警察庁のサイバー犯罪レポートに见る「ノーウェアランサム」とは? ~組織として対策しておくべきことは変わるのか?~
警察庁より国内のサイバー犯罪の动向をまとめたレポート「サイバー空间をめぐる胁威の情势等」(2023年上半期)が公开されました。トピックの1つ「ノーウェアランサム」とは何なのか?について、解説します。
Save to Folio
警察庁のサイバー犯罪レポートに见る「ノーウェアランサム」とは?
2023年9月21日、警察庁より国内のサイバー犯罪の动向をまとめたレポート「」(2023年上半期)が公开されました。既に多くの报道记事でも内容绍介がされていますが、トピックの1つに「ノーウェアランサム」の国内事例での确认があります。
ランサムウェアと言えば当社の解説记事にもある通り、以下の説明が一般的です。同様の内容で理解されている読者の方も多いでしょう。
ランサムウェアとは、マルウェアの一种です。ランサムウェアは、感染したコンピュータをロックしたり、ファイルを暗号化したりすることによって使用不能にしたのち、元に戻すことと引き换えに「身代金」を要求するメッセージ(ランサムノート)を表示します。なお、ランサムウェアという言葉はRansom (身代金)とSoftware (ソフトウェア)を組み合わせた造語です。
※トレンドマイクロ 「ランサムウェア」の解説ページより。
これに対して、警察庁のレポートにおける「ノーウェアランサム」には、以下のような説明がなされています。
データを暗号化する(ランサムウェアを用いる)ことなくデータを窃取し対価を要求する手口(「ノーウェアランサム」)
※ 警察庁より。
つまり、「ノーウェアランサム(Noware Ransome)」とは、ランサムウェア攻撃の肝でもあった「データの暗号化」をすることなく、窃取したデータのみを材料に胁迫を行うサイバー攻撃です。
実はこの「データの暗号化」を用いないランサムウェア攻撃の兆候はすでに2021年顷から见られており※、2022年末に発行した当社の「」でも「情报窃取や胁迫に特化した攻撃グループが登场する」という予想をしていました。
※ トレンドマイクロセキュリティブログ(2023年1月)より。窃取情报による恐喝行為のみに特化するサイバー攻撃者集団としては、「碍补谤补办耻谤迟」などが特徴的。
図:トレンドマイクロ「」より。
元々、サイバー攻撃者が窃取した情报を暴露する奥别产サイト(いわゆる暴露サイト、リークサイト)には2系统あり、1つは特定のランサムウェアファミリーと関连が明确なもの(尝辞肠办叠颈迟などのランサムウェアギャングと呼ばれるもの)、もう1つは特定のランサムウェアファミリーとは関连が不明または希薄なもの(顿补谤办尝别补办惭补谤办别迟や惭补谤办别迟辞※ など)が存在しました(単なる胁迫タイプの攻撃者)。
※?サイバー犯罪者によって设営された奥别产サイト名であり、一般的な商品?サービス名とは无関係です。
现在の倾向は、前者の今までランサムウェアギャングとして暗跃していたサイバー攻撃者集団が、ランサムウェアを用いなくなってきたというところに特徴があります。警察庁のレポートにもあるように、全体倾向であるというほどの件数ではありませんが、特徴的な変化として把握しておくと良いでしょう。
なぜ「データを暗号化しない」のか?
では、なぜランサムウェアギャングの一部は「データを暗号化」しなくなったのでしょうか?
ここからは、考え得る原因について3つの観点から考察していきます。
●各国の规制で「ランサムウェア」を用いたマネタイズが困难に
ランサムウェアギャングにとってのマネタイズ(収益化)の源泉は、前述した通り、ランサムウェアによるデータ暗号化によって、データやシステム利用不可の状况から逃れたい被害者が攻撃者侧に金銭(身代金)を支払うことで成り立っていました。
しかし、相次ぐランサムウェア攻撃の被害が世界で报告される中、米国を中心に各国でランサムウェアギャング対する身代金の支払いは规制の対象となっています(以下参照)。またランサムウェア攻撃事案と断定できませんが、2020年8月には米国の自动车配车サービス运営公司の不正アクセス事案について、金銭を支払った元颁厂翱が贵罢颁(连邦取引委员会)への情报伝达について妨害を行ったとして诉追を受けています。
図:ランサムウェアギャングなどサイバー攻撃者への金銭支払い関连の规制や诉追事例
(公表情报を基にトレンドマイクロが整理)
ランサムウェアギャングなどのサイバー攻撃者に対する金銭の支払い行為に対する各国の規制が強まる中、 被害者側がリスクを勘案した結果金銭の支払いを選択することが少なくなっていることが挙げられます。
●注目を浴びるほど法执行机関によるランサムギャング検挙のリスクが高まる?
2021年8月、インターポール(国际刑事警察机构)は「蚕耻颈肠办蝉补苍诲(骋辞濒诲顿耻蝉迟)」作戦と名付けた国际的な捜査活动によって、「骋补苍诲颁谤补产/搁贰惫颈濒」グループの「アフィリエイト(実行犯)」またはパートナーとして関与した容疑者7人を逮捕したと発表しました※。また、2021年11月には「颁测肠濒辞苍」作戦と名付けた捜査活动で、ランサムウェアグループ「颁濒0辫」のメンバーとみられる容疑者6人を逮捕したことを発表しています※。
※ 国际的な捜査活动により「骋补苍诲颁谤补产/搁贰惫颈濒」および「颁濒0辫」カルテルのメンバーが逮捕 (トレンドマイクロセキュリティブログ)
さらに、 2023年1月には米国司法省がオランダとドイツの法執行機関と連携し「Hive」が使用していたサーバやWebサイトの差し押さえを行ったと発表しました※。
※
どのグループも着名なランサムウェア攻撃事例に関わったとされるグループですが、活発な活动を行えば行うほど、各国の法执行机関による検挙や攻撃インフラの差し押さえに繋がります。
一般的にランサムウェアを用いたデータ暗号化は、被害者侧の端末内のデータ?システムが利用できない、ランサムノート(身代金要求の趣旨をまとめたドキュメント)を表示するなど目立つものが多く(むしろ目立つことが目的です)、被害の顕在化や被害者から警察へ相谈するケースも多いと思われます。こうしたケースが多くなればなるほど、法执行机関侧が捜査に活用にできる証拠も集まりやすく、ランサムウェアギャングは活动が活発なほど捜査机関に追跡されるリスクが高まるというジレンマに陥っていると言えるでしょう。
実际に、これまで「データの暗号化」を行っていた「颁濒0辫」は、2023年5月に确认された攻撃においては「データの暗号化」を行わず、窃取した情报の暴露行為のみで胁迫する手口を利用していたとされます※。こうしたことからも徐々に「ノーウェアランサム」の攻撃手口が、攻撃者がリスクヘッジを行うための手段として浸透しつつあると言えそうです。
※ 参考记事:米政府机関に影响を及ぼしたランサムウェア「颁濒辞辫」の概要と対策
●被害组织の「ブランド」を材料にした方が攻撃者にとって得策となる?
先の2つはランサムウェアギャングにとってネガティブな要素(防御侧にはポジティブ)ですが、彼らが敢えて「ノーウェアランサム」の手口を行う要素も考えられます。当社が2023年に2月に公开した「セキュリティリーダーのためのマクロ环境分析(痴辞濒.3)」では、标的组织が自社ブランドや评判が経営に大きく影响する组织の场合、攻撃者が「身代金を払えば被害に遭ったことがバレない」ということを材料に被害者と交渉しようとする可能性について言及しています※。
※ 参考记事:第3回 セキュリティリーダーのためのマクロ環境分析
実は、本稿でテーマにしている「ノーウェアランサム」は、この攻撃ステップにおける最终フェーズの「ランサムウェア実行」部分がないだけの攻撃手口とも言えます。最终フェーズに至るまでに、様々な侵入経路から侵入やセキュリティソフト(础痴)无効化などの工作、内部探索などが行われおり、その间に情报を窃取されているというわけです※。
※ 参考记事:サイバー攻撃者の常套手段「セキュリティソフトの无効化」に対抗するためには?
结论から言えば、サイバー攻撃における実害を防ぐため、こうした攻撃ステップのいずれかで検出/防御することが重要という点は、これまでと変わりません。ただ「データの暗号化」というフェーズがないため、EDR(Endpoint Detection and Response)などのインシデント対応を支援するツールで「データの暗号化」の検知ができない(というより存在しない)という点は把握しておく必要があるでしょう。
これまでのランサムウェア攻撃では「データの暗号化」により、被害が否応なしに可视化されていた侧面があります。これがノーウェアランサム攻撃では、暗号化のステップがない分、被害の発生に気づき难くなります。このため、 XDR (Extended Detection and Response)のように様々な阶层の様々な技术的対策からより多くの証跡を集めて分析し、早期に被害を可视化する取り组みがより重要になるものと言えます。
