先進国に拠点がある年商1億ドル(約110億円)以上の企業。ただし医療や教育、政府機関は除外する――。サイバー犯罪集団が「理想的な標的」として狙いを定め、闇市場で不正アクセス権を調達しようとしている組織像が、セキュリティ企業の調査で浮き彫りになった。

 テレワークの普及に伴ってリモートデスクトップやVPNの利用が増える中、闇フォーラムではネットワークに不正アクセスするための認証情報の売買が横行している。企業などから流出し、犯罪集団が手に入れたアクセス権は、不正侵入して情報を盗んだり、マルウェアに感染させたりする攻撃の足掛かりとして利用される。

 サイバーセキュリティ企業KELAは2021年7月、闇市場でこうした不正アクセス権の買い取りを持ちかけるサイバー犯罪集団のスレッド48件を発見して監視した。中でも目立ったのが「サービスとしてのランサムウェア(RaaS)」ビジネスにかかわる集団で、スレッドの40%を占めていた。

 KELAによると、ランサムウェア集団が最も手に入れたがっているのは米国を拠点とする企業のアクセス権(47%)で、次いでカナダ(37%)、オーストラリア(37%)、欧州(31%)の順だった。

 ただしこれは、先進国ほど大企業が多いというだけの理由にすぎないらしい。ランサムウェア集団「LockBit 2.0」の関係者はロシアのセキュリティ研究者が行ったインタビューの中で、「会社の資本が大きいほどいい。所在地がどこであろうと問題ではない。われわれは誰でも攻撃する」と公言していたという。

 ランサムウェア集団が狙いを定めるのは年商1億ドル以上の企業。ただし47%は医療機関や教育機関に対する不正アクセス権は購入しないと公言し、37%は政府機関への不正侵入を禁止、26%は非政府組織関連の不正アクセス権は購入しないとしていた。

 その理由についてKELAは、医療機関や非政府組織を標的としないのは「道徳規範」から、教育機関については単純に身代金を払う能力がないと見ているためと分析。政府機関については、不用意に捜査当局に注目される事態を避けたい意向だと分析している。

 ランサムウェア集団が特に強い関心を示していたのは、リモートデスクトッププロトコル(RDP)とVPNに対する不正アクセス権だった。製品別にみると、Citrix、Palo Alto Networks、VMware、Fortinet、Ciscoの製品への不正アクセス権に対する需要が大きいことが判明。アクセス権はドメイン管理者特権が望ましいとする集団もあったものの、特権はそれほど重視していなかったという。

 こうした実態からKELAは、ランサムウェア集団も一般の企業と同じように「業界標準」を確立して、狙いを定める業種や国を選んでいると分析する。

 ただしランサムウェア攻撃は、企業の対応が手薄になる週末や連休を狙う傾向があることも分かっている。米パイプライン大手Colonial Pipelineが攻撃されたのは、5月上旬の母の日の週末を控えた金曜だった。続いて同月末のメモリアルデーの連休には食肉大手JBSが攻撃を受け、7月の米建国記念日の連休を控えた金曜にはITインフラ大手のKaseyaが攻撃された。

 このため米連邦捜査局(FBI)と国土安全保障省サイバーセキュリティ庁(CISA)は、連休や週末にかけては特に警戒を怠らないよう、対策の徹底を呼び掛けた。

 FBIの統計によると、ランサムウェア攻撃は増加傾向が続き、被害額も増大している。2021年1〜7月にかけてFBIのインターネット犯罪苦情処理センター(IC3)に寄せられたランサムウェアの被害報告は、前年同期比62%増の2084件、被害額は同20%増の1680万ドル(約18億円)を超えた。

 犯行の手口も悪質化の一途をたどり、システムバックアップが暗号化されたり消去されたりして、被害組織が復旧できない事案も発生しているという。

 攻撃の発端となる不正侵入の手口としては、フィッシング詐欺メールや、セキュリティ対策が手薄なRDPエンドポイントに対するブルートフォース攻撃(パスワードを総当たりで試す手口)の利用が多かった。他にもソフトウェアやOSの脆弱性悪用やマネージドサービスプロバイダーの悪用、盗んだり闇市場で調達したりした認証情報の悪用も横行している。

 攻撃者は多くの場合、ランサムウェアを発動してシステムを暗号化するずっと前から、ネットワークに潜伏して偵察や情報の収集、抜き取りなどの活動をひそかに行っている。このためFBIやCISAは、実質的な被害が発生する前にそうした兆候を捉えて攻撃を阻止する「脅威ハンティング」と呼ばれる対策を勧告している。