組織はランサムウェア攻撃に備え、暗号化されたデータを復元する対策を用意しているにもかかわらず、身代金を支払う例が散見される。なぜなのか。
セキュリティベンダーCheck Point Software Technologiesの脅威インテリジェンス部門Check Point Research(CPR)の調査によると、ランサムウェア攻撃の継続期間は短くなった。攻撃の継続期間は2017年から2020年にかけて増加を続け、2020年には平均で15日となったが、2021年には約10日に短縮した。この背景には、組織が“ある脅威”に直面している現実がある。
組織を脅かしているのは、データの不正な暗号化と同時に窃取した情報を暴露すると脅す「二重脅迫型攻撃」の存在だ。CPRによると、2020年頃から広がったこの手口により、攻撃グループと組織の交渉期間は長期化した。その影響で2020年の攻撃継続期間はピークを迎えたが、2021年には短縮した。
「ランサムウェア攻撃の実態は、加害者と被害者が互いに優位性を競う中で常に変化している」とCPRは指摘する。組織がランサムウェアへの対策を強化する一方で、ランサムウェア攻撃グループは、攻撃の手口や交渉のプロセスを変えている。
セキュリティベンダーSophosは2022年4月にランサムウェアに関する調査結果を発表した。調査結果において注目すべきは、攻撃により暗号化されたデータの復元手段を持つにもかかわらず、身代金を支払ったランサムウェア被害組織が相当数いることだ。同社によると、これは二重脅迫型攻撃の増加が影響しているという。つまり被害組織は、バックアップからデータを復元できるかどうかは気にしておらず、「データの不正な流出や販売を防ぐためには身代金を支払うしかない」と考えていることが分かる。
CPRでマネジャーを務めるセルゲイ・シュキエヴィチ氏は、攻撃グループも被害組織も、身代金支払額以外の考慮事項を持っていると指摘する。CPRの調査によれば、ランサムウェア攻撃における交渉に当たり、攻撃グループは明確な基本ルールを持っている。ランサムウェア攻撃グループContiの場合、被害組織の財務状況やサイバー保険の有無、流出させたデータの質と重要度、さらには被害組織の交渉担当者のアプローチや利害関係まで把握している。特に同グループは、「身代金を支払えば適切にデータを復号し、情報漏えいはしない」という自らの評判を重視し、それを交渉に織り込んでいる。
ランサムウェア攻撃グループが身代金の額を決めたり交渉を進めたりする際、その体系的である様には目を見張るものがあるという。「ランサムウェア攻撃グループの言動に場当たり的なものはなく、根拠に基づいて計画を立てている」とシュキエヴィチ氏は述べる。
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
AIの進化が加速する「プラットフォームビジネス」とは?
マーケットプレイス構築を支援するMiraklが日本で初のイベントを開催し、新たな成長戦略...
「マーケティングオートメーション」 国内売れ筋TOP10(2024年12月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
2024年の消費者購買行動変化 「日本酒」に注目してみると……
2023年と比較して2024年の消費者の購買行動にはどのような変化があったのか。カタリナマ...