ランサムウェア攻撃者は二重に恐喝を行う

ヒラリー・タットル

昨年秋、フィンランドの心理療法サービス会社ヴァスタアモの顧客は、同社の医療記録のデータ侵害の後、個人的に脅迫された。攻撃者は2018年にヴァスタアモを侵害した後に数千件の記録を盗み、2019年にさらに盗みに戻り、2020年9月にデータ侵害をお金に変えようとした。同社情報センターに身代金の支払いを強要しようとしたハッカーは、300人の患者データを流出させ、さらに最大4万人の患者情報が暴露されないようにと、ビットコインでの支払いを要求した。その後、ハッカーは個々の患者を直接脅迫しようとし、数百ユーロ相当のビットコインを支払わなければ、個人のIDコードから治療記録まですべてを含む文書を公開すると脅迫した。

ブラックベリー社のヨーロッパ、中東、アフリカ担当事業部長アダム・バングルは、次のように述べている。「現在、数万人もの顧客が、ダークウェブ上での機密性の高い個人データが利用可能性になっていることに懸念を抱いている中、これは最近の歴史の中で患者記録の大規模な悪用の最も憂慮すべき一例である。医療業界は、ハッカーに訴えかけている。それは、ハッカーが扱うデータの性質、機密データを収集するモノのインターネット機器の多さ、安全ではないレガシー機器の使用が続いていること、さらには医療業界のITおよびセキュリティチームは現代の脅威に対処するための資源が不足しているという事実を示している。残念なことに、医療分野で使用されているランサムウェアと情報窃盗手法は、もっとも一般的なマルウェアである。」

ヴァスタアモ事件は、組織と顧客の両方を恐喝しようとしたという点で注目に値する、かなりユニークな事件であるが、過去2年間で、医療機関やその他の機密産業に対する攻撃において、ランサムウェアと情報窃盗を組み合わせた別の形態の二重恐喝が、かなり一般的になっている。支払いの確保と収益の向上を目指し、ランサムウェアとデータ漏洩の両方を利用した二段階の攻撃を仕掛けるサイバー犯罪者が増えている。サイバーセキュリティ専門家は、このような攻撃を、「二重恐喝」、「氏名と恥」、「暗号化＋窃盗」などの多様な用語で表現している。

企業システムに侵入するランサムウェア攻撃者の多くは、支払いを拒否するときには組織データやシステムへのアクセスを妨害したり、データを破壊すると脅したりする手段を利用しているだけだが、中には、そのデータを精査し、機密情報を利用して、被害者が支払わない場合にはオンラインで公開すると脅すものも出てきている。

「最近の犯罪者は、ネットワーク全体を解読してビジネスを再開させるために、暗号解読キーの代金を払わせるだけでなく、盗んだデータを公表する、他の犯罪者にオークションで売る、またはその両方をする代わりに、盗んだデータを削除するための『協力』の対価を支払うように脅迫してくる」と、サイバーセキュリティ会社ソフォスの「むき出しのセキュリティ」ブログで、ポール・ダックリンは説明している。「これは、誘拐と脅迫を同時に行っているようなものである。例えば、自分のファイルを復元するために最新の信頼できるバックアップを使うなど、一つの危機から抜け出す手段があったとしても、犯罪者は次の手を使うことになる。」

2019年後半から始まった、「Maze」と呼ばれるランサムウェアの変種を使う犯罪者は、「氏名の公表」戦術を採用したことで見出しを飾った。Maze攻撃者は、支払いをしない被害者の盗まれたデータを公開する公開ウェブサイトを運営している。このような行為は、攻撃者からの脅威に信憑性を与え、ハッキングの結果から生じる広範囲の注目と名声の下落の可能性を高め、機密データ公開に対する罰金、訴訟、規制当局からの監視の目の高まりを起こさせうる。このため、身代金の支払いがより頻繁になり、要求される金額も高くなった。

よく知られたランサムウェア「REvil」や「Sodinokibi」を用いた作戦を実行するサイバー犯罪者もいる。この作戦は、多くの広範なランサムウェア攻撃よりも洗練されており、標的が絞られている。攻撃者は、まず被害企業のネットワークにアクセスし、貴重なデータを探し出して流出させた後、最終的に攻撃の別の段階でランサムウェアを展開する。暗号解読キーに対する身代金を要求するだけでなく、頻繁に少量のデータを公開して、何を流出させたかを示し、それ以上にデータが公開されないようにするために、さらに支払いを要求する。また、ダークウェブ上でデータを販売するものもいる。

「この方法によって、攻撃者は何度となく脅かして儲けをせしめ、不幸な被害者にプレッシャーをかけ続ける」と、VMウエア・カーボン・ブラック社のサイバーセキュリティ戦略担当者グレッグ・フォスは述べる。「第一に、最も明白なことは、システムの暗号化を解除する見返りに身代金を要求できるということである。第二に、被害者が抵抗すれば、攻撃者は、盗んだデータを攻撃の証拠として公開し、企業秘密を暴露するだけでなく、大きな評判や規制上の損害を引き起こす恐れがある。犯罪グループによっては、違反が公表された場合に企業が支払うことになる罰金に基づいて、身代金要求を主張することさえある。第三に、被害者が身代金の支払いを拒否した場合でも、盗まれたデータはダークウェブ上で販売することができ、別の収益源となる。」

評判や規制への影響があるので、これらの攻撃は、法律事務所や銀行などの専門知識や金融サービスに関連する企業を標的にすることが多い。フォスはまた、攻撃者は、収益性の高い標的を特定するために、より多くの時間を費やしていると指摘した。「収益性の高い標的とは、メーカーや研究企業のように、稼働停止に耐えうる能力が低い、または価値のあるIPを多く持っている企業である。」

攻撃者は医療機関にも大きく焦点を当てている。バングルが指摘するように、ブラックベリー社の研究者は、「標的となるデータの重要性」から、医療機関が最も身代金を支払う可能性が高いことを発見した。多くのサイバー犯罪者は、運営を維持する必要があることと、医療記録の価値が高いことから、闇市場での潜在的な買い手を見込んで、この機会を狙っている。例えば、ニュージャージー大学病院は9月、患者情報を含む盗まれたデータを公開すると脅した攻撃者に67万ドルの身代金を支払った。英国を拠点とする美容・減量手術チェーンのホスピタル・グループは、12月にランサムウェア攻撃にあって、有名人の顧客写真を含む患者のビフォーアフター写真を入手され、脅迫された。

脅威分析者とインシデント対応者は、2020年の二重恐喝事件の顕著な増加を報告し、「氏名と恥」攻撃の増加がランサム要求の増加にも結びついているとしている。事故対応企業のコーブウェアは、2020年の第2四半期から第3四半期の間にランサムウェア要求がおよそ3分の1増加したが、一方で、盗まれたデータを公開するという恐喝を含むデータセットでの脅威は50%近くに増加したと報告した。

前に進む

次の四半期末までに、データ流出の脅威をコーブウェアは報告している。とはいえ、2020年末はデータ流出戦術の転換点になる可能性がある。第3四半期には、この脅威に直面した企業の75％が身代金を支払っていたが、第4四半期には60％にまで減少した。

同社は、「盗まれたデータを削除することは信頼できない」ため、これらの攻撃に対する支払いは減少すると考えている。四半期ごとの最新のランサムウェア報告書に詳細が記載されているように、「コーブウェアでは、支払い後に盗まれたデータが削除ないしは消去されない兆候を目撃し続けている。さらに、データの流出が発生しなかった場合でも、データ流出があったかのように作り込む手段を用いている犯罪グループもある。」

同社はまた、支払い率の低下が被害者からの支払額の減少につながっていると考えており、平均支払額は34％減の154,108ドル、中央値は前年同期比55％減の49,450ドルになったと指摘している。

しかし、インシデント対応者は、もう一つの問題が浮上していると警告している。ランサムウェアによる被害者は、今もなお費用を支払っており、支払いを求めるハッカーの数は依然として多い。特にこれらの破壊ソフトはRaaS（ランサムウエア・アズ・ア・サービス）モデルの下で、ダークウェブ上で入手可能であるためである。この技術と標的型ランサムウェアの展開は、ランサムウェアの高度化を反映していて、RaaSモデルでは、意図的に、あるいは単に偶然に、より破壊的な攻撃方法を用いることができる経験の浅い犯罪者も参加できるため、それを使うことのできるハッカーの範囲が広がっている。

「第4四半期に、コーブウェア社は複数の被害者から、サーバーや共有データにあるすべての情報が永久に消去され、暗号キーを購入しても、データを回復できないという報告を受けた」と、報告した。「ランサムウェア実行者は、データを削除する際には、一般的に十分注意を払っている。被害者は、データが残っていて、単に暗号化されている場合にのみ、そうしたツールへの支払い意欲が高まることを知っているからである。偶発的なデータ破壊が増加することで、被害者の中には、重大なデータ損失を被り、システムをゼロから再構築するのに苦労しなくてはならず、業務の中断を長引かせた被害者もいる。これらの事象が異常なものなのか、または経験の浅い犯罪者の攻撃実行時の仕業なのかはまだ不明である。」

二重恐喝攻撃に直面し、最終的に身代金の支払いを選択する企業に対して、コーブウェア社は被害者に以下のことを予想するよう助言している。

• 脅迫行為者はデータを破棄しないかもしれない。被害者は、データが取引、売却、置き忘れられたり、将来の恐喝のために保管されたりするかもしれないことを想定すべきである。
• 盗まれたデータは、複数の者が保有しており、安全性が確保されていないこともある。脅迫者が支払い後に大量のデータを削除したとしても、それにアクセスしていた他の者がコピーを作成し、後から被害者を脅迫してくるかもしれない。
• 被害者が恐喝に応じる前に、データが意図的に公開されたり、誤って公開されたりするかもしれない。
• 脅迫行為者は、支払い後にデータを戻すことを明白に約束したとしても、自分が盗んだ記録を完全なもので引き渡すことがないかもしれない。

注意事項：Ransomware Attackers Turn to Double Extortion”, Risk Management, March,
2021, pp.8-9 をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。

ヒラリー・タットルは本誌上級編集者。