2024年、ランサムウェアはかつてないほど凶悪に

今日、世界中の人々が学校、病院、薬局へ向かうと、そこでは「申し訳ございませんが、コンピュータシステムがダウンしています」と告げられることになります。こうした事態の常套手段は、地球の裏側で活動するサイバー犯罪集団であり、システムへのアクセスと引き換えに金銭を要求したり、盗まれたデータの安全な返還を要求したりしています。

警察の取り締まりが強化されているにもかかわらず、ランサムウェアの流行は2024年も減速の兆しを見せておらず、専門家はランサムウェアがすぐにより暴力的な段階に入る可能性があると懸念している。

「現時点では、ランサムウェアとの戦いに勝てる見込みはまったくありません」と、Recorded Futureの脅威情報アナリスト、アラン・リスカ氏はWIREDに語った。

ランサムウェアは、過去10年間を象徴するサイバー犯罪と言えるでしょう。犯罪者は病院、学校、政府機関など、幅広い組織を標的にしています。攻撃者は重要なデータを暗号化し、被害者の業務を完全に停止させた後、機密情報を漏洩すると脅迫して金銭を脅し取ります。こうした攻撃は深刻な結果をもたらしています。2021年には、コロニアル・パイプライン・カンパニーがランサムウェアの標的となり、燃料供給の停止を余儀なくされました。ジョー・バイデン米大統領は需要に対応するための緊急措置を講じました。しかし、ランサムウェア攻撃は世界中で日常的に発生しており、先週は英国の病院がランサムウェアの攻撃を受けました。しかも、その多くはニュースの見出しにはなりません。

「インシデントの可視性には問題があり、ほとんどの組織はそれを公表したり報告したりしていません」と、Emsisoftの脅威アナリスト、ブレット・キャロウ氏は述べています。さらに、このことが「月ごとにインシデントの傾向を把握するのが困難」になっていると付け加えています。

研究者たちは、攻撃を公表する公的機関、あるいは犯罪者自身からの情報に頼らざるを得ない。しかし、「犯罪者は嘘つき野郎だ」とリスカ氏は言う。

あらゆる兆候から見て、この問題は解消されるどころか、2024年にはさらに加速する可能性があります。Google傘下のセキュリティ企業Mandiantの最新レポートによると、2023年はランサムウェアの被害額が記録的な年でした。被害者は10億ドル以上をギャングに支払ったと報告されていますが、これは私たちが把握している金額に過ぎません。

報告書で特定された大きな傾向の一つは、いわゆる「恥サイト」へのギャングによる投稿頻度の増加だ。これは、攻撃者が恐喝の一環としてデータを漏洩するサイトだ。Mandiantによると、2023年のデータ漏洩サイトへの投稿数は2022年と比較して75%増加した。これらのサイトでは、被害者が金銭を支払わなければ機密データが公開されるまでのカウントダウンなど、派手な手法が用いられている。専門家はWIREDに対し、これはランサムウェアギャングが脅迫戦術の激しさを増していることを示していると語った。

「一般的に言って、彼らの戦術は次第に残忍になってきています」とキャロウ氏は言う。

例えば、ハッカーは脅迫的な電話やメールで被害者を直接脅迫するようになりました。2023年には、シアトルのフレッド・ハッチンソンがんセンターがランサムウェア攻撃を受け、がん患者一人ひとりに、身代金を支払わなければ個人情報を公開すると脅すメールが送られました。

「これがすぐに現実世界の暴力へと波及するのではないかと懸念しています」とキャロウ氏は言う。「何百万ドルもの金が手に入るとなると、支払いを拒否している会社の幹部や家族に何かひどいことをするかもしれません。」

ランサムウェア攻撃による暴力事件はまだ報告されていないものの、ギャング団はランサムウェアを戦術として利用している。「リークされた交渉の中で、ギャング団が『あなたのCEOの住所は知っている』と言って、ランサムウェア攻撃を行う可能性を示唆していたことが確認されています」とリスカ氏は語る。

犯罪者の生と死に対する冷酷なアプローチについて言えば、2016年から2021年の間に、ランサムウェア攻撃によって病院が標的にされ、救命治療が遅れたために、42人から67人のメディケア患者が死亡したと研究者が推定していることは注目に値する。

リスカ氏は、ランサムウェア集団は孤立して活動しているわけではないと指摘する。彼らの構成員は、「ザ・コム」のような組織と重なり合っている。「ザ・コム」は、オンラインで組織化し、SIMスワッピングといった従来のサイバー犯罪に加えて、暴力サービス（VaaS）を提供する緩やかな世界規模の犯罪者ネットワークだ。コムのメンバーは、人を殴ったり、自宅で銃撃したり、拷問行為を描写したとされる残忍な動画を投稿したりすることを厭わないと公言している。昨年、404 Mediaは、コムのメンバーが、MGMカジノへのハッキング事件を支援した悪名高い組織、AlphVのようなランサムウェア集団と直接協力していると報じた。AlphVは、FBIが復号ツールを開発し、複数のウェブサイトを差し押さえることで活動を妨害したが、数ヶ月後にはChange Healthcareへの攻撃で再び米国中の医療サービスを混乱させた。

ランサムウェア集団と暴力的なサイバー犯罪者とのつながりについて、リスカ氏は「非常に懸念している」と語る。

法執行機関は最近、ランサムウェアグループの完全撲滅には至らないまでも、その壊滅に一定の成功を収めています。2月には、「オペレーション・クロノス」と名付けられた国際協力組織が、LockBitランサムウェアのウェブサイトを押収し、被害者に無料の復号を提供することで、この攻撃を阻止しました。当局はまた、ウクライナとポーランドに拠点を置いていた同グループの関係者とされる2名を逮捕しました。

ランサムウェア攻撃の規模を縮小するのが困難な理由の一つは、ランサムウェア集団がロシアを拠点としていることである。ランサムウェア集団は、スタートアップ企業のように活動し、時にはサブスクリプションサービスや24時間365日のサポートを提供しながら、攻撃を実行する仲間を募っている。そのため、西側諸国の法執行機関は、集団特有の脅迫戦術や心理戦を、ランサムウェア集団に逆手に取るようになった。

例えば、「オペレーション・クロノス」は、ランサムウェアの非難サイト風のカウントダウンタイマーを用いて、LockBitのボスとされる31歳のロシア人ドミトリー・ホロシェフの身元を暴露しました。彼は米国検察から26件の起訴状で起訴され、制裁を受けました。ホロシェフは現在ロシア国内にいると思われるため、国外に出国しない限り逮捕される可能性は低いでしょう。しかし、彼の身元が明らかになれば、関係者の信頼を失わせ、標的を彼に向けることで、ランサムウェア攻撃をさらに妨害する効果は依然としてあります。

「彼の資金の一部を手に入れようとする者は大勢いるだろう」とキャロウ氏は言う。「彼の頭を殴りつけ、国境を越えて引き渡し可能な国に引きずり込もうとする者も出てくるだろう」。関係者は、彼が自発的にロシアを出国した場合、逮捕される可能性を懸念しているかもしれない。

「法執行機関は、彼らが脆弱であることを知らせるために適応している」とリスカ氏は言う。

ランサムウェアの抑制を阻むもう一つの障害は、アフィリエイトのHydra的な性質です。LockBitによる混乱の後、アナリストはほぼ瞬く間に10件の新しいランサムウェアサイトが出現したことを確認しました。「これは、30日間で確認されたどの時点よりも多い数です」とリスカ氏は言います。

法執行機関もこの現実に適応しつつあります。5月には、「オペレーション・エンドゲーム」と呼ばれる国際協力組織が、マルウェア「ドロッパー」を配布する複数の作戦を阻止することに成功したと発表しました。ドロッパーは、ハッカーがランサムウェアなどの悪意のあるコードを検知されずに配信することを可能にするため、サイバー犯罪エコシステムの重要な構成要素です。「オペレーション・エンドゲーム」では、アルメニアとウクライナで4人が逮捕され、100台以上のサーバーが停止され、数千のドメインが押収されました。「オペレーション・エンドゲーム」は、ロシア語のテキストを含む派手な動画のカウントダウンで犯罪者に「次の行動を考えろ」と促すなど、クロノス作戦に似た心理戦術を採用していました。

ランサムウェア問題の規模は把握が難しいように思えるかもしれませんが、リスカ氏とキャロウ氏は共に不可能ではないと述べています。キャロウ氏は、ランサムウェア犯罪組織への支払いを禁止することが最も大きな効果をもたらすと述べています。リスカ氏は支払い禁止の見通しについてはそれほど熱心ではありませんでしたが、法執行機関による継続的な対策が最終的に大きな影響を与える可能性があると示唆しました。

「ランサムウェア集団に関しては、モグラ叩きの話をするのが常です。一つ倒せば、また一つ現れる、というものです」とリスカ氏は言う。「しかし、これらの（法執行機関の）活動は、まさに盤面を小さくしていると言えるでしょう。確かに一つ倒せば、また一つ現れるのは事実です。しかし、最終的には、うまくいけば、出現する集団はどんどん減っていくでしょう。」