連邦情報セキュリティ局(BSI)は、ドイツのITセキュリティに関する状況報告を発表しています。その中にランサムウェアが複数回登場します。ビットコインの最も不人気なキラーアプリの最新情報をお届けします。喝采を浴びるマルウェアは、暗号通貨の正当性を危うくするのか?
先日、ドイツ連邦情報セキュリティ局(BSI)は、「ドイツにおけるITセキュリティに関する状況報告書2021」を発表しました。
この報告書では、”ドイツにおけるITセキュリティの脅威の状況 “を100ページにわたって概説しています。”企業、国家、公共機関、個人への攻撃 “に焦点を当てています。この100ページには、「ランサムウェア」という言葉が79回登場しています。これは、サイバー空間の危険源の中でも、この「脅迫ソフト」の重要性を示しています。
ランサムウェアは本当に新しい現象ではありません。「暗号化などによりデータやシステムへのアクセスを制限し、身代金を要求するマルウェア」は、ビットコイン以前から存在していました。しかし、「ランサムウェアのビジネスモデル」が国際的なサイバー犯罪のサクセスストーリーになったのは、2013年頃にビットコインでの支払いを要求することが一般的になってからであり、それは約8年間途切れることなく続いた。
Why Bitcoin? なぜ暗号通貨がランサムウェアのマイルストーンになったのか?
ビットコインは匿名ではありません。デジタルコインは透明度が高い。カタツムリが粘液の痕跡を残すように、すべての取引はブロックチェーン上にはっきりとした痕跡を残します。元CIA長官などの専門家は、「ビットコインは犯罪者にとって考えうる最悪の決済手段である」と言っています。
しかし、ビットコインはある意味ではとても優秀です。匿名でお金を受け取るために 誰でもお金を受け取るためのアドレスを生成することができます。そのためには、IDや銀行口座、電話番号はもちろん、メールアドレスさえも必要ありません。さらに、秘密鍵を持っているビットコインは凍結できないし、取引をしても値がつかない。このような性質を持つビットコインは、ランサムウェアに拍車をかけ、その後、ビットコインの「キラーアプリ」となりましたが、これについてはシーンでは語られることはありません。
厳密に言えば、ランサムウェアはビットコインにとってはまともな脅威です。米国では、著名な法律事務所に対する大規模な恐喝などをサイバーテロとして分類する傾向があります。ランサムウェアは、暗号通貨が(さらに)厳しく規制され、場合によっては禁止される理由、あるいは口実になるかもしれません。
マフィアの保身のためにあらゆる手段を講じる
BSIのレポートでは、2020年6月から2021年5月にかけて、ドイツでランサムウェアをめぐる状況が継続していることが示されています。この新たな “トレード “と、それがもたらしている被害の実態を把握するには最適です。
文字通り、目に飛び込んでくるトレンドもあります。例えば、被害者の方の考え方が変わってきたことで、業界が問われています。被害者は、バックアップのおかげで攻撃を受けても気が楽になったり、当局の勧告に従って保護費を支払わないことが多くなっています。
これに対して、ハッカーは2つの戦術で対応します。一方で、データを暗号化するだけでなく、データを盗むこともできます。このようにして、データ漏洩の脅威にさらされながらも、その地位を向上させることができるのです。さらに、被害者に身代金を支払わせるために、DDoS攻撃で脅すこともあります。例えば、BSIによると、”オンラインの通販会社がランサムウェアの攻撃により、DDoS攻撃への耐性が低いウェブへの切り替えを余儀なくされた場合、そのようなDDoS攻撃を受けると、ランサムウェアの攻撃に対処することがさらに困難になる “としています。
つまり、これによってランサムウェアは、多分野にまたがるマフィア式の保護ラケットに近づいたのです。圧力がかかるのであれば手段は問いません。
大物狩りのフィナーレを飾るランサムウェア
ランサムウェアの2つ目のトレンドは、内部のプロ化です。ソフトウェアの開発者、販売者、マネーロンダリング業者の分業などについては、すでに他のレポートでも書かれています。
BSIはこれに加えて、攻撃の多段階性を指摘しています。ハッカーは、ITシステムの海にマルウェアを地引き網のように引きずり込むのではなく、”APTによるスパイ活動 “を志向するようになっています。これらは、政府機関や企業を対象とした、手の込んだ、複雑な、専門的な、標的を絞った、いわば手作りの攻撃です。彼らはターゲットに焦点を当て、時には数ヶ月かけて脆弱性を探り出し、あらゆる手段を使ってそれを利用します。このような攻撃は、いつものならず者国家が資金を提供したり、促進したりしている疑いがあります。中国、ロシア、イラン、北朝鮮。
例えば、ランサムウェアの場合、このような仕組みになっています。まず、Emotetトロイの木馬はOutlookに巣を作ります。その際、被害者の電子メールのトラフィックを分析し、「被害者の連絡先に対して、特に本物らしく見えるソーシャルエンジニアリング攻撃」を実行します。そしてEmotetは、ハッカーがスパイ・マルウェアTrickbotをインストールできるようにダウンロードを開きます。これで、システム全体と、可能であればネットワークもスキャンされます。最後のステップでのみ、そしてそれが価値あるものである場合にのみ、ハッカーたちはランサムウェア「Ryuk」をアップロードします。これにより、データが暗号化されます。
ランサムウェアは、長い時間をかけて組織的に行われたコンピュータシステムの乗っ取りのフィナーレとなります。
ハッカーたちは、経済力のある被害者を狙う傾向が強くなっています。BSIではこれを「ビッグゲーム・ハンティング」と呼んでいます。この傾向は以前からあり、スウェーデンのスーパーマーケットからイタリアのエネルギープロバイダーまで、ますます有名で大規模な犠牲者に現れています。
毎週新しい一般人の犠牲者が出る
ランサムウェアによる被害を見積もることは困難です。しかし、膨大な量にならざるを得ないことがわかってきました。
BSIの会長であるアルネ・シェーンボームによると、毎週少なくとも1つのドイツの都市行政や地方自治体のITがランサムウェアによって麻痺しているとのことです。ドイツの行政で物事がうまくいかないとき、ランサムウェアが原因であることが増えています。
BSIは、ドイツの企業や機関が毎年支払うランサムウェアの金額を公表していません。この情報を知っていれば しかし、実際には、身代金はランサムウェアによる被害の一部に過ぎず、おそらく最大の被害でもないでしょう。
「感染が発覚してから、システムがクリーンアップされ、完全に復旧するまでには、通常、平均23日かかります(中略)このような直接的な影響の後には、攻撃に対処するためのフォローアップコストが発生します」。
そのため、システムが完全に元通りになるまで、平均して3週間ほどかかります。例えば、オンラインショップの場合、これは非常に大きなコストになります。データの公開による風評被害もあるとすれば、「ランサムウェア攻撃による被害は、被害を受けた組織の存続を脅かす可能性がある」とBSIは説明しています。
しかし、リソースを浪費するのは攻撃の処理だけではなく、その防止も重要です。BSIは広範な対策を推奨しています。企業は、バックアップ、すなわち完全にオフラインの状態にして、定期的に再構築可能性をチェックすることを維持しなければならない。また、ネットワーク上のデータ転送を注意深く監視し、データの盗難を防止したり、早期に発見したりする必要があります。外部との接続などの脆弱性を最小限に抑え、OSやプログラムを定期的かつ迅速に更新し、ネットワークを内部で分割することが必要です。従業員は「包括的かつ継続的」にトレーニングを受けるべきであり、管理者レベルへのアクセスは一貫して制限されるべきである。
このような対策は、確かに賢明です。完全に防ぐことはできませんが、攻撃の可能性をかなり低くすることができます。しかし、高価です。ITシステムのメンテナンスをほぼ常時行う必要があり、すべての従業員の時間を必要とし、データ転送が遮断されるなどしてプロセスを遅らせることもあります。彼らは仕事の邪魔をします。
このように考えると、ランサムウェアは、リスクの低いサイバー犯罪の中で儲かるビジネスモデルになっているだけでなく、経済や国家に対する世界的な妨害行為にもなっています。しかし、それらが実際に世界の経済成長やその欠如に影響を与えているかどうかは、推測の域を出ません。
A threat to democracy?
ますます、ランサムウェアやその他のマルウェアが企業を攻撃するだけでなく、公共の安全を脅かしていることにBSIは懸念を抱いています。看板はすでに出ている。
「昨年は、サイバー犯罪者や国家機関が医療分野の企業や当局を特異的に攻撃する事件が発生し、新たな脅威の状況となりました。パンデミックの初期とは異なり、今回の報告期間では、COVID-19に関連した標的型IT攻撃が医療部門の主要分野で確認されました。これらには、例えば、欧州医薬品庁(EMA)への攻撃、海外のワクチンメーカーへの攻撃、ドイツ・チューリンゲン州のCOVID-19ワクチン接種ポータルへのDDoS攻撃、ドイツのCOVID-19抗原検査メーカーへのランサムウェア攻撃などがあります。”
顕著な事例としては、ノルトライン・ヴェストファーレン州の大学病院への攻撃も挙げられます。この病院では、ランサムウェアの感染により一時的にシステムが停止し、13日間にわたって新規の集中治療患者を受け入れることができませんでした。問題の病院は、デュッセルドルフの病院だったかもしれません。また、ザールブリュッケン空港では、約1年前の攻撃でITシステムがしばらく停止していました。
BSIは、ランサムウェアが選挙環境を攻撃すれば、民主主義への脅威にもなり得ると推測しています。例えば、”市や郡の行政に対するランサムウェアの攻撃により、例えば電子メールの通信ができなくなった場合、選挙の実施や集計に遅れが生じる可能性があります。” これにより、選挙プロセスへの信頼が損なわれ、不正操作の一部となり、電子投票システムの導入が困難または不可能になる可能性があります。
