ニュース
日本のランサムウェア検出率は世界1位。「攻撃者にメリットが大きい標的と認識されている」~アクロニスが2024年度上半期のサイバー脅威レポート
KADOKAWA、イセトーなどの攻撃事例を分析
2024年8月9日 09:30
アクロニス・ジャパンは8月8日、サイバー脅威研究部門であるAcronis Threat Research Unit(TRU)による「2024年度上半期 サイバー脅威レポート」を発表。ランサムウェアの検出率が世界15カ国において、日本が最も高いという結果が出た。
TRUによる発表は年2回行われ、世界15カ国の100万以上のWindowsエンドポイントを活用し、サイバーセキュリティの動向を浮き彫りにしている。これによれば、2024年第1四半期(2024年1月~3月)の日本におけるランサムウェアの検出率は16.5%で、米国の5.4%、英国の2.5%などを大きく上回り、2位のドイツの13.4%に対しても、3.1ポイントも上回っている。また、2024年4月の日本の検出率は5.6%、5月は4.5%と減少しているが、それを差し引いても先進国の中で、検出率が最も高い状況を保っている。
さらに、2024年6月の全体におけるランサムウェア検出率は3.7%、最新データとなる7月も3.7%となってい一方、日本におけるマルウェアの検出率は6月が13.1%、7月が13.7%となり、悪意のあるURLの検出率は6月が20.8%、7月は21.2%となった。
日本にはソーシャルエンジニアリングに弱い「誤った信頼感」がある
Acronis最高情報セキュリティ責任者のケビン・リード氏は、「6月、7月は、日本におけるランサムウェアの検出率が(第1四半期に比べて)減少しているが、攻撃があったものの、成功していないのではないかと推測している」とコメント。「日本において、ランサムウェアの検出率が高い理由は、日本の文化によるものが大きいと考えている。日本には、誤った信頼感があり、パスワードを盗み出すソーシャルエンジニアリングなどにひっかかりやすい傾向があると分析している。また、技術的な観点での課題として、アップデートが遅れがちであり、古いシステムに対する攻撃が多い点も見逃せない」と語った。
さらに、日本の企業には、お金がたくさんあるという認識も広がっているとも、リード氏は指摘した。それは「攻撃者にとって、成功した際のメリットが大きい標的として認知されていることを示す」という。「ランサムウェアはビジネスとして運用されている。日本の企業は豊かであり、狙われやすい。日本の企業は、ランサムウェアによるリスクがあることをしっかりと認識し、それに対する準備を行う必要がある」と、リード氏は提言した。
昨今の日本企業に対するランサムウェアによるサイバー攻撃では、株式会社KADOKAWAに対して攻撃をしたBlackSuitグループについて言及した(編集部注:BlackSuitは、KADOKAWAへのサイバー攻撃に関して犯行声明を行っている)。「BlackSuitグループは、ヘルスケア、教育、IT業界をターゲットとした犯罪集団である。BlackSuitグループの前身は、Royalランサムウェアグループであり、7月23日以降に新たなグループとなっている。これまでの被害組織に対しては5億ドルの身代金を要求している」とした。
また、HOYA株式会社に対する2024年4月のランサムウェア攻撃は、Hunters Internationalによるもので、ファイルの暗号化を解除してデータを盗み、このデータを公開しないかわりに、1000万ドルの身代金を要求したという。ロード氏は「Hunters Internationalは、Hiveから派生したもので、新たに出てきたものではない」と分析する。
そして、2023年10月から行われたイセトーに対するサイバー攻撃は、8Baseによるもので、90万件の個人情報が漏洩。「フィッシングによる攻撃から始まっており、リモートアクセスツールを活用して、情報を入手している。8Baseは、ヘルスケアや公共分野をターゲットとしているグループである」と述べた。
一方、今回の調査レポートでは、全世界でのメール攻撃が 前年同期比で293%も増加していることが判明した。また、ランサムウェアの検知件数も32%増となっており、2024年第1四半期に公表されたランサムウェアの事案は1048件と、前年同期に比べて23%増になっている。
マルウェアの寿命が短くなることで、検知が困難に
同レポートの執筆者の一人であるAcronis技術担当シニアディレクターのアレキサンダー・イバニューク氏は、「世界中において、最大の脅威がランサムウェアであることに変わりはない。だが、ランサムウェアをはじめとするマルウェアの寿命は非常に短くなり、検知は困難になっていることに気をつけなくてはならない。これは、セキュリティ企業や、一般企業、エンドユーザーにとって深刻な問題と言わざるを得ない」と指摘した。調査によると、ランサムウェアを含むマルウェアの平均生存率はわずか2~3日となっているほか、観測したマルウェアのうち、82%が1度しか観測されていないものだったという。対策の難しさを浮き彫りにする結果だとしている。
3つのグループによる攻撃が全体の35%を占める
また、攻撃の大半は3つのランサムウェアグループによるものであることもわかったという。調査結果では、LockBit、Black Basta、PLAYの3つのランサムウェアグループによる攻撃が、全体の約35%を占めており、上位10グループの犯行とされるサイバー攻撃は、第1四半期だけで、世界中で合計84件にのぼったと報告されている。
2024年第1四半期に、エンドポイントでブロックされたURLは2800万件に達し、受信された全てのメールのうち、27.6%がスパムであり、1.5%にマルウェアまたはフィッシングのリンクが含まれていた。ほかにも、組織におけるメールでのコミュニケーションが急増し、1組織あたりの送受信メール数は25%増加していることに加えて、こうしたメールの増加とともに、組織を標的としたメール攻撃が47%も増加しているという事態にあることも判明。また、ユーザーの26%が、悪意のあるURLを用いたフィッシング攻撃に遭遇しているという。そのほか、サイバー犯罪者は、WormGPTやFraudGPTなどの悪意のあるAIツールを活用していることも指摘した。
MSP(マネージドサービスプロバイダー)への攻撃についても触れている。MSPは常に多くの攻撃を受けており、最も多かったのはメールによるフィッシング攻撃で、全体の30%を占めた。2024年上半期に高頻度で検知されたMITRE(マイター)ATT&CKの上位5つの手口は、「PowerShell」、「WMI (Windows Management Instrumentation)、「プロセスインジェクション (Process Injection)」、「データの不正操作 (Data Manipulation)」、「アカウント検出 (Account Discovery)」だった。
イバニューク氏によれば、「これらの攻撃は独立した形で行われることが多いが、組み合わせた攻撃も見られている。フィッシング攻撃が成功すると、そこからリモートアクセス攻撃や、盗んだクレデンシャル情報を活用するといったことが行われている」という。
Windowsの「ブルースクリーン問題」に対しても提言
先頃、発生したCrowdStrikeに起因したWindowsのブルースクリーン障害に関しても言及。企業における必要な対策についても解説された。リード氏は、「ランサムウェアやマルウェアからの保護システムを効果的に動作させるには、エンドユーザーコンピュータ上のOSに高い権限を持たせる必要がある。それだけにソフトウェアの脆弱性やバグは重要な問題になり、適切な形でテストが完了するまでは、エンドユーザーのデバイスには展開するべきではない」とした。
ユーザー企業もソフトウェアのアップデートがあった場合には、一気に展開するのではなく、順次、段階を経て、展開すべきだと、リード氏は指摘する。「問題があったら、その時点で対策を取ることができる。最高のソフトウェアを導入したとしても、必ず問題は発生する。重要なのは統合化したバックアップ体制を取ること、DR(ディザスタリカバリ)の体制を構築すること、オペレーションの課題が発生してもすぐに修復できる体制を確立しておくことが大切である」とした。
なお、Acronisではサイバープロテクションオペレーションセンターを米国、スイス、シンガポールに設置し、24時間365日体制で脅威を監視。アクロニス・ジャパンの川崎哲郎社長は、「サイバープロテクションオペレーションセンターでは脅威の最新動向を捉えるとともに、アクロニス製品を利用しているユーザーへの高度なサービスを提供している」と語る。
イバニューク氏は、「プロダクトやサービスを、常にアップデートし、質の高いプロテクションを提供する役割を担うとともに、専門知識を提供する役割を担っている。また、TRUを通じた脅威レポートやブログの公開のほか、研究成果はカンファレンスなどで発表している。最新のブログでは、新たなランサムウェアファミリーであるZolaランサムウェアに関して報告している」と述べた。
