2023年版 Zscaler ThreatLabzランサムウェア レポートを発表、世界でランサムウェア攻撃が40％近く増加

※本資料は、米カリフォルニア州にて2023年6月28日(現地時間)に発表したプレス リリースの日本語抄訳版です。

 

主な所見

• ランサムウェアに最も狙われたのは米国で、過去1年間に発生したランサムウェア攻撃のほぼ半数が同国を標的
• 芸術、エンターテイメント、娯楽業界に対するランサムウェア攻撃が急増し、430％以上の増加率を記録
• 業界別では依然として製造業とサービス業が最も標的とされ、それぞれランサムウェア攻撃全体の約15％、約12%を占める結果に
• 二重脅迫型攻撃または暗号化「しない」脅迫型攻撃を仕掛けた25種の新たなランサムウェア ファミリーを確認

 

カリフォルニア州サンノゼおよびZenith Live BERLIN、2023年6月28日 – クラウド セキュリティ業界を牽引するZscaler (NASDAQ: ZS、以下ゼットスケーラー)は本日、2023年版ThreatLabzランサムウェア レポートを発表しました。本年度のレポートでは、増加し続ける複雑なランサムウェア攻撃を追跡し、サイバー保険に加入している公共団体や組織を狙った攻撃、RaaS (サービスとしてのランサムウェア)の進化、暗号化しない脅迫など、最新のランサムウェアの傾向に焦点を当てています。2022年4月以降、ThreatLabzでは、ランサムウェア攻撃の成功によって数テラバイトのデータが盗まれ、その後身代金の要求に使用されたことが確認されています。

 

ゼットスケーラーのグローバルCISO兼セキュリティ リサーチ担当責任者であるディーペン・デサイ(Deepen Desai)は次のように述べています。「RaaSによって高度なランサムウェア攻撃が着実に増加しています。そしてランサムウェアの作成者は、大量のデータを抜き取る暗号化しない攻撃を実行することで、ますます検知されにくくなっています。組織に求められるのは、従来のポイント製品を廃止し、完全に統合されたゼロトラスト プラットフォームに移行することです。こうしたプラットフォームは、攻撃対象領域の最小化、侵害の阻止、攻撃が成功した場合の影響範囲の縮小、データの抜き取りの防止など、多くのメリットをもたらします」

 

ランサムウェアの進化において特徴的なのは、攻撃の高度化と新たなサイバー犯罪グループの参入障壁との間に見られる反比例の関係です。RaaSは脅威アクターがダークWeb上でサービスを販売してその利益の70～80％を得るモデルですが、このRaaSの普及が参入障壁の低下とサイバー攻撃の巧妙化を招いています。ランサムウェア攻撃が前年比で40％近く増加していることからもわかるように、このビジネス モデルの人気はここ数年高まり続けています。このような攻撃手法の進化に伴い増加しているのが、破壊的な暗号化よりもデータの抜き取りを重視する暗号化しない脅迫です。これは2023年の最も注目すべきトレンドの1つとなっています。

 

ランサムウェアの標的となる上位国

米国は二重脅迫型ランサムウェア攻撃で最も狙われた国であり、被害者全体の40 %が同国を本拠地としています。次に続くカナダ、英国、ドイツの3か国を合わせても、米国組織を標的とした攻撃件数の半分にも満たないという結果になっています。ゼットスケーラーの調査チームであるThreatLabzが監視しているBlackBasta、BlackCat、Clop、Karakurt、LockBitなどの主要なランサムウェア ファミリーは、あらゆる規模の個人や組織に経済的損失、データ侵害、業務停止という重大な脅威をもたらします。

 

昨年世界中で最も標的にされた業界は製造業で、その知的財産と重要インフラはランサムウェア グループにとって魅力的なターゲットとなっています。ゼットスケーラーが追跡するすべてのランサムウェア グループが同業界の企業を攻撃し、その一部には自動車、電子機器、繊維などの分野の商品生産に携わる企業が含まれていました。今回の調査によれば、BlackBastaランサムウェア ファミリーは製造業に特に関心が高く、攻撃の26%以上をこの業界の企業に集中させていることが明らかになっています。

 

ランサムウェアにおいて顕著になるトレンド

ThreatLabzは2021年、サイバー攻撃において二重脅迫または多重脅迫のアプローチを使った19種のランサムウェア ファミリーを特定しました。それ以降、このアプローチを使うファミリーは44種にまで増加しています。このような攻撃が広まった理由は、攻撃者が窃取したデータを暗号化した後、データをオンラインに流出させると脅迫して身代金を支払うよう被害者への圧力を高められるためです。一方、暗号化プロセスをスキップする暗号化しない脅迫型攻撃も増加傾向にあり、ここでも身代金が支払われない場合はデータを一般公開すると脅す手口が採用されています。この手法を使えば、攻撃者はソフトウェア開発のサイクルと復号プロセスを省けるため、より迅速に大きな利益を手に入れることができます。また、この攻撃は主要なファイルやシステムをロックしたり、回復に伴うダウンタイムを発生させたりしないため、検出が難しく、当局からの注目度も低くなります。暗号化しない脅迫型攻撃の多くは、被害者の業務を停止させないため、結果として事件の報告率が低くなる傾向があります。暗号化しない脅迫の動きはBabukやSnapMCなどのランサムウェア グループから始まりました。昨年調査チームは、Karakurt、Donut、RansomHouse、BianLianなど、この手法を採用する多くの新しいファミリーを確認しました。

 

ランサムウェア攻撃から保護するZscaler Zero Trust Exchange

ランサムウェア攻撃を防ぐには、あらゆる段階の脅威に対処し、潜在的な被害を最小限に抑える包括的なアプローチが必要です。Zscaler Zero Trust Exchangeは、最先端のランサムウェア対策を備えた包括的なゼロトラスト フレームワークを提供します。以下のガイドラインを採用することで、ランサムウェア攻撃の被害に遭うリスクを大幅に軽減できます。

 

1. 初期侵害の防止：一貫したセキュリティ ポリシーを採用し、妥協のないセキュリティを確保します。広範なSSLインスペクション機能、ブラウザー分離、インライン サンドボックス、ポリシーに基づいたアクセス制御の実装によって、悪意のあるWebサイトへのアクセスを阻止すると同時に、初期侵入の経路をブロックし、ユーザーに到達しようとする未知の脅威を検出します。
2. 侵害されたユーザーと内部脅威の排除：インラインのアプリケーション検査とアイデンティティー脅威の検知と対応(ITDR)を、統合されたデセプション機能と組み合わせることで、外部または内部の潜在的な攻撃者を検知して罠に仕掛け、効果的に阻止できます。
3. 外部の攻撃対象領域の最小化と水平移動の排除：アプリケーションをインターネットから切り離し、ゼロトラスト ネットワーク アクセス(ZTNA)アーキテクチャーを実装することで、攻撃者がネットワーク内で徘徊するのを阻止します。ネットワーク自体ではなく、ユーザーとアプリケーションおよびアプリケーションとアプリケーションを直接接続することで、攻撃対象になり得る範囲を大幅に制限します。
4. 情報漏洩の防止：完全なTLSインスペクションを備えたインラインの情報漏洩防止対策を実装し、移動中データと保存データを徹底的に検査することで、データ窃取の試みを効果的に阻止します。ソフトウェアの定期的な更新と総合的なセキュリティ トレーニングの実施によって、脅威アクターの一歩先をいくことができます。

 

Zscaler Zero Trust Exchangeの機能を活用し、これらのベスト プラクティスを実践することで、ユーザー、ワークロード、IoT/OTデバイス、B2B接続の安全性をプロアクティブに確保し、進化し続けるランサムウェア攻撃の脅威から貴重なデータを保護できるようになります。

 

レポートの全文は、2023年版ThreatLabzランサムウェア レポートからダウンロードできます。

 

調査方法

ThreatLabzチームは、毎日500兆を超えるシグナルを監視し、毎日25万以上のセキュリティ更新プログラムで1日あたり80億件の脅威をブロックするZscalerのセキュリティ クラウドから収集したデータを調査しました。2022年4月から2023年4月までのZscalerクラウドの1年分の世界規模のフィッシング データを分析し、主要なトレンド、リスクのある業界と地域、新たな攻撃戦術を明らかにしています。本年度のレポートでは、ランサムウェアのサンプルと攻撃データに関するThreatLabz独自の分析に加えて、外部のインテリジェンス ソースも利用されています。

以上