBitやALPHV、Cl0pのようにユニコーン企業と同等の利益を上げる犯罪者グループが増えていき、ビットコインによる資産保有も一般的になっていくと、Webサイトを立ち上げたり、ロゴを設けたりとブランドイメージを形成するような動きも見受けられるようになる。これは、実世界の犯罪者グループ「HELLS ANGELS」などと同様だとミッコ氏は指摘。また、身代金さえ支払えばファイルが復元されるという評判を築くために、テクニカルサポートセンターを運用するなど、より組織化を進める動きも顕著になったという。
こうした犯罪者グループは金銭を目的とする一方、「Wannacry」や「NotPetya」はそれぞれ北朝鮮政府とロシア政府による関与が疑われており、国家を後ろ盾とした犯罪者グループによるランサムウェア被害も甚大化した。ヒッポネン氏は、「NotPetyaは、ウクライナ政府への足掛かりとするためのサイバー攻撃だ。ウクライナ内部にだけ被害を及ぼすつもりが取引先を介して世界中に広まってしまい、史上最大のサイバー攻撃となった」と説明する。
また、GandCrabによる『RaaS(Ransomware as a Service)』と呼ばれるランサムウェア攻撃の分業化が進んでいくと、Mazeなどが窃取したデータを公開するためのリークサイトを設立。これらは2024年現在では攻撃者グループにおいて一般化しており、自社の情報が掲載されることを嫌う企業にとって身代金を支払う大きな動機にもなっている。大手企業を中心に数千万ユーロ規模にも及ぶような被害も見受けられ、コロニアル・パイプライン社への攻撃のように重要インフラを標的とした脅威も高まると、各国政府が本格的な摘発に乗り出していく。たとえば、テロリスト向けに適用していた報奨金プログラムをランサムウェア犯罪者グループにも応用することで、実際に米FBIによりLockBit幹部への指名手配がかけられている。しかしながら、ロシア警察に捕まる可能性が低く、米国へ引き渡せられる可能性もゼロに近いということを指名手配犯が理解しており、一定のリスクを背負わせるに留まっていることも事実だという。
では、これからの10年でランサムウェアを取り巻く状況は変わるのか。ヒッポネン氏は「企業を狙う犯罪者グループはより巧妙化し、被害者の数も増えていくだろう。我々はまだ氷山の一角しか見ていないのかもしれない」とコメントする。
[画像クリックで拡大]
犯罪者グループがAIへの投資を加速させるようになっていく中、あらためて認証の高度化やバックアップの取得、パッチの適用などを実施することはもちろん、特に“検知”に注力するべきだともアドバイスをくれた。
著名ホワイトハッカーが気にかけるトピックは……
WithSecure「Sphere 24」に登壇した、The Friendly HackerのKeren Elazari(ケレン・エラザリ)氏もランサムウェアに触れて講演を行った。同氏は、映画『Hackers』(邦題:サイバーネット)に影響を受けてホワイトハッカーとなり、TEDやDEF CONでの講演経験もある世界的なセキュリティアナリストだ。
冒頭、エラザリ氏は「RaaSによる被害は大きく、昨年だけでも10億ドルもの取り引きが行われてきたとの試算もあるなど、(犯罪として)成功している」とランサムウェア被害規模の大きさに言及。数多の犯罪者グループが存在する中、LockBitの幹部に1000万ドルもの報奨金がかけられていることもショッキングだと話す。
2024年2月にはNCA(英国家犯罪対策庁)や日本の警察庁などが協力してLockBitをテイクダウンしたが、すぐに復活しており、RaaSを通したアフィリエイターなどによる被害も発生している。「LockBitのようなランサムウェアによる被害は無くならないという悲観的な見方もある中、日本の警察庁から復号化ツールが提供されたような明るいニュースもある」とエラザリ氏。とはいえ、LockBitと並べられることの多い、ALPHV(BlackCat)によるランサムウェアがMGMリゾートへの攻撃に成功した際には、Intermittent Encryptionと呼ばれる断片的な暗号化手法が用いられるなど、より検知自体が難しくなっている現況もあると指摘する。
また、このときの主体はZ世代のハッカー集団であるScattered Spiderだが、ロシア由来のBlackCatとアメリカに拠点を置くScattered Spiderが協力したような構図になっており、「このような組み合わせは、これから増えていくだろう」とエラザリ氏は警鐘を鳴らす。
なお、BlackCatはアフィリエイトに対しても詐欺を働いている点がユニークだとして、2024年3月にリークサイト上にFBIなどから差し押さえられたとする偽物のバナーを掲示する例も紹介。これは活動を終了するとして、身代金をアフェリエイトに分配しなかったものだ。このような行為はある種のブランド毀損のようなものが起きてしまうため、新たなグループとして活動をしているかもしれないとも指摘する。
その後、Cl0pによるMOVEitというソフトウェアの脆弱性をついた攻撃の成功例、データなどを保護するためのソフトウェアが汚染されていることの危険性などを訴えると、今や自社だけでなく取引先や顧客のデータまで影響を及ぼしてしまうとして、「サプライチェーンセキュリティが大きな脅威になっている、この1年で対策にあたるべきだ」とエラザリ氏。たとえば、インターネット分離を忘れていたためにサーバーへと侵入され、機密情報が窃取されるケースがあったり、Unix系OSで利用されている圧縮ツール「XZ Utils」が狙われたりする事件もあったと説明する。
後者は、メンテナンスを担当していた人物がバックドアを仕掛け、SSHポート経由で侵入できるようにしたというものだ。多くのソフトウェアやデジタルインフラが非常に小さなコンポーネントに依存している状況下、これはデジタル社会における課題だと警鐘を鳴らす。あわせて「WormGPT」のような生成AIを用いた脅威が増していくとして、「信頼を担保すべきセキュリティ担当者は、生成AIを用いてよりセキュリティの自動化を加速させるべきだろう。その上で特に投資すべきは『可視性』の分野だ。相手が見えなければ戦えないだけでなく、攻撃者の方がネットワークを把握しているという状況は避けなければならない」とエラザリ氏。大切なのは“ハッカーのマインドセット”を持つことであり、バグバウンティなどの利用はもちろん、ハッカーが有しているような能力をAIによって構築していく必要もあるという。
「皆さんがどのように将来を守っていくのか、それをプロアクティブに自身の手で決めていただきたい」(エラザリ氏)