ランサムウェアの目的は「標的企業から金銭を得る」ことが目的です。しかし、最近は身代金の支払いを拒む企業が増加しているとの調査結果もあり、「盗んだテータ」をマネタイズするために、ランサムウェアビジネスも多様化する動きが確認されています。

■盗難データの仲介業者 RansomHouse

　2021年12月頃から活動が確認されているサイバー攻撃グループ「RansomHouse」は自らサイバー攻撃を標的企業に仕掛けるのではなく、別のサイバー攻撃グループが入手した盗難データを彼らの所要す仲介サイトで販売することを主な活動と位置づけています。

　米国の半導体大手AMDのものと思われるデータがRansomHouseの仲介サイトに掲載されましたが、RansomeHouseはデータの入手は彼ら自身の犯行ではなく、彼らのパートナーから入手したと述べていました。更に、RansomHouseはAMDに身代金要求をしなかった理由として他のサイバー犯罪グループや犯罪者にデータを売ることの方が価値があると判断したためと述べていました。

■盗難データのマーケットプレイス　Industrial Spy

　2022年4月頃から活動が確認されているサイバー攻撃グループの「Industrial Spy」は盗難データのマーケットプレイスを運用しています。

　ランサムウェアの盗難データを売買するマーケットプレイス自体は以前からも存在していましたが、Industrial Spyの興味深い点はデータを売る相手が「サイバー攻撃者」ではなく、「競合企業」を想定している点です。

　例えば、大手コンビニA社から盗んだ新企画や決算状況等を、競合のB社へ販売しようとしているということです。

　Industrial Spyは盗難データの価格設定を"プレミアム"、"一般"、"無料 "の分類し販売します。

まず、「プレミアム」で一定期間データを提示し高値での販売を試みます。誰も興味を示さない場合 そのデータは「一般」に移動し低価格で販売されます。そして、それでも買い手が付かなかった場合には「無料」セクションに移動し 「ユーザーは無料でデータをダウンロード」することが可能になります。

　Industrial Spyはまだ登場してから日が浅く利用者はそれほど多くありません。しかし、今後盗難データの一大販売所として成功する可能性もあり、企業やセキュリティ研究者は、このサイトと、このサイトが販売すると称するデータに注目する必要があるでしょう。

■ランサムウェアの逮捕リスクや支払い拒否を考慮か?

　ランサムウェアによる被害が拡大する一方で、欧米では取締が強化された結果大手のランサムウェアグループが活動停止に追い込まれている等の兆候も見えています。また、被害にあった企業が身代金を支払うと支払った側も犯罪組織に資金提供したの見方から制裁を加えられることになるリスクもあり、被害企業側も身代金の支払いに簡単に応じなくなってきました。

　また、ランサムウェアについては既に様々な調査結果が出ており、EDRやSoCだけで対応するという「侵入されること前提の対策」は既に過去のものであり「事前予防」も併せて強化することが効果的と言われるようになり、大企業を中心に「事前予防の対策」を実施する企業が現れつつあります。

　圧倒的に攻撃する側が有利と考えられてきたランサムウェアですが、ランサムウェアの効果的な対策を施す企業が増加し、身代金支払いにも応じない企業が増えてきたとなれば、攻撃側も苦労して入手したデータを利用して身代金以外の方法でマネタイズする必要が生まれてきたと推測出来ます。

　このように変化が見えてきたランサムウェアですが、日本企業ではまだまだランサムウェアに対して効果的な対策を施せてる企業は多くなく、未だにSoCとEDRだけの「侵入されること前提の対策のみ」で家の鍵を開けたまま金庫と監視カメラだけで守っている企業が大半なのが現状です。

　侵入されること前提の対策+事前予防、この2つの軸で対策を検討するこの視点で対策を検討する必要があるでしょう。