サイバー セキュリティ企業 Rapid7 の新しい調査によると、アジア太平洋地域で IT およびセキュリティ専門家が直面しているランサムウェア攻撃は一様ではなく、特定の管轄区域またはセクターにおける攻撃の傾向を明らかにする情報を活用するほうが効果的であることが示されています。
Rapid7のチーフサイエンティスト、ラジ・サマニ氏は、実際のランサムウェアの脅威は、ニュース報道に基づく想定とはしばしば異なると述べています。攻撃対象領域の調査では、開いているポートやストレージバケット、漏洩した認証情報など、重大な脆弱性が既に存在していることが明らかになったと付け加えました。
アジア太平洋地域におけるランサムウェアの脅威は、管轄区域と業種によってどのように異なるか
Rapid7 が 2023 年後半に実施したアジア太平洋地域のランサムウェア活動に関する調査では、企業の所在地や業種によって違いが見られ、ランサムウェア防御に包括的なアプローチを取っている組織では重要な情報が欠落している可能性があることが示されました。
例えば、オーストラリアを標的としたランサムウェア攻撃で最も多く確認されたグループはALPHV(BlackCat)でした。このグループは主に金融セクターを標的としており、政府機関や教育機関でも活動していることがわかりました。次に多かったのはTrigona、そして8Baseでした(図A)。
図A
日本もALPHVによる攻撃を最も多く受けましたが、最も大きな影響を受けたのはテクノロジー業界であり、次いで製造業でした(図B)。次に大きな被害を受けた攻撃グループは、やはり製造業を標的としたLockBit 3.0と、金融およびテクノロジー業界を標的としたRoyalでした。
図B
オーストラリアとインドを並べて比較すると、両国に多くの脅威グループが出現しているものの、セクターによってランサムウェア グループの蔓延状況に違いがあることがわかります。たとえば、LockBit 3.0 はインドの金融セクターでは大きな存在ですが、オーストラリアではそれほど大きくありません (図 C )。
図C
Rapid7の研究者が予想していたよりもセクター間の乖離が大きい
Rapid7は、地域を標的としたランサムウェア攻撃において、脅威グループの範囲はかなり広いと結論付けましたが、最も蔓延しているグループは、標的となった地域や業種によって異なります。「業種間で脅威アクターの重複が多いことは予想していました」とサマニ氏は述べています。
「興味深いのは、アジア太平洋地域における共通の脅威グループの輪郭と偏りです」とサマニ氏は説明した。「データから、アジア太平洋地域全体で特定の業種や特定の国を狙う活発なランサムウェアグループが存在することがわかります。」
サマニ氏はさらに、インドネシア、マレーシア、中国のCISOはLockBitやALPHVについてよく耳にするかもしれないが、他にも懸念すべきランサムウェア脅威グループが存在する可能性があると付け加えた。「全く目立たないところで大きな成功を収めている脅威グループは他にも複数存在し、誰もその存在を口にしません。」
組織がアクセスブローカーに無防備になる攻撃対象領域
懸念すべき発見は、組織がランサムウェア攻撃に対していかに脆弱であるかという点でした。「オーストラリアなどの市場における各セクターの攻撃対象領域を調査し、攻撃者がランサムウェア攻撃のために偵察を行い、内部に侵入するか否かを尋ねました。これは容易なことなのでしょうか?」
Rapid7は、「窓やドア」が攻撃者に対して開かれているわけではないものの、「鍵がかかっていない」状態にあることを発見しました。サマニ氏は、開いているポートやストレージバケットの数、漏洩した認証情報へのアクセスとその可用性、そして地域におけるパッチ未適用のシステムを挙げました。
「こうしたことは、華やかでも刺激的でもない。しかし、インターネット上にオープンシステムやテストシステムがあるかどうか、あるいはストレージバケットがロックダウンされているかどうかを確認すれば、アクセスを入手して脅威グループに売り渡すスキルを持つアクセスブローカーにとって、その行為を困難にし始めることができる。」
Rapid7の分析では、機械学習を用いて、2023年後半のアジア太平洋地域における複数のセクターの外部アクセスサーフェスを分析しました。この分析では、漏洩サイトや侵害されたデータセットなど、「openRDPやパッチ未適用のシステム以外」で利用可能なデータを処理しました。
インテリジェンスベースのアプローチでランサムウェア防御を強化
アジア太平洋地域ではランサムウェア攻撃が増加しています。Group-IBの最近のレポートによると、ランサムウェアデータ漏洩サイトに情報を公開した企業に基づくと、この地域での攻撃は39%増加し、合計463件に達し、最も多かったのはオーストラリアで101件でした。
参照:2024年にオーストラリアで注目すべきサイバーセキュリティのトレンド
Rapid7は、アジア太平洋地域の組織に対し、ランサムウェアリスクへの対応において、よりインテリジェンスに基づいた、きめ細やかなアプローチを取ることを推奨しています。サマニ氏は、地球の反対側にある組織に関するニュースの見出しに基づいて優先順位を決めたり、「憶測」したりすべきではないと述べています。
「誰もが同じランサムウェアファミリーについて語ります。しかし、誰もじっくりと検討して、『それはここでは当てはまりません。ここで当てはまるのはこのグループです』と結論づけていません」とサマニ氏は説明した。
同社は、特にランサムウェア攻撃が組織の部門や地域を標的としている場合、外部の攻撃対象領域管理と実用的なインテリジェンスを組み合わせて、実際に悪用されている脆弱性を持つ資産を特定することが最優先事項であると主張している。
「可視性と情報を得ることは極めて重要です」とサミニ氏は述べた。「そのレベルの情報があれば、誰が敵なのか、そしてどうやって身を守るのかが分かります。」
