34,066 Views

ランサムウェア攻撃は近年増加傾向にあり、業界の推定によると、2020年と2021年にサイバー犯罪者に支払われる金額は2019年の4倍に増加すると報告されている。  

これらの攻撃は社会に大きな影響を与え、政府、公共機関、企業、市民に大きな混乱と損害を与えている。場合によっては、ランサムウェア攻撃は医療システムにまで影響を及ぼし、重要なインフラやサービスを停止させたり、機密データを漏洩させたりすることで、国家安全保障を脅かしている。  

ランサムウェア攻撃の頻度と深刻度が増加の一途をたどるなか、社会への影響とその予防・軽減策を理解することは極めて重要である。 

ランサムウェア攻撃の脅威の高まりを受け、金融活動作業部会FATF)は、「ランサムウェアの資金調達に対抗する」報告書を発表した。 「ランサムウェアの資金調達対策」報告書ランサムウェアの資金調達対策」報告書を発表した。さらに、以下のような潜在的なリスク指標を発表している。 金融機関を発表している。

 ランサムウェアとは何か? 

 ランサムウェアは恐喝の一種であり、攻撃者は犯罪者が使用する一種の悪意のあるソフトウェア(マルウェア)を使用して、データ、システム、またはネットワークへのアクセスを拒否し、その代わりに身代金の支払いを要求します。攻撃者は一般的に、データの暗号化、データの流出など、データへのアクセスを拒否するさまざまな方法を用います。  

ランサムウェアが他のタイプのマルウェアと異なるのは、身代金の要求が満たされない場合に被害者のデータを公開するという脅威です。そのため、ランサムウェアの攻撃は、企業、機関、個人を問わず、大きな混乱、損失、さらには風評被害を引き起こす可能性があります。 

ランサムウェアのテクニック 

ランサムウェアの手法は近年著しく進化しており、犯罪者は被害者のシステムにアクセスするために洗練された方法を利用している。 

このようなテクニックには、多くの場合、以下が含まれる: 

  • 大物狩り:この手口では、大規模で価値の高い組織、多くの場合、重要インフラを含むダウンタイムのコストが高くなりやすい知名度の高い組織を標的にする。このような組織は、身代金を支払う確率が高いと考えられている。ランサムウェア攻撃者は、エネルギー、銀行、通信、教育セクターを標的とすることが多いが、政府/公共セクター、ヘルスケア、工業製品も標的にしている。
  • レアス:これはRansomware-as-a-Service(ランサムウェア・アズ・ア・サービス)の略で、ランサムウェアの犯罪者がダークウェブ上でランサムウェア・サービスを提供するか、あるいはマルウェアの配布、被害者のネットワークの初期侵害、盗まれた認証情報、その他のサービスといった攻撃の要素を、料金と引き換えに外注するビジネスモデルである。
  • 二重の恐喝:この手口は、攻撃者が被害者のデータを暗号化する前にそのデータを流出させ、身代金を支払わなければ盗んだデータを公開すると脅迫するものである。
  • 三重の恐喝:この手口では、攻撃者は被害企業だけでなく、データが開示された被害者にも身代金を要求する。これには、保護された健康情報、個人を特定できる情報、アカウント情報、知的財産などが含まれる。
  • 複数の恐喝:この手口には2つ以上の恐喝方法が含まれる。暗号を使った二重の恐喝だけでなく、分散型サービス妨害(DDoS)、被害者の顧客との連絡、被害者の株の空売り、インフラシステムの妨害など、さらなる圧力をかける手口も含まれます。

ランサムウェア攻撃は深刻な結果をもたらす可能性があり、重要なインフラや必要不可欠なサービスに損害や混乱を引き起こすなど、国家安全保障上の重大な脅威となる。 

ランサムウェア攻撃の資金洗浄リスクが高い国 

ランサムウェア攻撃は世界的な問題である。 グローバルな問題であるランサムウェア攻撃は世界的な問題であるが、特定の国々は、犯罪収益を洗浄するためにこれらの悪意ある行為者に狙われるリスクが高い。

これらの国々には以下のような国々が含まれる: 

  • テロ活動への資金提供や支援で知られる国 
  • 組織犯罪、汚職、麻薬、人身売買、違法ギャンブルの多い国として知られている。 違法賭博
  • 制裁、禁輸、または同様の措置の対象国 
  • ガバナンス、法執行、規制体制の弱い国、特にVASP 

ランサムウェア攻撃の地理的分布 

ランサムウェア攻撃の分布とは、この種の攻撃が地理的に広がっていることを指す。地域によってセキュリティ対策やデジタルインフラが異なるため、こうした攻撃に対する感受性のレベルが異なる。FATFよると 北米がランサムウェア攻撃を多く受けているようだ。 アフリカが最も低い。

地域別ランサムウェア攻撃

ランサムウェア攻撃による収益の洗浄方法 

ランサムウェアの攻撃者は、しばしば仮想資産での支払いを要求する。 仮想資産そのため、不正な収益を追跡することは困難です。犯罪者は、ランサムウェア攻撃の対価として受け取った仮想資産を洗浄するために、さまざまな手法を採用しています。これらの手法は、不正な資金の出所や動きを隠すことを目的としており、法執行当局による追跡や押収を困難にしています:

  • ピアツーピア(P2P):被害者は、規制された機関を利用することなく、秘密鍵とインターネット接続を使用して、ランサムウェア運営者に仮想資産を直接送ることができる。その結果、取引の当事者はKYC 手続きを経る必要がない。
  • 異なるウォレットアドレス:ランサムウェアの攻撃者は、攻撃ごとに不正な収益を受け取るために、自分たちが管理する異なるウォレットアドレスでの支払いを要求することがよくあります。
  • 仲介アドレスの使用:資金を受け取ると、攻撃者は複数の仲介アドレスを使って、規制されたVASP(ピールチェーン)がホストする新しいアドレスに少額ずつ送金して仮想資産を移動させる可能性がある。
  • ミキサーとタンブラーの使用:これらのサービスは、仮想資産の送信アドレスと受信アドレスの間の接続を隠蔽する。
  • プライバシーコイン:ほとんどのランサムウェア攻撃者はビットコインでの支払いを要求するが、プライバシーコイン(匿名性を強化した暗号通貨)での支払いを要求するケースもある。これらのコインは送受信ウォレットを難読化します。
  • チェーン・ホッピング:ランサムウェアの攻撃者は、動きの追跡を逃れるために、あるブロックチェーンから別のブロックチェーンに仮想資産を次々と移動させることが多い。場合によっては、DeFiプロトコルを使用して、資金を不換紙幣に変換する前に安定コインにチェーンホップする。
  • リスクの高い管轄区域におけるVASP:多くの場合、攻撃者は仮想資産をAMLCTF AML管理が弱い、あるいは存在しない法域にあるVASPに送り、不換紙幣に変換させます。
  • マネー・ミュール:多くの場合、犯罪者は盗んだり偽のIDを使って口座を開設したり、この目的のために採用された第三者が保有する口座を利用する。これらの口座は、仮想資産の出所をさらに偽装して資金を移動させるために使用されます。

ランサムウェア攻撃に関するFATF 提案する慣行 

増加するランサムウェア攻撃の脅威に効果的に対処するため、FATF 各国が採用すべき様々な対策を提案している。これらの対策は、ランサムウェア攻撃とその収益の洗浄の検知、予防、訴追を強化することを目的としており、以下のことを各国に求めている: 

  • ランサムウェアを犯罪として取り締まる 
  • AML目的の仮想資産サービス・プロバイダー(VASP)の規制を加速させ、トラベル・ルールと疑わしい取引の報告を遵守させる。VASPによるTravel Ruleの限定的な実施は、法執行機関が取引関係者を特定するためにこの情報に依存しているため、サイバー犯罪者が検知を回避し、捜査を妨げる機会となる。 
  • トレンド、ガイド、レッドフラッグ・インジケータを共有することにより、ランサムウェアや疑わしい取引を検知するためのガイダンスを規制対象事業体に提供し、検知を強化するとともに、被害者がランサムウェアのインシデントを報告することを奨励する。 
  • 法執行機関による犯罪収益の捜査、追跡、押収の徹底 
  • 官民協力を支援するメカニズムの確立 
  • 国際協力の改善 

ランサムウェア攻撃の検知方法 

多くの場合、管轄当局はランサムウェア攻撃インシデントに関する情報を収集するために、以下の情報源を使用する。 

  • 銀行やVASPなどの規制機関(疑わしい取引報告から) 
  • 非規制部門(ランサムウェアやサイバー犯罪に関与する機関など)  
  • インシデントレスポンス会社(デジタル・フォレンジックのインシデントレスポンス会社や法律事務所など) 

インシデントレスポンス・カンパニー

ランサムウェア検出のための潜在的リスク指標  

増加するランサムウェア攻撃とその資金調達の脅威に対抗するため、FATF ランサムウェア攻撃の検知において各国を支援するいくつかのリスク指標を策定した。FATF 提供するこれらのリスク指標は、ランサムウェアの活動を示す可能性のある特定の行動や取引に基づいており、次のような場合に利用できます。 金融機関金融機関、規制当局、法執行機関が疑わしい活動を特定し調査するために使用することができます。

金融機関および決済システムの指標  

  • サイバーセキュリティ・コンサルティングやインシデントレスポンス業界のランサムウェア修復のスペシャリストに送金する。 
  • 突然届くランサムウェアの後始末を専門とする保険会社からの送金   
  • クライアントから報告されたランサムウェアのインシデントと支払い額   
  • クライアント・ランサムウェアがオープンソースデータを攻撃   
  • 同じ銀行口座を使ったVASPでの大量の引き出しと入金   
  • 身代金」のような言葉や、既知のランサムウェアファミリーの名前が、支払いの説明に登場する。   
  • 腐敗リスクの高い国のVASPに支払われた資金  
  • VASPを使用して、支払いを行ったランサムウェア被害者を追跡する:  
  • インシデント・レスポンスや保険事業者に対し、第三者が仮想資産の購入を要請すること。   
  • 顧客は仮想資産を購入するために身代金を支払う必要があるとVASPに通知する。   
  • 過去に仮想資産の送受信の実績がないユーザーが、通常のプロトコル以外で送金を行う。   
  • 顧客は口座の限度額を引き上げ、追加資金を別の相手に送金する。   
  • 顧客は、金銭の受け取りが遅れていることに不安を感じたり、動揺しているように見える。   
  • 高リスク地域のVASPへの支払い、ユーザーの匿名性を高める暗号通貨の購入や送金   
  • 新規顧客が仮想資産を購入すると、口座残高がすべて1カ所に送られる。  
  • ランサムウェアを防ぐためのエビデンスに基づく戦略:  
  • 最初に多額の仮想資産を交換した後、買い手は仮想通貨での取引をほとんど行わない。   
  • ブロックチェーン技術を使えば、被害者のウォレットアドレスからランサムウェアを追跡できる。   
  • 仮想資産転換後の資金への即時アクセス 
  • ランサムウェア関連ウォレットへの仮想資産の移転   
  • 危険な国でVASPを使用する   
  • 音楽制作サービスへの仮想アセットの送信   
  • 安全な接続の使用   
  • 認証データはスクリーンショットか、"WhatsApp image "などを含むファイル名です。   
  • クライアントの構文が顧客の年齢層と一致しない   
  • 顧客に関するデータから、プロトン・メールまたは同様の控えめな電子メールアドレスの存在が判明する。   
  • 本人確認のために提供された情報に一貫性がない、または偽のアカウントを作成しようとする行為   
  • 同じ連絡先情報が複数のアカウントに使用され、住所が入れ替わって使用される。   
  • 明らかにVPNを使用している顧客   
  • 匿名暗号通貨取引の利用 

将来の展望 

FATF はじめとする国際機関は、ランサムウェア攻撃の脅威の増大や、こうした攻撃による収益の洗浄に対抗するための努力を続けていくものと思われる。  

政府や企業側は、ランサムウェア攻撃から守るためにより強固なセキュリティ対策を実施し、攻撃が発生した場合に迅速かつ効果的に対応できるよう準備する必要がある。  

さらに、ランサムウェア攻撃に関与するサイバー犯罪者を特定し追跡するために、各国や法執行機関の間で協力や情報共有が強化される可能性もある。最終的には、ランサムウェア攻撃の防止と軽減には、関係者全員による包括的かつ協力的なアプローチが必要となります。