フォーティネット、インターポールのランサムウェアに関する初のグローバルカンファレンスに参加

米国時間2021年8月6日に掲載されたフォーティネットブログの抄訳です。

フォーティネットは、2021年7月12日にオンラインで開催された第1回 INTERPOL High-Level Forum on Ransomware（ランサムウェアに関するインターポールのハイレベルフォーラム）に参加するよう依頼されたことを誇りに思います。FortiGuard Labsのデレク・マンキー (Derek Manky) は、インターポールの事務局長兼サイバー犯罪担当エグゼクティブディレクター、国連のサイバー犯罪担当チーフ、世界経済フォーラムのリーダー、世界中の法執行機関のメンバーなど、他のサイバー犯罪の専門家と一緒に、世界中で急増するランサムウェアとその世界経済への影響の拡大について議論しました。また、マンキーは、2015年に発足したINTERPOL Global Cybercrime Expert Group (IGCEG)のメンバーでもあります。IGCEGは、サイバー犯罪の専門家から選抜されたグループで、毎年ワークショップに参加し、さまざまな問題に取り組んでいます。

フォーラムの大半は、サイバー犯罪が世界の組織や企業、重要なインフラ、重要なサービス(特に医療)に与える現実的な影響について議論することに費やされました。最近の名前の知られたランサムウェア攻撃や、ランサムウェアが増加しているというFortiGuard Labsの調査結果を考えると、非常にタイムリーなトピックです。

また、発表者は、注目を浴びる攻撃が最も注目される一方で、ほとんどの攻撃はニュースにならず、報道されないものも多いと指摘しました。身代金の要求額に幅があるのは、攻撃を仕掛ける犯罪者の巧妙さが関係しています。今日のサイバー犯罪者の活動は、しばしば高度に分散しています。

ランサムウェアに関するインターポール初のグローバルカンファレンス - サイバー犯罪のマッピング

また、マンキーは、世界経済フォーラムと共同で行っている新しい脅威のマッピングプロジェクトについても語りました。この取り組みは、サイバー犯罪に対抗するための戦略として、ランサムウェアなどの攻撃を実行しているアドホックな組織を含めたサイバー犯罪のマッピングに焦点を当てています。その目的は、問題の範囲を効果的に理解し、その情報を使ってサイバー犯罪を妨害するための戦略的ツールを作ることです。

これは見た目以上に難しいことです。注目を集める攻撃には、有名な犯罪者の名前が挙がることもありますが、実際には、何十人もの独立した請負人が、地下の匿名のチャットルームで協力してその攻撃を実行していることが多いのです。このプロジェクトのもう一つの側面は、これらの要素を議論したり追跡したりするための共通の枠組みがないことに対処することです。その代わりに、さまざまなリサーチャーや組織が異なる名前を使ってこれらの要素を属性化していて、これが混乱を招いています。

何十億ドルもの収益を上げている犯罪活動は、一匹狼で行われているわけではありません。むしろ、サイバー犯罪活動の多くは、共通の目的のために協力し合う緩やかな関係のグループの結果として行われています。その中には、ディベロッパーやパッカー、特殊なプラットフォームに精通している者などのように、クライムウェアを作成する者もいれば、国家やホスティングサービスなどのように支援者となる者もおり、さらには活動を行う主要な犯罪組織のメンバーもいます。ランサムウェアの攻撃で最も一般的な要素、つまりビジネスユニットは以下の通りです。

1. ターゲットとなりうる組織を事前に特定する。高度なツールを使用するアナリストは、トラフィックパターンやデータの動きを観察して、攻撃に最適な時間と場所を決定し、セキュリティギャップを利用したり、導入されているセキュリティソリューションによる検出を回避できるツールを選択したり、ミスディレクションなどの戦略を用いて攻撃を隠蔽する方法を決定します。
2. また、別のグループは、既存のボットネットを展開または活用したり、自動化されたツールを実行して、脆弱性が公開された機器を発見し、侵害することもあります。これらは、特定の脆弱性を探すスパムや自動化されたスキャナーのような広範な活動の場合もあれば、特定の被害者のオンラインリソースを調査する標的型システムの場合もあります。
3. 同時に、財務の専門家グループが、組織のビジネス、リソース、潜在的なデータの価値などを検討し、身代金をどれだけ高く設定するかを決定します。最近のあるレポートによると、現在、支払われた身代金の平均額は、すべての被害者に対して170,404ドルとなっています。しかし、身代金の平均額はあらゆる規模の組織に分散しています。小規模な企業の身代金相場は2万ドル以下の場合もあれば、大規模な企業の場合は数百万ドルに上ることも少なくありません。しかし、いずれの場合も、攻撃者は攻撃開始のかなり前に、どのくらいの金額を要求すればよいかを正確に把握していることが多いのです。さらに悪いことに、身代金を支払った後、すべてのデータを復旧できた企業はわずか8％で、約3分の1は半分以上を復旧できていません。
   
4. 次の決断は、被害者を対象とした新しいツールを開発またはカスタマイズするのか、それとも既存のRansomware-as-a-Serviceを利用するのかということです。どちらにも利点があります。しかし、他の企業と同様に、犯罪企業にとってもROI (費用対効果) は重大な検討事項です。カスタムメイドの攻撃は、特に新しい脆弱性をターゲットにした場合、検知と阻止が難しくなりますが、構築には非常にコストがかかります。RaaSの場合、コストははるかに低いものの、ターゲットのセキュリティプロファイルによっては十分な効果が得られないこともあります。この決定を支援するために、専門チームがコスト分析に基づいて最適な行動を決定することがあります。
5. 同様に重要なのは、被害者にお金を払ってもらうために、どのような方法で恐喝を行うかということです。単純にデータを暗号化してランサムノートを残すだけでなく、多くの犯罪者は2重、3重、4重の方法で恐喝を行っています。二重の恐喝は、通常、暗号化とデータの流出を組み合わせたもので、身代金を支払うための追加の動機として、データを公開したり、公表したりするという脅しをかけます（doxingとも呼ばれます）。第3の層では、DDoS攻撃を加えてシステムを停止させ、さらに混乱とパニックを引き起こして、被害者があきらめてしまうようにします。さらに新しい第4の層では、被害者の顧客や関係者に直接連絡を取り、身代金の支払い（および個人情報の開示）に向けてさらなる圧力をかけます。
6. もう一つの重要なプレーヤーは、被害者と直接交渉して価格を決定したり、支払い方法を明確にしたりするプロの交渉人です。
7. デジタルマネーミュールやロンダラーは、高度な暗号技術を含む洗練されたシステムを使用して、迷路のような接続を介して資金を転送するため、法執行機関は資金を傍受したり、サイバー犯罪者にたどり着くことができません。
8. 他にも、データトラックを削除したり、RaaSサービスをオンラインで潜在的なユーザーに宣伝したり、さらには不正に得た利益をバレないように使うためのファイナンシャルプランニングサービスを提供したりすることもできます。

悪者を捕まえてランサムウェアを防ぐ

多くのランサムウェアキャンペーンの構造が複雑であることに加えて、責任者を捕まえることも重要です。この課題には2つの要素があります。

上記のようなサービスの多くは、ダークウェブのチャットルームで匿名で提供されているため、1人の個人やグループを捕まえても、組織を止めることはできません。伝説の9つの頭を持つヒドラのように、1つの頭を切り落としても、また生えてくるだけです。この場合は、同じサービスを提供しようとする新しい個人や組織に取って代わられます。もう1つの課題は、国際的な国境にあります。サイバー犯罪者を追い詰めることには成功していますが、協力してくれない国があるため、彼らは依然として逮捕を免れています。

インターポールのランサムウェアカンファレンスで得られたこと

今回のカンファレンスでは、ランサムウェアの被害を食い止めるために、法執行機関をはじめとする官民の機関が活用すべき4つの重要なポイントが示されました。政府や法執行機関にとって、これらの教訓は次のとおりです。

1. 意識の向上、パートナーシップ、情報共有によるランサムウェアの防止。
2. グローバルな法執行活動により、ランサムウェアとそのエコシステムを事前に破壊することを目指す。
3. インターポールのグローバルネットワークと能力を活用して、ランサムウェア攻撃に対する緊急支援を行う。
4. ランサムウェア攻撃後の事後サポートを確実に行い、回復力、敏捷性、対応力を高める。

​また、これらの目的を達成するには、民間企業との緊密なパートナーシップが必要です。公的機関は、高度化する今日のサイバー犯罪企業に効果的に対抗し、対策を講じるために、高度な予防・検知・対応技術、脅威のハンティングや犯罪者の追跡機能、ベストプラクティスやトレーニング、AIや機械学習の進歩など、それぞれの努力を組み合わせる必要があります。

フォーティネットの脅威リサーチとインテリジェンス組織であるFortiGuard Labsと、FortiGuard のセキュリティサブスクリプションとサービスポートフォリオの詳細についてご覧ください。