昨年観測されたランサムウェアによる身代金要求額は平均610万ドル、2020年から約4割増

2022.03.09

クラウドストライクは、「2022 CrowdStrike Global Threat Report（2022 年版 CrowdStrike グローバル脅威レポート）」の英語版を公開。同社リージョナル・マーケティング・ディレクター・古川勝也氏がメディア向けに解説を行なった。

古川勝也氏

クラウドストライクのマーケティング・ディレクター兼セキュリティ・アドバイザー。日本におけるセキュリティ対策の普及に 20 年以上にわたって活動。セキュアワークス社の日本設立当時から参画し、企業の CIO、CSO 向けのセキュリティアドバイザリーおよび、マーケティング/市場開発に従事。マイクロソフト社では、セキュリティ戦略責任者兼エグゼクティブ・セキュリティ・アドバイザーやセキュリティ製品のエグゼクティブ・プロダクトマネージャーに従事した。

兵庫県出身。日本 Linux 協会理事、日本ネットワークセキュリティ協会理事兼マーケティング部会長、セキュリティ対策推進協議会理事、itSMF Japan 理事、SEA/J 理事、IPA 情報システム等の脆弱性情報の取扱いに関する研究会メンバー、早稲田大学理工学部非常勤講師などを歴任。CISSP、CISA (公認情報システム監査人）。

国家主導型攻撃者と犯罪グループが引き続き勢力を拡大

2021年の情勢は、新たな攻撃者の登場によって、さらに混雑したものになったと話す。クラウドストライクは現在、合計170以上の攻撃者を追跡している。

同社の脅威ハンティングの専門チーム、CrowdStrike OverWatch が追跡する対話型の侵害試行のうち、金銭を目的とするサイバー犯罪（eCrime）攻撃が引き続き大半を占めているという。

サイバー犯罪（eCrime）を起因とする侵害は、観測されたすべての攻撃の半数（49%）にのぼるのだ。

また、イランを拠点とする攻撃者は、利用者のアクセスを制限して解除のための身代金を要求するランサムウェアと「ロックアンドリーク」による破壊的な情報操作を組み合わせている。

この手法では、ランサムウェアを使用して標的のネットワークを暗号化し、その後に攻撃者が管理するペルソナや組織を介して、被害者の情報を漏えいするという。

さらに、2021 年、中国と関わりのある攻撃者が脆弱性悪用の主導者として登場し、「Microsoft Exchange」などのネットに接続されたデバイスやサービスを標的とする戦術が見られた。クラウドストライクは、中国と関わりのある攻撃者が、2021 年に公開された 12 件の脆弱性を悪用するケースを確認したのだ。

そのほか、ロシアと関わりのある攻撃者「COZY BEAR」は、ITの標的をクラウドサービスプロバイダーへと拡大。さらに、「FANCY BEAR 」は大規模スキャニング技術と被害者に合わせて生成されるフィッシングサイトの両方を含む、資格情報収集のための戦術を増やしているという。

また、新型コロナウイルスの感染拡大で経済が混乱する中、北朝鮮（DPRK）は、不正な収入を維持する目的で暗号通貨関連の組織を標的とした。

犯罪者カテゴリー内の「DOPPEL SPIDER」や「WIZARD SPIDER」との関わりを持つ攻撃者によるサイバー犯罪（eCrime）攻撃者は、ランサムウェア活動を可能にするJavaベースのライブラリ「Log4Shell」を採用しており、「NEMESIS KITTEN（イラン）」や「 AQUATIC PANDA（中国）」などの国家主導型の攻撃者も2021 年末までに「Log4Shell」の悪用らしきものに関与していたという。