身代金110億円「史上最悪級のランサムウェア被害」を防げなかった理由：記録的な“身代金支払い額”の謎【中編】

ランサムウェア集団Dark Angelsは、100TBものデータを盗み、その見返りとして史上最高レベルの身代金を得た。なぜこれほどの成功を収めることができたのか。攻撃の経緯と新たな手口の実態に迫る。

[Rob Wright，TechTarget]

　2024年7月にセキュリティベンダーZscalerが公開したレポート「ThreatLabz 2024 Ransomware Report」は、ランサムウェア（身代金要求型マルウェア）集団Dark Angelsが100TBのデータを盗み出した上、7500万ドル（約110億円）もの身代金を要求したことを明らかにした。被害を受けた組織は、米国のその製薬大手Cencora（旧AmerisourceBergen）だという推測があるものの、身代金支払いや被害の詳細については全容が明かされていない。

　盗まれたデータも身代金も史上最大規模となった今回のランサムウェア攻撃は、なぜ起こったのか。被害組織の問題と、攻撃者の手口の変化の両面から読み解く。

「驚き」の100TB流出はなぜ起こってしまったのか

併せて読みたいお薦め記事

連載：記録的な“身代金支払い額”の謎

• 前編：身代金「100億円超え」　事件を語りたがらないランサムウェア被害者の正体

さまざまなランサムウェア被害

• 2024年の10大ランサムウェア攻撃を振り返る
• 身代金目的だけじゃない？　カシオを狙ったランサムウェア集団の“裏事情”

　ZscalerはCencoraへの攻撃と身代金の支払いについて考察している。注目すべき点は、Dark Angelsが被害企業から約100TBのデータを流出させたことだ。

　Dark Angelsは被害者から大量の機密データを盗む能力に秀でているとストーングロス氏は分析する。2023年、Dark Angelsはビルオートメーションシステムを手掛けるJohnson Controls Internationalの仮想マシンを暗号化し、27TB以上の機密データを盗んだと主張した。

　「100TBという数字は驚異的だ」と、Zscalerの脅威インテリジェンス担当ディレクターであるブレット・ストーングロス氏は話す。技術的に考えると、Dark Angelsは数週間にわたってデータを盗み続けていたことになるという。「これほどの量のデータを盗むには時間がかかる。TB規模のデータが社外ネットワークに出ていくことはめったにない。企業でそのような状況が生じた場合、それは自社のネットワークをきちんと監視していないということになる」（ストーングロス氏）

　Zscalerは、7500万ドルの身代金を支払った被害組織の開示を拒んだ。このことに対してストーングロス氏は透明性の不足を指摘し、「憂慮すべき傾向が浮き彫りになった」と述べる。

　原稿執筆時点でZscalerは、Cencoraが受けたランサムウェア攻撃とそれに対する身代金の支払いに関する情報をほとんど提示していない。Zscalerはレポートで初めてこの事件を取り上げたものの、わずかな説明しかしておらず、詳細情報、特にこの支払いを発見した経緯については口をつぐんでいる。

　一方でZscalerが情報の入手方法を公開すれば、攻撃者がその方法を認識できるようになることも事実だ。その場合、「同社は今後同じ方法で情報を収集できなくなってしまう可能性がある」とストーングロス氏は述べる。

　Zscalerがレポートを公開して以来、ストーングロス氏は恐喝を目的としたサイバー攻撃によるデータ流出量の増加を目の当たりにしている。「2023年は50GB、時折100GBといった程度だったが、今ではTB規模のデータを盗むグループが目立ってきた」と同氏は語る。

変化する攻撃の手口

　LockBitやRansomHubといった活発なランサムウェア集団とは異なり、Dark Angelsは攻撃を外部に委託するRansomware as a Service（サービスとしてのランサムウェア）モデルではない。Dark Angelsは盗んだデータを公開して標的を恐喝するためのWebサイト「Dunghill Leak」を運営しているが、独自のランサムウェアを持っているわけではなく、Ragnar Lockerなど他のランサムウェアの亜種を利用している。

　Zscalerのセキュリティ研究チームThreatLabzは2024年10月に公開したブログエントリ（投稿）で、Dark Angelsは2022年に登場して以来、一貫して大量のデータを盗み、7500万ドルの身代金を取る前までは目立たないように行動してきたことを指摘する。今回の事件以前のDark Angelsは、手口が他のランサムウェア集団と大きく異なり、ほとんど正体を現さなかった。

　今回の事件では膨大な量のデータが盗まれた一方で、ThreatLabzの研究者は身代金の額の大きさに衝撃を受けた。「驚いた」とストーングロス氏は感想を口にする。「要求額の増加傾向は顕著だ。Dark Angelsは大きな成功を収めており、独自の攻撃方法と運営方法を有する」（同氏）

　その変遷の一貫として、Dark Angelsは従来型のランサムウェア攻撃から、純粋なデータ窃取と恐喝にシフトしている。「大物」を狙う戦略にも移行している。1回につき時価総額の大きな企業1社に狙いを定め、莫大（ばくだい）な身代金を要求するに足る大量の機密データを盗むやり方だ。

　7500万ドルの支払いは、このような傾向の中で決定的な出来事であり、懸念を抱かせるものとなった。ストーングロス氏によると、今回の事件でDark Angelsは標的の社内LANにランサムウェアを展開しなかった。7500万ドルもの身代金は、盗まれたデータの公開を防ぐためだけに支払われたことになる。

　この動きは、米国東部で燃料不足を引き起こした石油パイプライン大手Colonial Pipelineへのランサムウェア攻撃など、過去の著名なランサムウェア攻撃事例とは大きく異なる。Colonial Pipelineはランサムウェア集団DarkSideに440万ドルを支払い、そのうち230万ドルを法執行機関が回収した。

なぜ7500万ドルもの身代金を支払ったのか

　Dark Angelsの攻撃については複数の疑問が浮上する。標的となった組織は攻撃によって業務に支障を来していないのに、なぜ記録的な金額を支払ったのか。盗まれた100TBのデータには、どのような機密情報が含まれていたのか。

　サイバーセキュリティベンダーBlackFogの創設者兼CEOであるダレン・ウィリアムズ氏は、支払金額がこれだけ大きいのは、Dark Angelsが被害組織から盗んだ100TBのデータの中に「非常に機密性の高い情報」が含まれていたからだと推測する。「顧客データを超える重要な情報を手に入れたとみられる」とウィリアムズ氏は言う。

　匿名希望のある脅威アナリストは別の見解を示す。「ランサムウェア攻撃で盗まれたデータが、実際にはそれほど機密性の高いものではない場合は意外とある。被害者が実際の被害を確認する前に、意思決定者を脅して支払わせる手口もある」

　このアナリストによれば、おそらく被害組織は、流出したデータが膨大だったため、どのデータが盗まれたのかを完全に確認することが困難だった可能性がある。「この組織は年間売上高が数十億ドルに上る企業であり、支払った方が得だと判断して7500万ドルを支払ったと考えられる」と指摘する。

　詳細の大部分が謎に包まれている一方で、ストーングロス氏は「他のランサムウェア集団やサイバー攻撃者がDark Angelsの成功に注目しており、その手口を模倣しようとする可能性が高い」と警告する。

　Dark Angelsの手法は他の攻撃者にも広がる可能性があるとストーングロス氏はみる。不特定多数の企業ではなく、自分たちにとってうま味のあるターゲットに狙いを定める手法が広がるということだ。「攻撃者は、組織がデータを重視していて、データを守るためなら何でもすると考えているため、データ盗難による恐喝や外部流出の脅威はさらに増える見込みだ」と同氏は説明する。

---

　次回は、被害組織に課せられた規則の問題点を取り上げる。

TechTarget発　先取りITトレンド

米国Informa TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。