Change HealthcareやKADOKAWAグループなど、2024年も国内外で大規模なランサムウェア被害が相次いだ。一方で、ランサムウェア犯罪のエコシステムにおいても“だまし合い”や身元の暴露など、ランサムウェアグループが“信頼”を失う事件が起きたという。WithSecureによる解説をまとめる。 【もっと写真を見る】

写真：アスキー

　海外では米国Change Healthcareからの大量の個人医療データ流出、国内ではKADOKAWAグループ／ドワンゴにおける大規模なサービス停止など、2024年も数多くのランサムウェア攻撃被害が発生し、注目を集めた。 　 　一方で、ランサムウェア攻撃を行う犯罪者の世界では、著名なランサムウェアグループを舞台とした犯罪者間の“だまし合い”、法執行機関によるグループ首謀者の身元暴露といった動きもあり、それが犯罪エコシステムのあり方に多少の変化を与えたという。 　 　この1年の「ランサムウェア犯罪エコシステム」の動向について、WithSecureで脅威インテリジェンス担当ディレクターを務めるティム・ウエスト氏の解説をまとめる。 　 あらためて、ランサムウェアのエコシステムはどう構成されているのか 　 　現在のランサムウェア攻撃が巨大なビジネスエコシステムを構成し、エコシステムの中で「分業化」されていることはよく知られた事実だ。このエコシステムは主に、次に挙げる3種類のアクターで構成されている。 　 ・ランサムウェアグループ：攻撃サービス（RaaS）の提供者。ランサムウェアの開発、リークサイト（盗み出した機密情報の暴露サイト）の運営を担う。 ・IAB（イニシャルアクセスブローカー）：組織への侵入手段の提供者。不正入手したクレデンシャル（認証情報）や脆弱性のある侵入経路といった情報を販売する。 ・アフィリエイト：攻撃の実行者。IABが提供する侵入手段やランサムウェアグループが提供する攻撃手段を使い、標的組織への攻撃を実行する。 　 　つまり攻撃者であるアフィリエイトは、IABから侵入手段を、ランサムウェアグループから“RaaSキット”を購入したうえで、ターゲット組織への攻撃を実行する。現在のランサムウェア攻撃ビジネスは、こうした役割分担が確立されている。 　 　そのためアフィリエイト自身は、高度な技術スキルを持たなくても攻撃が実行できる。ランサムウェアグループが提供するRaaSキットには、ランサムウェア（マルウェア）だけでなく、技術サポートや情報交換フォーラムへのアクセス権限、被害者との交渉ツール、安全な身代金受取サービスまでも含まれるという。 　 　さらに、アフィリエイトからの代金支払いモデルも「一括払い（買い切り型）」だけでなく、「月額サブスク型」「成功報酬型」などさまざまだという。非常に洗練された“ビジネスサービス”になっていることが分かる。 　 犯罪者どうしの“奇妙な信頼関係”をゆるがす大きな事件が発生 　 　ウエスト氏は、ランサムウェアのエコシステムではそれぞれのアクターが独立して“ビジネス”を実行しているため、お互いへの“信頼”やエコシステム内での“評判”が欠かせないことを強調する。 　 　「一般の商取引とは違い、このエコシステム内の取引には法の秩序が及ばない。そのため、取引相手は代金を支払ったらきちんとサービスを提供してくれるのか、自分に関する情報を誰かに漏らさないか、そうした信頼が強く求められることになる」 　 　そうした“奇妙な信頼関係”をめぐって、2024年には2つの大きな出来事が発生した。 　 　ひとつは、これまで活発な動きを見せてきたランサムウェアグループ「BlackCat」（別名：ALPHV）が、手に入れた巨額の身代金（2200万ドル、およそ35億円相当）をアフィリエイトに分配せず“持ち逃げ”したとされる事件だ。身代金の入手後、BlackCatはWebサイトがFBIなどの法執行機関に押収（閉鎖）されたように見せかけて活動を停止し、詐欺を働いたのだ。 　 　「これはエコシステムの状況にかなりの影響を与えた。特に、関係者間の信頼が大きく損なわれる結果となった」 　 　もうひとつは、こちらも著名なランサムウェアグループである「LockBit 3.0」に対する、英国、EU、米国などの法執行機関によるリークサイトの閉鎖措置だ。 　 　ここでは、単にリークサイトを閉鎖するのではなく、サイバー犯罪者たちに対する「挑発的な心理戦」が行われた。これまでLockBitが使ってきたデザインを模した画面で、グループの首謀者「LockBitSupp」や、LockBitに関係したアフィリエイトの身元をリークしていくと宣言したのである。 　 　「アフィリエイトたちは、LockBitを『最大規模で、能力の高いランサムウェアブランド』と見なし、絶大な信頼を寄せていた。しかし、法執行機関によるこの措置によって、LockBitの評判は大きく傷ついた。犯罪者たちは自分の身元が特定、暴露されることを嫌う。『アフィリエイトの身元も公開していく』という宣言を受けて、とてもナーバスになった」 　 新たなグループが登場して攻撃者を“吸収”、エコシステムを維持 　 　2つの著名なランサムウェアグループへの信頼が失われたことで、エコシステムそのものの信頼性も崩れ、犯罪者たちは立ち去ったのだろうか。――残念ながら、そうはなっていないようだ。 　 　WithSecureのデータによると、2024年は第3四半期までですでに42の新規ランサムウェアグループが観測されたという。これは2023年（通年）の31を上回る数字だ。「同じランサムウェア攻撃者たちが、異なるブランド（グループ名）で活動を始めたケースが多いとみている」とウエスト氏は説明する。 　 　新たに登場したランサムウェアグループが、BlackCatやLockBitに関係していたアフィリエイトを取り込もうとする動きもある。現在、最も動きが活発なRansomHubグループがその一例で、積極的なアフィリエイトの募集を行っているという。 　 　「RansomHubの活動が活発化したタイミングは、ちょうどBlackCatが“死んだ”タイミングと重なっている。（BlackCatが信頼を失ったことを受けて）彼らは身代金の受け取り方法を逆転させた。RansomHubが身代金を受け取るのではなく、アフィリエイトが自ら受け取り、そこから分け前をもらう形にした。グループの取り分も、これまでより少なくしている」 　 　加えてウエスト氏は、取引への信頼を維持するために、犯罪者たちが交流するダークウェブのフォーラムでは、第三者が安全な取引を仲介するエスクローサービス、取引者の評価（モデレーション）システムなども見られると述べた。 　 被害者から攻撃グループへの“信頼”も崩れる、「信頼回復の努力を」 　 　ウエスト氏は、信頼関係をめぐってもうひとつ、「攻撃の被害者から攻撃者に対する信頼」も重要だと指摘する。奇妙な話に聞こえるが、「身代金を支払えばシステムやデータが取り戻せる」という信頼がなければ、被害者は身代金を支払わないからだ。 　 　2024年は、こうした信頼をゆるがす事件も発生した。前述したBlackCatの“持ち逃げ”事件では、身代金を支払った被害者（Change Healthcare）が2度目の脅迫を受け、再び身代金を支払うことになったという（ウエスト氏の推測では10億ドル規模）。ただし、米国人口のおよそ3分の1に相当する医療データが流出する最悪の結果となった。 　 　この事件についてウエスト氏は、一度目の身代金支払い後も盗み出されたデータが破棄されていなかったことを指摘し、「身代金を支払っても、犯罪者たちが約束どおりに行動しないリスクについては認識しておくべきだ」と語る。また、かつてのランサムウェアグループには「医療機関やヘルスケアサービスをターゲットにしない」という不文律があったが、「これももはや期待できない」と付け加えた。 　 　ちなみに、Change Healthcareへのランサムウェア攻撃の侵入経路は、多要素認証（MFA）が設定されていなかった従業員向けのリモートアクセスツールだという。ウエスト氏は「予防にかかるコストは、被害が発生してから対応するコストよりもはるかに安い」と述べて、エクスポージャー管理など十分に対策をとることをアドバイスした。 　 　調査データによると、被害を受ける（リークサイトに掲載される）企業の規模は、大規模から徐々に中規模、小規模へと移りつつある。そのため、1件当たりの身代金の平均支払額が減少する一方で、総支払額としては増加しているという。 　 犯罪エコシステムに影響を与えるかもしれない「サイバー保険の普及」 　 　ランサムウェアをめぐる状況は、これからどう変化していくのだろうか。 　 　ランサムウェアエコシステム全体を解体することは極めて難しい、というのがウエスト氏の見解だ。独立した犯罪者たちがいわば“疎結合”で活動しているために、一度に多くの逮捕者を出すことは難しい。また、ダークウェブにある多数のインフラを閉鎖することも困難だ。ランサムウェア攻撃が“割のいいビジネス”であり続けるかぎり、このエコシステムは存続するだろう。 　 　「わたしたちにできる最善の方法は、（セキュリティ対策を強化して）ランサムウェア攻撃を行うコストを増大させることだ」 　 　エコシステムの状況を変える可能性がある新たな動きのひとつとして、ウエスト氏は「サイバー保険の普及」を挙げた。ただし、その影響がポジティブなものになるかネガティブなものになるかは「まだ誰にも分からない」と語る。 　 　「サイバー保険が普及することで、被害を受けた企業は身代金の支払いに応じやすくなる。ただしそれは、犯罪エコシステムが金銭を得やすくなるということでもある。一方で、サイバー保険を提供する会社が顧客企業にセキュリティ対策のアドバイスをしたり、身代金交渉に介入して犯罪者の要求額を引き下げさせたりするようになるかもしれない。サイバー保険はまだ黎明期の業界であり、その影響は未知数だ」 　 文● 大塚昭彦／TECH.ASCII.jp