2022年版ランサムウェアレポートを発表 攻撃回数が過去最多を記録、二重脅迫型ランサムウェア攻撃が約120%増加

• ランサムウェアファミリー上位11種のうち8種がRaaS（ランサムウェアアズアサービス）を使用し、ランサムウェア攻撃は前年比で80%増加 

• 2年連続で最も標的となったのが製造業で、ランサムウェアの約5件に1件がこの業界を攻撃 

• ヘルスケア業界（650%増）とレストラン/フードサービス業界（450%増）は2021年と比較して高い増加率を記録 

• ランサムウェアファミリーはリブランディングによって規制当局の追跡を逃れ、攻撃を継続 

• サプライチェーン攻撃では被害が倍増するだけでなく、攻撃者は従来のセキュリティコントロールを回避 

• ロシアによるウクライナ侵攻で、PartyTicket、HermeticWiperなどの他の手法を併用するランサムウェア攻撃が増加に推移 

本資料は、米カリフォルニア州にて2022年6月2日（現地時間）に発表したプレスリリースの日本語抄訳版です。 

クラウドセキュリティ業界を牽引するZscaler（本社：米国カリフォルニア州、以下ゼットスケーラー）は本日、ゼットスケーラーの調査チーム「ThreatLabz（読み方：スレットラボ・ゼット）」による年次調査レポート「2022年版 ThreatLabzランサムウェアレポート（日本語版）」を発表しました。本レポートでは、ランサムウェア攻撃が前年に比べて80%増加したことが明らかにされています。2022年のランサムウェアの主要トレンドとして、二重脅迫、サプライチェーン攻撃、RaaS（ランサムウェアアズアサービス）、リブランディング、地政学的な原因による攻撃を挙げています。本レポートでは、Zscaler Zero Trust Exchange™全体で1日あたり2千億件以上のトランザクションと1億5千万件のブロックされた攻撃を処理する世界最大のセキュリティクラウドから収集した1年分以上のデータを分析し、サイバー犯罪者から最も攻撃されている業界、二重脅迫やサプライチェーン攻撃による被害の詳細を明らかにしています。また、昨今最も活発に活動するランサムウェアグループも列記しています。  

ゼットスケーラーのCISO、ディーペン・デサイ（Deepen Desai）は次のように述べています。「最新のランサムウェア攻撃では1回のアセット攻撃で最初の侵入に成功した後、環境全体を水平移動して侵害するため、従来のVPNやフラットネットワークは非常に脆弱になります。攻撃者は、企業のサプライチェーン全体の弱点やLog4Shell、PrintNightmareなどの重大な脆弱性を攻撃してきます。さらに、ダークウェブ上でRaaSを取得することで、ますます多くの犯罪者がランサムウェアを利用し、多額の身代金を手にする確率が高まっています。」 

ランサムウェアの戦術や攻撃範囲が着実に進化する一方、最終的な目的は依然として攻撃対象である企業の混乱と、身代金目当ての機密情報の窃取です。身代金は、感染したシステムの数と盗まれたデータの価値によって決まります。感染したシステムの数が多く、データの価値が高いほど、身代金の額も大きくなります。2019年に入ると、多くのランサムウェアグループがデータ窃取後にデータ流出の可能性をちらつかせる新たな手法、いわゆる「二重脅迫」を採用するようになりました。その1年後には、一部のグループは、ウェブサイトやサーバーに対して過剰なアクセスやデータを送付しビジネスの混乱を招くDDoS（分散サービス拒否）攻撃を併用した攻撃レイヤーを追加し、被害者への交渉圧力をかけるようになりました。 

今年は最も危険なトレンドとして、サプライチェーン攻撃が挙げられます。企業のサプライチェーンを標的として、既存の通信手段や共有しているファイル、ネットワーク、ソリューションを悪用してサプライヤーの顧客に二次的な攻撃を仕掛ける方法です。また、ThreatLabzは、脅威アクターのデータ漏洩サイトで公表されているデータを基に、二重脅迫型ランサムウェアの被害に遭った企業が約120%増加していることにも注目しています。  

2年連続で最大の標的となっているのが製造業で、ランサムウェア攻撃の約5件に1件が製造業を標的にしました。その一方で、他の業界への攻撃も急激に増加しています。特に著しい増加を見せたのがヘルスケア業界で、二重脅迫型攻撃は2021年に比べて約650%増えています。次いで急増したのがレストラン/フードサービス業界で、450%以上増加しています。  

世界中の行政機関が本格的なランサムウェア対策に乗り出したことから、多くの脅威グループが一度解体し、新たな名前で活動を再開しています。たとえばDarkSideはBlackMatterに、DoppelPaymerはGriefに、RookはPandoraにリブランディングしています。リブランディングしても、企業にとって脅威である点は変わりません。それどころか、ダークウェブ上で自作の攻撃ツールを販売するなど、RaaSのビジネスモデルを展開し、さらに規模を拡大する脅威グループも増加しています。 

今年初めには米国のロシアに対する経済制裁への対抗措置として、米国を標的としたサイバー攻撃が予想されるとの警告が発表されました。これは官民両方の組織に対して、即座にサイバー防御策を強化するよう求める内容でした。ウクライナを支持している他の国々でも同様の警告が出されています。ThreatLabzは現在までに、ウクライナに対するランサムウェア、PartyTicketやマルウェア、HermeticWiperを使った攻撃、各国政府に対する脅威グループ、Contiによる攻撃など、複数の攻撃を特定しています。ThreatLabzは、これら地政学的な攻撃を引き続き監視していきます。 

デサイは、次のように述べています。「侵害の可能性とランサムウェア攻撃成功による被害を最小限に抑えるためには、多層防御戦略で対抗する必要があります。攻撃対象領域を減らし、最小権限に基づくアクセスコントロールを備えたゼロトラストアーキテクチャを採用することで、あらゆる環境のデータを常時監視、検査することが重要です。」 

Zscaler Zero Trust Exchangeでランサムウェア攻撃を阻止 

Zscaler Zero Trust Exchangeはランサムウェア攻撃を阻止するコントロール機能をゼロトラストアーキテクチャ全体に組み込んでおり、攻撃を各フェーズで阻止することで被害を最小限に抑えます。以下のベストプラクティスと高度な機能によって、ランサムウェア攻撃のリスクを大幅に軽減することができます。  

• 一貫したセキュリティポリシーで攻撃を阻止：大規模で完全なSSLインスペクション、ブラウザ分離、インラインサンドボックス、ポリシーに基づいたアクセスコントロールによって、悪意のあるウェブサイトへのアクセスを阻止 

• インターネット経由のアプリケーションを廃止し、ゼロトラストネットワークアクセス（ZTNA）アーキテクチャを実装することで水平移動を阻止：ユーザをネットワーク経由ではなくアプリと直接つなぐことで、攻撃による被害を限定 

• 感染したユーザとインサイダー脅威を排除：インライン検査と統合されたデセプション機能を組み合わせ、攻撃者を検知し欺き阻止 

• 情報漏洩を阻止：ソフトウェアとトレーニングを常に最新の状態に保ち、インラインの情報漏洩防止を導入し、移行時と保存時の両方でデータ検査を行うことで脅威アクターによる盗難を防止 

ランサムウェアと脅威に対する防御策、ランサムウェア対策の策定方法に関する詳細は、「2022年版 ThreatLabzランサムウェアレポート（日本語版）」にて確認できます。 

以上 

調査方法 

ゼットスケーラーの調査チーム、ThreatLabzは世界中で１日あたり2千億件以上のトランザクションを保護し、1億5千件の脅威をブロックするZscaler Zero Trust Exchangeから入手したデータを評価しました。ThreatLabzはゼットスケーラーのクラウドから得た2021年2月から2022年3月までの1年分以上にのぼる世界中のランサムウェアデータと、外部ソースからのインテリジェンスを分析し、主要なトレンド、リスクのある業界や地域、新たな攻撃手法を明らかにしています。