調査レポート： 身代金総額14億ドルのランサムウェアファミリー、標的となる業界とその手口とは

※ 本資料は、米国カリフォルニア州にて2021年5月13日（現地時間）に発表したプレスリリースの日本語抄訳版です

クラウドセキュリティ業界を牽引するZscaler（本社：米国カリフォルニア州、以下 ゼットスケーラー）は本日、ランサムウェアの主な傾向に関する分析結果と、勢力を広げているランサムウェア攻撃集団や、その手口、最も標的にされやすい業種に関する詳細をまとめた、最新のランサムウェアレポート（英語）を発表しました。ゼットスケーラーの研究チーム「ThreatLabZ（読み方：スレットラボ・ゼット）」が、2019年11月から2021年1月にかけての1500億件以上のプラットフォーム上のトランザクションと365億件以上のブロックされた攻撃を分析し、新興のランサムウェア亜種と、その起源および阻止方法を特定しました。本レポートでは、近年サイバー犯罪者の間で広まる、業務を混乱させデータを人質化する「二重脅迫（ダブルエクストーション）」攻撃のリスクについてもまとめています。

ゼットスケーラーの最高情報セキュリティ責任者（CISO）兼セキュリティリサーチ担当バイスプレジデントであるディーペン・デサイ（Deepen Desai）は次のように述べています。「二重脅迫やDDoS攻撃等の新たな手法により、サイバー犯罪者が企業へのビジネス妨害や長期的な信用の失墜を簡単に行えるようになったため、ランサムウェアの脅威による危険はここ数年高まっています。当社のチームは、ランサムウェア攻撃がより標的型の傾向を強め、サイバー犯罪者は身代金を支払う可能性の高い組織を攻撃するようになると予想しています。最近のランサムウェア攻撃を分析したところ、サイバー犯罪者は被害者のサイバー保険適用範囲や、攻撃の焦点とするべき重要なサプライチェーンベンダー等を把握していることが判明しました。そのため、企業側はランサムウェアのリスクに対する理解を深め、攻撃を適切に回避するための対策を講じることが極めて重要です。脆弱性には必ずパッチを適用し、従業員に不審なメールの見分け方を教育し、定期的なデータバックアップや、情報漏えい防止戦略を実施することに加え、ゼロトラストアーキテクチャを取り入れることで、攻撃対象領域を最小限に抑え、ラテラルムーブメントによる攻撃拡大を防いでください。」

世界経済フォーラムの2020年版「グローバルリスク報告書」 によると、ランサムウェアは2020年に記録された中で3番目に多く確認され、2番目に大きな被害をもたらしたマルウェア攻撃タイプです。インシデント1件あたり平均145万ドルが支払われていることから、サイバー犯罪者がこぞってこの新手のハイテク恐喝行為に及ぶことも頷けます。この種の犯罪に対する見返りの額が上昇するのに伴い、政府機関、企業の収益、評判、データ整合性、顧客信頼度、そして事業継続性に対するリスクも増加しています。今回のゼットスケーラーの調査結果は、ランサムウェアを国家セキュリティ上の脅威に分類した先日の米国政府による報告を裏付けており、このような現代の脅威を防御するための被害軽減策や対応策を重視する必要性を浮き彫りにしています。

二重脅迫：近年増加する手口

2019年の終わり頃、ThreatLabZは、活発で影響力が大きいランサムウェアファミリーの一部で「二重脅迫」攻撃が好んで使われるようになっていることを確認しました。二重脅迫とは、不正者が機密データに暗号化を施したうえで、人質として重要なデータを持ち出すという攻撃です。被害に遭った組織は、バックアップからデータを復元できたとしても、盗まれた機密データの公開をネタに身代金を要求されます。2020年終わり頃には、この手口が被害者のWebサイトの負荷を増大させるDDoS攻撃と組み合わされて、さらなるプレッシャーを与え屈服を促すというように強化されたことを確認しました。

ThreatLabZの調べでは、この2年間で様々な業種が二重脅迫型ランサムウェア攻撃の標的とされてきました。最も狙われているのは、次のような業界です。

1. 製造（Manufacturing）—12.7%
2. サービス（Services）—8.9%
3. 運輸（Transportation Services）—8.8%
4. 小売・卸売り（Retail Services）—8.3%
5. テクノロジー（High Tech）—8%

最も活発なランサムウェア

ThreatLabZは、昨年を通して特によく見られた7つのランサムウェアファミリーを特定しました。本レポートでは、最も活発であった以下の5つのランサムウェアファミリーの起源と手口をまとめています。

• Maze／Egregor： Mazeは、2019年5月に初めて確認されました。二重脅迫攻撃に最も多用（計273件）されたランサムウェアでしたが、2020年11月以降は活動を停止しているようです。攻撃者は、スパムメール、FalloutやSpelevo等のエクスプロイトキット、およびハッキングされたRDPサービスを利用してシステムに侵入し、IT企業やテクノロジー企業のファイルを暗号化したうえで盗み出して、大量の身代金を稼いでいました。Mazeが主に標的とした業界は、ハイテク（11.9%）、製造（10.7%）、サービス（9.6%）です。注目すべきことに、Mazeはコロナ禍において、ヘルスケア企業を標的としないことを宣言しました。
• Conti： Contiは、2020年2月に初めて発見された、2番目に多く確認されている（計190件）攻撃ファミリーです。ランサムウェア「Ryuk」とコードが共通しているため、Ryukの後継種と思われます。Contiは、二重脅迫手口の一環として、ファイルを暗号化する前にWindowsの再起動マネージャーAPIを使用することでより多くのファイルの暗号化を可能にします。身代金を支払う気がない、あるいは支払えない被害者のデータは、定期的にContiのデータリークサイト上で公開されます。Contiに最も狙われている業界は、製造（12.4%）、サービス（9.6%）、運輸（9.0%）です。
• Doppelpaymer： 2019年7月に初めて確認され、計153件の攻撃が記録されているDoppelpaymerは、様々な業界を標的とし、時に数十万～数百万ドルもの高額な身代金を要求します。まず、不正なリンクや添付ファイルの付いたスパムメールでマシンを感染させ、侵害されたシステムに「Emotet」や「Dridex」のマルウェアをダウンロードします。Doppelpaymerに最も狙われている業界は、製造（15.1%）、小売・卸売り（9.9%）、行政（8.6%）です。
• Sodinokibi： 別名RevilやSodinとも呼ばれるSodinokibiは、2019年4月に初めて確認されて以来、発見される頻度が増えています（計125件）。Mazeと同様、スパムメールや、エクスプロイトキット、侵害されたRDPアカウントを利用します。また、Oracle WebLogicの脆弱性を悪用していることも頻繁に確認されています。Sodinokibiは、2020年1月から二重脅迫の手口を利用し始め、運輸（11.4%）、製造（11.4%）、小売・卸売り（10.6%）業界に最も大きな影響を与えました。
• DarkSide： DarkSideは2020年8月、その活動を宣伝するプレスリリースを発表し初めて確認されました。「サービスとしてのランサムウェア（ランサムウェア・アズ・ア・サービス）」モデルに基づくDarkSideは、二重脅迫を展開して情報を盗み、暗号化します。この集団は、自身のWebサイト上に、ヘルスケア組織、葬儀サービス、教育機関、非営利組織、そして政府機関は攻撃しないという、標的に関する声明を掲載しています。その代わりに主な標的となっているのが、サービス（16.7%）、製造（13.9%）、運輸（13.9%）業界です。Contiと同様、身代金を支払えない被害者のデータは、DarkSideのリークサイト上で公開されます。

ゼットスケーラーのランサムウェアレビューは、全文（英語）を「ThreatLabZ Ransomware Review: The Advent of Double Extortion（ThreatLabZのランサムウェアレビュー：二重脅迫の出現）」にて確認できます。

なお、本レポートの日本語版は、近日中に公開予定です。

また、ゼットスケーラーでは、6月15日~16日（米国時間）に米国にてゼットスケーラーのバーチャルイベント「Zenith Live」を開催し、ThreatLabZがランサムウェアについて解説するセッション「Advances in Ransomware（ランサムウェアの進化）」を設けます。日本では6月22日~23日に、Zenith Liveの一部を日本語化して提供します。日本版Zenith Liveの詳細・参加申し込みはこちらから可能です。