壊滅的なハッキングにもかかわらず、ランサムウェアの支払いは昨年劇的に減少した

昨年の大部分において、ランサムウェアハッカーが残した破壊と混乱の痕跡があからさまに明らかになりました。デジタル恐喝グループは、Change Healthcareへの攻撃を通じて米国の薬局やクリニック数百軒を麻痺させ、クラウドプロバイダーSnowflakeの顧客アカウントのセキュリティ脆弱性を悪用して一連の有名企業に侵入し、単一の被害者から記録的な7,500万ドルを奪いました。

しかし、こうした見出しの裏にある数字は驚くべき事実を物語っています。ランサムウェアの支払いは2024年に実際に全体的に減少しており、その年の後半には記録に残るどの6か月間よりも急激に減少しました。

仮想通貨追跡企業Chainalysisは本日、ランサムウェア業界を追跡した年次犯罪報告書の一部を発表しました。報告書によると、2024年のランサムウェア被害者による恐喝金は総額8億1,400万ドルで、前年にハッカーがランサムウェア被害者から奪った記録的な12億5,000万ドルと比較して35%減少しました。2024年の支払い額の内訳を見ると、さらに好調な傾向が見られます。ハッカーが7月から12月にかけて集めた金額はわずか3億2,100万ドルで、前年同期の4億9,200万ドルを大きく下回りました。これはChainalysisが観測した2つの6ヶ月間の支払い額の減少幅としては過去最大です。

「今年前半に見られた傾向が下半期に劇的に逆転したのは非常に驚きでした」と、Chainalysisでサイバー脅威インテリジェンスを率いるジャッキー・バーンズ・コーベン氏は述べています。彼女は、この減少は法執行機関による取り締まりや妨害行為による可能性が高いと示唆しています。その一部は、ランサムウェアの被害者やサイバーセキュリティ業界が壊滅的な攻撃に苦しんでいた今年前半にはすぐには現れなかった、遅延効果をもたらしました。

「誤解しないでください。防御側やインシデント対応者にとって、この1年はまさに過酷な年でした」とバーンズ・コーベン氏は言います。「しかし、昨年発生した大規模な攻撃において、これらのグループはもはや存在していないか、活動を停止していることは注目に値します。法執行機関からは、一線を越えれば相応の罰が与えられるという強いシグナルが発せられています。」

米国と英国の法執行機関は、2024年初頭に主要なランサムウェアグループを2件も大規模に阻止しました。2023年のクリスマスの6日前、FBIはBlackCatまたはAlphVとして知られるグループが使用する暗号化ソフトウェアに脆弱性を発見し、グループの恐喝戦術を阻止するために被害者に復号キーを配布し、グループが脅迫を発するために使用していたダークウェブサイトを閉鎖したと発表しました。2か月後の2024年2月、英国の国家犯罪庁は悪名高いランサムウェアグループLockbitに対する作戦を実行し、同グループのインフラを乗っ取り、暗号通貨ウォレットを押収し、ダークウェブサイトを閉鎖したほか、メンバーやサイバー犯罪パートナーに関する情報まで入手しました。

しかし、当初は両グループともこれらの摘発から立ち直ったように見えた。AlphVは2月にChange Healthcareをハッキングし、米国の数百のクリニックと薬局で決済を不能にし、United Healthcare傘下の同社から2,200万ドルを詐取したと発表した。これは医療関連ランサムウェア事件としては史上最悪の事例の一つだ。LockbitもまたNCAの攻撃を振り切ったように見え、すぐに新たなダークウェブサイトを立ち上げ、新旧の被害者から恐喝を続けている。

しかし実際には、どちらの法執行機関による活動も、見た目以上に成功していた可能性がある。AlphVは、Change Healthcareから2,200万ドルの身代金を受け取った後、いわゆる「出口詐欺」を働いた。これは、Change Healthcareへの侵入を実行したハッカー仲間と資金を分け合うのではなく、身代金を持ち逃げした行為である。Lockbitもまた、NCAによる摘発後数ヶ月でほぼ姿を消した。これはおそらく、NCAが同グループとそのリーダーとされるドミトリー・ホロシェフを特定したことが明らかになったことで、サイバー犯罪アンダーグラウンドが同グループとそのリーダーとされるドミトリー・ホロシェフに不信感を抱いたためだろう。2024年5月には、ホロシェフは米国財務省からも制裁を受けたため、Lockbitの被害者が同グループに身代金を支払うことは、法的に非常に困難になった。

ランサムウェアエコシステムにおける主要プレイヤーの空白は、2024年後半に新たなグループによって埋められましたが、それらの多くは、LockbitやAlphVほど大規模で防御力の高い標的を攻撃するスキルや経験を持っていませんでした、とバーンズ・コーベン氏は言います。その結果、支払われる身代金は数百万ドルや数千万ドルではなく、数万ドル程度と、はるかに少額になってしまったと彼女は言います。

「彼らの才能は前任者ほど強力ではありません」と、バーンズ・コーベン氏は新世代のランサムウェア集団について語る。「法執行機関による摘発の余波が残っています。個人やマルウェアの種類を直接標的にしているだけでなく、これらの攻撃を永続させるために利用されていたインフラやツール、サービスも標的にしています。」

セキュリティ企業Recorded Futureでランサムウェアに特化した脅威情報アナリストを務めるアラン・リスカ氏によると、昨年はランサムウェアのインシデントが前年よりも実際に増加したという。同社は2023年の4,400件に対し、2024年には4,634件の攻撃を数えた。しかし、新しいランサムウェア集団が受け取った身代金の額が低いことは、彼らが質よりも量を重視していた可能性を示唆していると、リスカ氏は指摘する。「身代金の額から見て取れるのは、新しい脅威アクターたちがランサムウェアで稼げる金額に惹かれ、参入しようとしているものの、あまり上手くないという状況を反映している」とリスカ氏は語る。

Chainalysisは、2024年初頭の大規模な法執行措置に加え、年後半の支払い件数の減少は、ランサムウェアの脅威に対する世界的な意識の高まりが、政府やその他の機関における防御策や対応計画の成熟につながったことに起因すると分析しています。また、バーンズ・コーベン氏は、仮想通貨規制と、犯罪者が不正に入手した仮想通貨の出所を匿名化・難読化するのを支援するミキサーを含むマネーロンダリングインフラに対する法執行機関の取り締まり強化によって、専門知識を持たないランサムウェア実行者が支払いを処理する能力が低下したと付け加えています。

2024年後半の支払い額の減少は、Chainalysisのデータで過去最大規模であり、特筆すべきものですが、ランサムウェア攻撃の件数と支払い額は過去にも変動し、減少傾向にあります。特に、研究者たちは2022年に活動の顕著な減少を確認しており、Chainalysisはランサムウェアによる支払い総額を2021年の10億7,000万ドル、2020年の約10億ドルと比較して6億5,500万ドルと推定しています。政府や防御側は当初、抑止策が功を奏していることに安堵していましたが、2023年にはランサムウェアがさらに深刻な脅威として再び急増し、Chainalysisの集計によると、その年の支払額は合計12億5,000万ドルに達しました。

「盛衰は避けられないと思います」と、FTIコンサルティングのマネージングディレクターであり、長年ランサムウェアの研究者でもあるブレット・キャロウ氏は語る。「もし悪者が数四半期好調だったとしても、その後は必ず落ち込みます。善者が数四半期好調だったとしても、それは同じです。だからこそ、より長期的な傾向を分析する必要があるのです。短期的な増減だけでは、実際には何も分かりませんから。」

さらに、研究者たちは長年、ランサムウェア攻撃の件数や毎年の正確な支払総額について、真に信頼できる数値を得ることは困難であると警告してきました。これは、攻撃者が過去のデータ侵害を新たな攻撃であると主張したり、実際には実行していない攻撃を捏造したりすることで、自らの記録を水増しし、より効果的で脅威的な存在に見せかけようとしていることが一因です。また、ランサムウェア（そしてより広範なデジタル詐欺）に関する正確な数値を得ることは常に困難です。これは、偏見や規制要件によって被害者が名乗り出られないことが多いためです。そのため、ランサムウェアの予測は科学というよりむしろ芸術に近いのです。

「2024年後半の私の感覚では、減少があったとしても、回復もあるだろう」とキャロウ氏は言う。

Chainalysisの研究者たちは、2024年の支払い額の減少が将来のランサムウェア攻撃の減少を保証するものではないことを明確にしています。しかし、Burns Coven氏は、インシデント対応の最前線に立つ防御者にとって、このデータはランサムウェア対策への継続的な投資が価値があることを裏付ける上で有用であると強調しています。

「私たちはまだ瓦礫の中に立っているんです。『すべて順調です。ランサムウェアも解決しました』と皆に言うことはできません。彼らは学校、病院、そして重要インフラを狙っています」とバーンズ・コーベンは言う。しかし、彼女はこう付け加える。「誰もが必ずしも喜んでいるわけではないと思います。これは、今後も努力を続けなければならないことを示していると思います。」