2022年ThreatLabzランサムウェア現状レポート

Zscalerクラウドで検知されたランサムウェアペイロードの分析から、ランサムウェア攻撃が2021年2月～2022年3月にさらに80%増加したことがわかりました。暗号化に情報漏洩を加えた二重恐喝攻撃の増加の勢いがさらに加速し、前年比117%を記録しました。

2022年ThreatLabzランサムウェア現状レポートでは、Zscaler Zero Trust Exchangeで処理される1日あたり2,000億件以上のトランザクションとブロックされる1日あたり億5,000万件の脅威を始めとする、1年分の様々なインテリジェンスを分析して解説し、ランサムウェアが犯罪者にとってこれまで以上に魅力的な攻撃手段になっている現状を紹介しています。攻撃者が、次の3つの主なトレンドに基づき、収益性の高い攻撃を遂行していることがわかりました。

• サプライチェーン攻撃：サイバー犯罪者は、信頼できるベンダ関係を悪用して組織を侵害し、複数（時には数百または数千）の被害者を同時に攻撃することで、攻撃の効果を何倍にもすることができます。
• RaaS（Ransomware-as-a-Service）：アフィリエイトネットワークを使用してランサムウェアを広範囲に拡散することで、ネットワーク侵害のエキスパートであるハッカーが最も高度なランサムウェア集団と利益を共有できるようになります。
• 二重脅迫型攻撃：データの不正取得、DDoS（分散型サービス拒否）攻撃、顧客のコミュニケーションなどの複数の脅迫を積み重ねることで多くの身代金を手に入れようとする手法です。サプライチェーン攻撃、RaaS（Ransomware-as-a-Service）、多重脅迫型戦術により、攻撃が増加し、成功率が上昇することになりました。

ThreatLabzはこのレポートで、ランサムウェア脅威の現状の包括的な見方を提示し、トレンドデータ、予測、防御ガイダンスを提供しています。さらには、次のような上位11のランサムウェアファミリの攻撃シーケンス、被害者のプロファイル、ビジネスへの影響を詳しく解説しています。

• Conti   
• LockBit   
• PYSA/Mespinoza   
• REvil/Sodinokibi   
• Avaddon   
• Clop   
• Grief   
• Hive   
• BlackByte   
• AvosLocker   
• BlackCat/ALPHV

業界別の二重脅迫型攻撃の変化の割合

 

 主な調査結果

 

• ランサムウェア攻撃が前年比で80%増加しました。すべてのランサムウェアペイロードがZscalerのクラウドで確認されました。
   
• 二重脅迫型ランサムウェアが117%増加しました。二重脅迫型攻撃の増加率が特に大きかった業種は、医療（643%）、外食サービス（460%）、鉱業（229%）、教育（225%）、メディア（200%）、製造業（190%）などです。

• 製造業は2年連続で最も標的にされた業界になり、二重脅迫型ランサムウェア攻撃のほぼ20%を占めました。
   
• サプライチェーンランサムウェア攻撃が増加しています。攻撃者は信頼できるサプライヤを悪用することで、外部からの攻撃に対する強力な保護が可能な組織も含む多数の組織を同時に攻撃できます。昨年のサプライチェーンランサムウェア攻撃としては、KaseyaとQuantaに対する大規模攻撃や、Log4jの脆弱性を悪用した多数の攻撃などが挙げられます。
   
• RaaS（Ransomware-as-a-Service）による攻撃が増加しています。ランサムウェアグループは、地下犯罪フォーラムでアフィリエイトを募る活動を続けています。これらのアフィリエイトは、大規模の組織を攻撃し、一般的には被害者から手に入れた身代金の約80%と引き換えに、ランサムウェアグループが提供するランサムウェアを利用します。過去1年間の上位のランサムウェアファミリの多く（11分の8）が、RaaSモデルを主な手段として拡散しました。
   
• 法執行機関による取り締まりが進んでいます。 昨年の上位のランサムウェアファミリ、特に重要なサービスを標的にする多くのランサムウェアファミリに世界中の法執行機関が注目し、過去2年間で最も悪名高いランサムウェアファミリの3つが、法執行機関によって2021年に解体されました。

• ランサムウェアファミリは、消滅するのではなく、名前を変えて活動を続けています。法執行機関による取り締まりが強化されていることから、多くのランサムウェア集団が解散し、同じ（または非常によく似た）戦術を使って、新しい名前の組織として活動を再開しました。
   
• ロシアとウクライナの衝突で、世界情勢が緊迫化しています。ロシアとウクライナの紛争に関連する攻撃がいくつか確認されており、HermeticWiperやPartyTicketランサムウェアなどの複数の戦術を組み合わせたものもあります。これまでのところ、この活動のほとんどがウクライナを標的にするものですが、多くの政府機関が、紛争が長引く現状で拡大する攻撃に備えるよう、組織に警告しています。
   
• ゼロトラストは引き続き、最良の防御策です。 侵害の可能性と攻撃の成功によって生じる可能性のある損害を最小限にするため、組織は、攻撃対象領域を削減し、最小特権によるアクセスコントロールを適用し、環境全体のデータの継続的な監視とインスペクションを実施するなどの、多層型防御戦略を採用する必要があります。

 

 

ランサムウェアから保護する方法

単純なランサムウェア攻撃、二重あるいは三重の脅迫を伴う攻撃、自己完結型の脅威ファミリ、またはアフィリエイトネットワークによって実行されるRaaS攻撃のいずれであっても、防御戦略は同じです。すなわち、ゼロトラストの原則を採用して脆弱性を制限し、攻撃の防止と検知を可能にし、成功した場合の侵害の範囲を制限します。ここでは、お客様の組織をランサムウェアから守るために推奨されるベストプラクティスをいくつかご紹介します。

1. アプリケーションをインターネットから隠す：ランサムウェアを仕掛ける犯罪者は、環境に対する偵察を実行して悪用する脆弱性を発見し、アプローチを調整することで、攻撃を開始します。インターネットに公開されるアプリケーションが多いほど、攻撃が容易になります。ゼロトラストアーキテクチャを採用して内部アプリケーションを保護し、攻撃者から見えないようにします。
2. 一貫性あるセキュリティポリシーを適用して最初の侵入を防ぐ：従業員が分散している環境では、SASE（セキュアアクセスサービスエッジ）アーキテクチャを実装して、働く場所（社内、リモートワーク）に関係なく一貫性あるセキュリティポリシーの適用を可能にすることが重要です。
3. サンドボックスを使用して未知のペイロードを検知する：シグネチャベースの検知では、ランサムウェアの亜種とペイロードの急速な変化に対応できません。インラインのAIを活用したサンドボックスでファイルのパッケージングすることなく挙動を分析することで、未知の回避型の攻撃からの保護を可能にします。
4. ゼロトラスト ネットワーク アクセス(ZTNA)アーキテクチャを実装する：ユーザ対アプリケーションやアプリケーション対アプリケーションのきめ細かいセグメンテーションを実装することで、動的な最小特権アクセスコントロールを使用したアクセスの仲介を可能にし、ラテラル ムーブメントを排除します。これにより、暗号化や盗難が可能なデータを最小限にし、攻撃が影響する範囲を制限することができます。
5. インライン情報漏洩防止（DLP）を導入する：トラストベースの情報漏洩防止ツールとポリシーを活用して機密情報の持ち出しを防ぎ、二重脅迫の手口を阻止します。
6. ソフトウェアやトレーニング内容を最新状態に保つ： ソフトウェアにセキュリティパッチを適用し、社員向けのセキュリティトレーニングを定期的に実施することで、サイバー犯罪者に悪用される可能性のある脆弱性を減らします。
7. 対応プランを策定する：全社的な事業継続・障害回復プログラムの一環として、サイバー犯罪保険の加入、データのバックアップ計画、対応プランの策定を実施して最悪の事態に備えます。

ランサムウェアに対する防御の効果を最大限にするには、多層防御を採用し、偵察から最初の侵害、ラテラル ムーブメント、データの不正取得、ランサムウェアの実行までのそれぞれの段階で攻撃を中断できるようにする必要があります。

Zscalerゼロトラストエクスチェンジは、業界をリードするセキュリティサービスエッジ（SSE）プラットフォームであり、ランサムウェアんによる攻撃チェーンのあらゆる段階で比類のない高レベルの保護を提供し、攻撃を受ける可能性を大幅に低下させるとともに潜在的な損害を軽減します。

Zscalerは、業界をリードするゼロトラスト機能をネイティブに統合し、次のようなメリットを提供します。

• 攻撃対象領域を最小化する：Zscalerのクラウドネイティブのプロキシベースアーキテクチャは、内部アプリケーションをインターネットから見えなくすることで攻撃対象領域を縮小し、潜在的な攻撃ベクトルを排除します。
• 侵害を防止する：Zscalerは、暗号化されたトラフィックを含むすべてのトラフィックの完全なインスペクションと認証を提供し、ブラウザの分離やインラインサンドボックスなどのツールを活用することで、未知の脅威や回避型の脅威からユーザを保護し、サイバー犯罪者の侵入を防止します。
• ラテラル ムーブメントを排除する：Zscalerは、ユーザとエンティティをネットワークではなくアプリケーションに安全にダイレクト接続することでラテラル ムーブメントの可能性を排除し、最も重要なアプリケーションを本物そっくりのデコイで囲むことで、効果的な保護を可能にします。
  情報漏洩を防止する：Zscalerは、クラウドアプリケーションに送信されるすべてのトラフィックをインスペクションすることで、情報漏洩を防止し、クラウドアクセスセキュリティブローカ（CASB）の機能を使用して、保存データの脆弱性を特定し、修復します。

今日の上位のランサムウェアの脅威とそれらの脅威から組織を保護する方法の詳細については、「2022年ThreatLabzランサムウェア現状レポート」をダウンロードしてご確認ださい。

 

ThreatLabzについて

ThreatLabzは、Zscalerのセキュリティ研究部門です。世界クラスの当チームは、新しい脅威を検出し、世界中でZscalerプラットフォームを使用する何千もの組織が常に保護されていることを保証する責任を担っています。マルウェアの調査と挙動分析に加え、Zscalerプラットフォームの高度な脅威保護を実現する新しいプロトタイプモジュールの研究開発も進めており、社内のセキュリティ監査を定期的に実施することで、Zscalerの製品やインフラストラクチャがセキュリティコンプライアンス基準を満たすことを常時確認しています。ThreatLabzは、新たな脅威に関する詳細分析を定期的にポータルで（research.zscaler.com）で公開しています。

 

Trust Issuesニュースレターのサブスクリプションにお申し込みいただくと、ThreatLabzの調査に関する最新情報をお知らせします。