ランサムウェアによる試練を乗り切るには:試金石となる回復力
編集:Maria Vlasak
「権威への反抗」は、もはやハクティビストだけのものではありません。スクリプトキディやランサムウェアの犯罪組織も仲間に加わり、確実に活動を拡大させています。
ランサムウェアの現状
2025 年はランサムウェアにとって記録的な年となりました。しかも、まだ 5 か月も残っています。🫠ランサムウェアは、英国全土の小売企業に甚大な損害を与え、アジア太平洋地域のさまざまなヘルスケア団体を崩壊させ、ラテンアメリカ政府に大きな被害をもたらし、北米の教育システムを「混乱」させました。
犯罪グループ、ハクティビスト、スクリプトキディのいずれにとっても(たとえ動機が大きく異なっていても)、ランサムウェアが非常に利益を出しやすいビジネスモデルであることに変わりはありません。(ランサムウェアグループが脅し取った金額は、TrickBot 関連だけでも、暗号資産で合計 7 億 2,400 万米ドルにのぼります。これは大問題です)。
ネガティブな発言は控えたいところですが、見通しは暗そうです。ランサムウェアグループは、確実にお金を脅し取れるように複数の恐喝方法を活用します。標的の絞り込みも巧妙になり、脅威の経験値を大きく高めています。複数のグループが同時に 1 つの組織を標的にすることもあります。グローバル企業であれば、脅威もグローバルに及ぶ可能性があるのです。
さらに悪いことに、ランサムウェアグループは技術的にも、取り締まり逃れの面でも、回避のメカニズムに長けています。グループ名や関連団体を絶えず変えるため、🎶犯罪の阻止は困難🎶です。
回復力で脅迫に対応
合理的な対応
侵害の発生を前提とする - これが現在のランサムウェア脅威への唯一の合理的な対応です。(rational(合理的)も R から始まる単語です。「Rational ransomware response requires resilience.(合理的にランサムウェアに対応するためには回復力が必要です。)」なんと語頭がすべて揃っています🤓)
しかし、すべてに暗雲が立ち込めているわけでもありません。セキュリティについては悲観的になりがちなものです。最新のインターネットの現状(SOTI)レポート「ランサムウェアレポート 2025:急変する脅威にさらされる中で回復力を構築」は、暗闇に光を当て、これらの問題について詳細に解説しています。
このレポートでは、急速に進化する脅威に関する考察や、ランサムウェアの脅威を緩和するために必要とされる、回復力の構築方法が提示されています。
ハイライト
もちろん、レポートの全文をお読みいただきたいのですが、今はハイライトに目を通す時間しかないという方のために、この SOTI レポートの要点をいくつかご紹介します。
ランサムウェアの攻撃者は AI と大規模言語モデルを使用
攻撃者は AI と大規模言語モデル(LLM)を使用して、攻撃の規模、洗練度、効率を高めています。FunkSec のようなランサムウェアグループや Forest Blizzard、Emerald Sleet のような高度な持続型脅威グループは、生成 AI を活用してさまざまな手口を自動化しています。たとえば、悪性コードの生成や説得力のあるフィッシングメールの作成、さらには企業の従業員を装いチャットボットを使用して被害者と交渉するようなビッシング攻撃の実行などが含まれます。
WormGPT、DarkGPT、FraudGPT などの新しいツールによって、参入障壁が劇的に低くなり、素人でも簡単に攻撃を仕掛けることができます。
脅迫手口の進化によって被害者への圧力が増強
攻撃者は、盗んだデータの復号化と引き換えに身代金を要求する単なる恐喝にとどまらず、より巧妙な手口を採用しています。二重、三重、四重の脅迫戦術で圧迫します。たとえば、顧客情報の公開、分散型サービス妨害(DDoS)攻撃による業務の中断、ビジネスパートナーや顧客などに対する嫌がらせメッセージの送信(メディアへの情報漏えいを含む)などの脅しをかけてきます。
コンプライアンスによってさらに強靭化
ランサムウェア攻撃者もコンプライアンスを武器として活用しています。最近の傾向として、企業によるセキュリティ規制違反や情報漏えい開示規制違反を暴露するという脅迫がみられます。暴露されると被害者組織は要求された身代金をはるかに超える罰金の支払いを求められる可能性があります。
Ransomware as a Service(サービスとしてのランサムウェア)は引き続き拡大傾向
ハクティビスト/ランサムウェアハイブリッドの出現
ハクティビズムなのか営利目的なのかが曖昧なランサムウェアグループも存在します。このようなハイブリッドグループは、RaaS プラットフォームを活用して、経済的な利益を追及するだけでなく、思想的または政治的な主張を拡大しようとします。
Stormous、DragonForce、KillSec、CyberVolk、Dragon RaaS などのグループは、世界各国の民間企業、政府機関、重要なインフラに破壊的な攻撃をしかけてきました。
特集記事
SOTI レポートには、Akamai のセキュリティスーパーヒーローである Or Zuckerman、Maor Dahan、James Casey が特定の関心トピックについて深く掘り下げたセキュリティ特集も含まれています。これらの具体的な内容は以下のとおりです。
Wizard Spider(別名 TrickBot):ヘルスケアシステムを含む重要インフラを標的とする金銭的動機に基づくサイバー犯罪グループ。ロシアの諜報機関ともつながりを持ちます。
クリプトマイニングマルウェア(クリプトジャッカー):暗号資産(仮想通貨)のマイニングによって利益を得るために被害者のリソースをひそかに悪用します。クリプトマイニングマルウェアは現在、世界のサイバー犯罪のかなり大きな割合を占めています。
ランサムウェアと法律:立法機関と規制当局は、ランサムウェアの急速な進化がもたらす戦略に対応できるような法的枠組みの策定に取り組んでいます。これには身代金の支払いを抑止する法的措置も含まれます。
回復力を構築する戦略
サイバー保険の保険料はうなぎ登りです。そして企業のサイバーセキュリティ能力に関する監査頻度も増加しています。各組織は、ランサムウェアに対する回復力の構築戦略を策定する必要があります。これはつまり、ランサムウェアの支払いを迫られた場合の対応や交渉について明確な方針と戦略を策定し、最悪のケースを想定して計画を立てることを意味しています。
ランサムウェア犯罪の経済は流動的であり、この脅威の防御には同等のアジリティが必要とされます。組織を守るためには、サイバー犯罪に対する回復力を再定義し、包括的に保護できるような実際的な枠組みをつくる必要があるのです。ランサムウェア脅威の現状を把握することは、このプロセスの重要な最初の一歩となります。