チェック・ポイント・ソフトウェア・テクノロジーズの脅威インテリジェンス部門であるチェック・ポイント・リサーチ(CPR)は11月14日、ランサムウェアの最新動向レポートを発表した。その概要は以下のとおり。
●RamsomHubの台頭
RansomHubは2024年2月に登場した比較的新しい攻撃グループだが、ランサムウェア分野で急速に頭角を現している。同グループはRaaSモデルを導入し、他のサイバー犯罪者にツールと基盤を貸し出すことで成功を収めている。
2024年9月、RansomHubによる被害件数は全ランサムウェア被害の19%を占め、新規の被害は74件に達した。これは2024年8月の72件から微増となる。
RansomHubの勢力拡大は、最先端の技術を組織的に駆使していることに起因。特にリモート暗号化技術の導入により、攻撃者はローカルの暗号化プロセスを実行することなく、アフィリエイトが遠隔からデータを暗号化することが可能になった。その結果、検知と防御が困難な状況となっている。
●Lockbitの弱体化
2022年から2023年にかけて、ランサムウェアの被害件数が全体の40%を占めていたLockbitは、この数カ月、運用能力が急激に低下。2024年9月、Lockbitによる新規の被害件数は20件で、全体の5%まで激減した。これは過去数年の最盛期と比べると大幅な減少となっている。
さらに、2024年9月にLockbitが発表した被害リストのうち、約40%は使い回しだった。つまり、Lockbitが過去の攻撃の被害者を再計上したもの、もしくは、他のランサムウェアグループが攻撃した被害者を自分たちの攻撃実績として計上したものと考えられる。こうした被害リストの使い回しは、2024年2月の大規模な法執行機関の摘発を受けて、グループがまだ活発に活動しているように見せかけるための手段だと考えられる。
●地域別ランサムウェア攻撃
ランサムウェア攻撃は依然として北米に集中しており、2024年9月の全被害のうち48%は米国だった。これは、米国を拠点とする組織がランサムウェア攻撃者の主要な標的となってきた、これまでの傾向と一致している。
日本は2024年9月に生じたランサムウェア被害の4%を占めた。決して絶好のターゲットではないが、日本には高度なテクノロジーインフラが導入されており、また大企業も数多くあるため、サイバー犯罪者には魅力的な存在。なお、RansomHubは、日本の被害が全体の4%を占める中で、その多くに関与している。特に製造業などのデータ量の多い産業を狙う傾向があり、9月の日本の被害者の75%が製造業だった。
関連リンク