中小企業へのランサムウェアによる脅迫件数が増加--ウィズセキュア調査

　フィンランドを拠点とするWithSecureの日本法人ウィズセキュアは9月4日、2024年上半期のランサムウェアをめぐる情勢やトレンドに関するインサイトをまとめたレポート「最新ランサムウェア脅威レポート 2024年上半期版」を公開した。

　ランサムウェア業界の規模は2023年後半にピークを迎えた後、2024年にはその生産性はほぼ横ばいの傾向を見せているという。しかし、2024年上半期における攻撃件数や身代金の支払額は2022年や2023年の同時期と比較して上昇傾向にある。

　2024年上半期にランサムウェアのリークサイトに掲載された被害者数は2568件。地域別では米国が1位で1332件（52％）、欧州が644件（25.1％）でそれに続いた、日本は21件で0.8％だった。セクター別では、1位のエンジニアリング／製造業が20.59％で、2位の不動産／建設（9.02％）に倍以上の差をつけた。企業規模別では従業員200人以下の小規模組織が2022年の50％から61％に増加した。

　「2024年2月の法執行機関によるLockbitのテイクダウンは主要なランサムウェアグループの活動を阻止する上で重要な役割を果たしたが、テイクダウンの長期的な影響は依然として不透明であり、ランサムウェアグループはこれに順応し、そして進化している」とWithSecureで脅威インテリジェンス部門の責任者を務めるTim West氏は語る。「私たちは、Lockbitはより強固なオペレーション体制での復活を模索しており、現在は再構築の段階にあることはほぼ間違いない」（同氏）

　同レポートでは、ランサムウェアグループのアーキテクチャーを検証し、アフィリエイトを自陣に引き入れるためにグループ間の競争が激化していることについても取り上げている。法執行機関によるLockbitやALPHVへの措置の後、「ノマド型」のアフィリエイトが、他のグループに移籍して活動しているという。

　「ALPHVの出口詐欺では、アフィリエイトが本来得るはずであった報酬をALPHAVが支払わなかった。そのため、サイバー犯罪コミュニティー内の信頼は著しく低下している。アフィリエイトの勧誘のために、Medusaは利益の最大90％を、Cloakは85％をそれぞれアフィリエイトに分配するとしている。こうした背景もあり、ランサムウェアのエコシステム内のパワーバランスがさらに複雑なものになってきている」と West氏は指摘する。

　同レポートで確認された顕著な傾向として、エッジサービスの悪用による初期アクセスの採用が増加していることや、ランサムウェアグループが正規のリモート管理ツールを頻繁に使用していることがある。身代金を支払った企業・団体が同じまたは別のランサムウェアグループにかなりの割合で再度標的にされたというデータもあり、再感染という根強い問題も挙げられている。

　また、攻撃の対象が大企業から中小企業へと移行し始めているというデータも得られている。「2022年以降、ランサムウェアのリークサイトに掲載される企業のうち、中小企業が占める割合が大きくなってきている」とWest氏は述べる。身代金の支払率が低下し、1件当たりの身代金支払額も小さくなってきていることから、「攻撃グループがトータルでの収益を保つために脅迫の件数は増加している。大企業と違い、中小企業はサイバー保険に加入していないところが多く、身代金の額は少なくても、攻撃者にとっては狙いやすいターゲット」（同氏）