身代金支払い企業47%の衝撃　ランサムウェア被害はもはや"無関係ではいられない"時代

辻伸弘氏の自己紹介

辻伸弘氏：みなさんこんにちは。SBテクノロジーの辻です。今日は「ランサムがありあまる。」という、どっかで聞いたような、曲のタイトルのようなものでお話をしていこうかと思っています。

今日はそんなに時間がないので、自己紹介は簡単にしようと思っているんですが。SBテクノロジー株式会社でプリンシパルセキュリティリサーチャーという仕事をしてます。

僕はもともとセキュリティの診断、ペネトレーションテストをずっとしてきたんですけども、そうした攻撃の視点を生かして、いろいろな事件、事故、攻撃者の動向を調べて、できる限りわかりやすく、何が大切だったのか、何が勘どころだったのかといったことをみなさんに伝えていく仕事をメインでやっています。

週に1回程度、ポッドキャストというラジオのようなもので配信をしていますので、そういったものもあわせて聞いていただければと思います。今日はよろしくお願いします。

「開発者」と「実行犯」がいるランサムウェアの基本構造

では、さっそくランサムウェアのお話に入っていこうかと思うんですが、ランサムウェアはもうずーっと、セキュリティの重大脅威で1位を獲得してしまっているのなので、みなさん耳にタコかなぁと思うんですが。

初めは整理をしながら、今ランサムウェアの現状がどんなものかを知ってもらおうかと思っています。

まず前提知識ですが、ランサムウェアの開発者と実行犯というのがわかれていまして、決して一枚岩で彼らが動いているわけではないというふうなことを知っていただきたいんですね。

ランサムウェアの開発者を言い換えると、RaaS（ansomware as a Serviceの略）という、ランサムウェアを開発して脅迫をするプラットフォームを提供する人たちのことです。

そして実行犯ですね。自分たちで作っても攻撃を広めるためには協力者が多いほうがいいですよね。例えば物を売るにしても拡販するためにパートナーを募ったりするのとまったく同じで、ランサムウェアの実行犯をRaaS、つまりランサムウェアの開発者が募るというかたちをとっています。

ここがつながっていてですね。例えばランサムウェアの開発者だけが逮捕されたり、逆にランサムウェアの実行犯だけが逮捕されても、トカゲの尻尾切りになってしまうと。攻撃が続いてしまう現状があります。

この2つが協力をして攻撃をしてくるというのが簡単な前提知識になります。この図は覚えておいてください。

ランサムウェアの3つの脅迫手法

ランサムウェアの「ランサム」は身代金という意味ですが、脅迫をしてきて「身代金を払え」と言ってきます。その時の脅迫の手口は大きく分けて3つあります。

1つめは、ファイルやデータベースなどシステムの暗号化、いわゆるロックですね。これは一番ポピュラーなやり口だと思います。

有名なのはファイルを使えなくして暗号化して、元に戻したかったら金を払いなさいと言ってくるパターンです。ただこれだと、バックアップをしっかり取っていると元に戻されてしまう。お金を払ってもらえないので、その2の手口、これと組み合わされることが多いです。

その2の手口は「窃取情報をサイトで公開するぞ」と。ファイルが元に戻ったとしても、その前に盗んだ情報がある。なので、それを公開されたくなかったらお金を払ってくださいという、いわゆる二重脅迫と言われるものです。2019年の末ぐらいからポピュラーになってきました。

1だけのものもありますし、1と2を組み合わせるものもあります。2のみのものも中には存在します。

最後、手口の3つめですが、DDoSや被害者への連絡と書いてあります。

DDoSというのは、被害組織にたくさんアクセスして、Webサイトを見えなくしてしまって、さっさと金を払うようにと促すようなパターン。三重目の脅迫をするパターンもあります。

あと、あまりニュースにはなっていないんですが、直接電話をかけてくるパターンもあります。それは、被害組織にかけてくるパターンももちろんあるんですけども、被害組織の顧客に対してというのもあります。

例えば学校であれば、親御さんに連絡をして「あなたの娘・息子の情報を公開されたくなかったら通っている学校に身代金をさっさと払うように促してくれ」といったようなパターン。そういった3つぐらいのパターンを組み合わせてくるケースも、中にはあります。



今言ったものを簡単なベン図にまとめています。1、2、3とありますが、僕はこのランサムウェアの攻撃者グループの情報を公開する、いわゆるリークサイトと言われるものを4年ほど観察をしています。

僕が観察をしているのは今表示された部分です。一言で言うと2が含まれる情報ですね。窃取した情報をサイトで公開するパターンの攻撃者を観察しています。

2024年のランサムウェア被害の統計分析

ここからは僕が観察をしてきた結果の共有をします。2024年の分と、あとは過去に見てきた傾向を踏まえてお話ししていきたいと思います。

これが、ランサムウェアの攻撃者が用意しているリークサイトと言われるものです。「ダークウェブなんでしょ？」と言われたりすることもあるんですが、決してそうではないです。普通にサーフェスウェブ（表側のウェブ）で、通常のブラウザでアクセスできるものもあります。



お金を支払わなかったら、もしくは交渉のテーブルに載ってこなかったら、こういった各種攻撃者が持っているリークサイト、情報暴露サイトで盗んだ情報を公開してしまうというものです。

僕が見てきた攻撃者グループ、ランサムウェアのギャングは、こういったみなさんご存じの名前のものもあります。例えば日本で有名なのはLockBit、BlackSuitあたりかなと思います。

停止済みのものが下です。現在も活動中で、僕が監視を続けているランサムウェアグループが赤になっている部分です。ずっとこういったものを日がな1日チェックして、集計したりしています。



この集計結果なんですが、今年の2024年1月1日から9月30日までの結果をまとめてきました。左側の円グラフが被害組織の所在地国、いわゆるヘッドクォーター、本社がある場所を集計しています。

右側が、LinkedInでその会社を調べたり、あとはこういった業種に当てはまるなぁというカテゴリーを調べて集計をしたのが右側の棒グラフになります。

合計の件数に関してはリークの総数1,524件とありますが、これは注意がちょっと必要です。僕が観察しているのはリークされたものしか見ていません、というか見れません。なので、逆にお金を払ってしまってリークサイトに掲載されなかった被害組織の名前は、僕の目には触れない。

なので、この件数よりももっと多い被害者がいると理解してもらえればいいかな、と思います。

見ているグループは12グループ。僕個人で見るにはどうしても限界があるので、もっとグループはあるんですが、僕が主だったと思う、もしくはこれからちょっと来そうな感じがするようなグループに絞って見ているので、注意が必要です。

被害組織の所在地は、ぶっちぎりでアメリカが多いです。この傾向は4年間ずっと変わりません。そこからカナダを挟んでヨーロッパ諸国が並ぶ。おそらく身代金を保険金で賄えるような国で支払ってくれそうな国が狙われる傾向にあるように感じます。

もちろん保険もですね。けっこう単価が上がったりとか加入条件が厳しくなったりという状況もあるようなんですが、このへんの傾向は大きくは変わりません。ちなみにこの期間の範囲で言うと、日本は8件で23位でした。

右側、被害組織業種の上位のグラフがありますが、建設・土木が104件です。他と比べて頭1つ・2つぐらい抜け出てるかな、と思いますが、これは、建設・土木がメチャクチャ狙われるから気をつけてください、と言いたいわけではないです。

ばーっと見ていただければわかると思いますが、どんぐりの背比べのようになっていると思います。1,524件中の104件、95件というのは、ボリュームゾーンとしては少なすぎるかなと思います。

こちらも順位は入れ替わったりはするものの、そんなに数字の差は変わっていません。なので、このグラフが教えてくれているのは、「この業種の人は気をつけよう」ではなくて「どこに来てもおかしくない」と考えるのが正しいんじゃないかなと僕は思っています。

それもそのはずで、お金というのは誰から盗ってもお金なんですよね。払ってくれそう、もしくはたくさんお金を持ってそうというのはあるとは思うんですけども、のべつ幕なしでいろいろなとこに攻撃を仕掛けて、払ってもらえればいいかなというのがお金を得るための考え方かなと思います。

ここでは、メディアで「どこそこが狙われている」というのを見ても、決して自分たちには関係ないと思わないでいただきたいなと思っています。

身代金支払いのメリットとデメリット

先ほど、ランサムと言えば身代金という意味だと言いましたが、身代金を支払うかどうかはすごく難しいテーマだと思います。ちょっと深掘りしていきたいと思います。

みなさんは被害にあって身代金を要求された場合はどうするかを決めていますか。決まってないとけっこうまずいかなと思います。払うにしても払わないにしても、それに対してどういった効果があるのかを知って判断する必要があるんじゃないかと僕は考えてます。

被害に遭った時に暗号化されてあとは盗まれた情報も公開される、という二重脅迫が最もポピュラーと言いましたけれども、それぞれでメリット・デメリットを見ていただきたいなと思います。暗号化解除と窃取情報削除のメリットからまず見ていこうと思います。

暗号化解除のメリットは、身代金を支払えばファイルを元に戻すことができるだろうというところ。もちろん相手は犯罪者なので、100パーセント戻るかどうかはわからないですが、それは自分たちのバックアップから戻すのも同じで、100パーセントはなかなか難しいと思います。

残念なことに、バックアップから復元するよりも早いという結果がよく出るんですよね。それもそのはずで、バックアップから戻すと、環境にもよるんですが、1ヶ所から複数のところに戻していくというようにシーケンシャルにやっていくと、どうしても時間がかかります。一方で暗号の鍵をもらって元に戻すのは、サーバーごとに同時並行で進めることができます。

いわゆる暗号化ZIPみたいなものを元に戻すのと同じようなものなので、基本的にバックアップから戻すよりは早いと理論的に言えるかなと思います。

窃取情報の削除に関するメリットは、リークサイトに掲載されない、もしくはリークを取り下げてくれることがあるので、そのサイトが注目を浴びて情報が拡散されることを防げるというメリットはあるかと思います。

ただし、デメリットにもあるとおり、そのデータがきちんと削除されて本当にどこにも出ないという保証はどこにもないです。なので僕自身は、身代金に関して聞かれた時には、暗号化の解除は目の前にあるものが元に戻ることを確認することができるので、どうしても仕方がない時に暗号化を解除するために支払うのは、事業継続の面から考えても仕方がない場合もある、という回答をしています。

窃取情報に関しては、これは先ほど言ったとおり、盗んだと言っても目の前にあったものがなくなって持っていかれて、それが返ってくるものでは決してないです。コピーを持っていかれているので、そっから先に何の保証もないので、基本的にはこれを目的に支払うのはやめたほうがいいんじゃないですかとは言っています。

ただ、こうしたリークサイトが注目を浴びて話題になることが、日本でもあり、ここからとにかく消したいということで支払っているケースも世の中にはあるそうです。



身代金を払って復旧をしているのは、世界的に見てどんな現状なのかを示したものがこのスライドになります。

これはSophosが出している「ランサムウェアの現状」というもので何年分か出ていますが、2024年版の気になったところを貼りつけてきました。2024年の1月から2月まで、過去1年以内の事象に関するアンケートを行っています。

この数字を見ていただきたいんですが、「バックアップから戻しました」「身代金を支払って戻しました」、あと「その他」。その他はちょっと中身がわからないんですが、もしかすると暗号化を解除するためのツールが後から出たりするケースがあるかもしれません。

例えば我が国では、警察庁がLockBitの解除ツールをリリースしていましたけれども、そういったものを使ったものも含まれるているのが、おそらくその他なのかなと思います。

その他はいったんさておいて、バックアップと身代金のパーセンテージを合計すると、100パーセントを超えるんですよね。どういうことかというと、両方とも進めるというケースがままあります。冗長化ですね。バックアップで戻しつつ、身代金を払ったキーでも戻す。そうするとますます速度も上がるし、戻る率も高くなるという考えです。

だいたいこのSophosのレポートでは、47パーセントぐらいの組織がアンケート結果において、この身代金とバックアップを両方使って戻したと言っているそうです。

復元方法の割合の推移が右の引用です。身代金の支払いに関しては調べたベンダーによって、身代金を払うのは減っているか増えているかはマチマチではあるのですが……。

このSophosのレポートに関しては、基本的には右肩上がりになっています。バックアップも上がってはいるんですけども、それよりも多く上がってきているのが身代金を払うところです。どうしても事業継続を考えると仕方がないケースもあるんじゃないかなと思います。

中にはバックアップがないところもあります。中小（企業）とかになってくると、安全にバックアップが取れていなくて、それが暗号化されましたっていうケースもあります。元に戻すことを考えると、もう選択肢はお金を払うしかないというケースもたくさんあるんじゃないかなと思います。

少なくとも言えるのは、身代金は払わないほうがいい、これは正しいと思うんですけども、それを拒否して事業が立ち行かなくなってしまうことを考えると、支払うことも仕方がないケースもあるのかなと思います。



あとは病院とか命に関わるところが払うのは仕方がない、という論調もたまに見かけますが、それは企業、一般企業でも同じなんじゃないかなと思うんですよね。

事業が立ち行かなくなって誰かの首を切らないといけない、その首を切った人の向こう側にはその人の家族がいるということを考えると、命に関わるというのは、目の前で人が死ぬことだけじゃないんじゃないかなと思います。

僕が個人的に思うのは、身代金は払わないほうがいいに決まってるけれども、そこまで追い込まれてしまったのであれば、外野がとやかく言うことではないのかなと僕は考えています。

サイバー犯罪の分業化と専門化

では、ここからはランサムウェアを取り巻く経済ということで。彼らはお金目当てでやっているので、先ほど冒頭でランサムウェアの開発者と実行犯というのが分かれていると言ったんですが、経済で見ると、もっと広い役割分担、いわゆる分業、専業化のが進んでいます。

（ボカシで見えなくなっていますが）ここのスライドに表示しているのは、Qilin（キリン）というランサムウェアギャングのおそらくオペレーターだと思うんですが、あるフォーラムに「こういう人を探してます」とか、「こういうランサムウェア自分たち作ったんで協力してくれる人を探してます」という、いわゆる宣伝、リクルーティングをしているスクリーンショットになります。

僕が思いつく限り、右側にいろいろな闇の職種を並べてみました。RaaSのオペレータはランサムウェアの開発者ですね。

あとはIAB、マルウェアの開発者、侵入テストができる人、あとbotですね。これはDDoSのボットマスターとかですね。あとはお金をきれいに洗浄するためのマネーロンダリング。これをやってたまに逮捕されたりしているランサムウェアの関係者もいます。いろいろな人がいるんじゃないかと思って分けています。



この中で、僕が最も注目しているのはランサムウェアにつながるという意味で「IAB」、経路の販売と書いているところですね。IABは何の略なのかと言うと、イニシャルアクセスブローカーの略で、IABと呼んでいます。

初期アクセスの販売者、入り口、侵入できる口の売人と言ったほうがピンと来やすいのかなと思います。この人たちが非常に厄介だなと僕は考えています。

IAB（Initial Access Broker）の台頭と脅威

それでは、彼らはどのような振る舞いをしてランサムウェアの経済とつながっているのかをアニメーションで説明したいと思います。

まず、緑色のアイコンが並んでいるのは何かしらの被害をこれからイニシャルアクセスブローカーから受ける、言い換えればみなさん――あるいは僕かもしれませんけれども――と思ってください。

ピンクがイニシャルアクセスブローカー。赤がマルウェアを開発しているところ。これはランサムウェアではなくて、例えば情報を盗むようなインフォスティーラーと呼ばれるようなマルウェアの開発者だと思ってください。

ランサムウェアの開発者、ランサムウェアの実行犯は冒頭で言ったとおりです。開発しているものと実際に攻撃を行うもの。

イニシャルアクセスブローカーは、日々いろいろな脆弱性を探したりして、攻撃を繰り返し行っています。脆弱性がリリースされたり、攻撃コードが公になったら、それを使って、どっか侵入できるところがないかと探して攻撃をします。その攻撃をして、入れるリストを自分たちで作ったり、仮にバックドアを仕掛けるケースも中にはあるかもしれません。

あとはRDP、リモートデスクトップですね。ID、パスワードが弱く設定されている。簡単に入れてしまうようなものを日がな1日ずっとスキャンをして探すことをしています。

入れたら、そのIDとパスワードをリストにして、売る準備をするというものです。

3つめ、ネットワークアクセスと書いてありますが、その前にこのイニシャルアクセスブローカーは、自分でマルウェアを開発するといったような高度な知識や技術は持ち合わせてないケースがけっこう多いようです。なので、マルウェアを買うんですね。

買うというかどちらかというとサブスクです。自分たちでマルウェアをこうポチポチとブラウザから操作すれば作れるような仕組みのMaaS、Malware as a Serviceというものがあるんですが、そういったところから購入して、イニシャルアクセスブローカーはマルウェア開発者にお金を支払うって、マルウェアを手にするんですね。

このマルウェアを使って下のネットワークアクセスに攻撃を仕掛けます。例えばメールを添付して送ってきたりとか、最近だと広告経由で入ってくるマルウェアもけっこう多いですね。あとは偽サイトも多いです。そういった何かしらの方法で、このネットワークアクセスのところのコンピューターにリーチします。

これを開いてしまうと、マルウェア開発者から買ったいわゆるインフォスティーラー、情報を盗む、ID・パスワードを盗むようなマルウェアに感染して、このネットワークにアクセスする権利を得ます。



実際にイニシャルアクセスブローカーが売っている画面では、「日本のどこかの企業のリモートデスクトップのアクセスを3,000ドルで売ります。オークションにします。500ドルずつ上げていきます」みたいなことが出されています。

そこには、どういった権限でどういったコンピューターの台数があるところなのか。どんなアンチウイルスソフトを使っているのか。そういったことを掲載して売りますよって出ているケースがあったりします。

あとは、専用のフォーラムがあるんですね。（ここに書かれているのは）インフォスティーラーで盗んだ情報、ID、パスワードやCookieを売っているものになります。ここはけっこう便利で、日本とか国で絞ったりとかすることもできますし、だいたい10ドルぐらいで買えるものがほとんどですね。そういったところで売られてたりもします。

先ほどのアニメーションに戻りますが、この状態は、今はイニシャルアクセスブローカーがいろいろなこれから売る侵入の口の仕入れが終わった状態になっています。

イニシャルアクセスブローカーは、例えばランサムウェアの実行犯にネットワークアクセスをするための経路を売る。その経路を売って、このランサムウェアの実行犯はランサムウェアの開発者からランサムウェアを手に入れて、この2つを使って侵入口の鍵を開け、中に侵入してランサムウェアを展開して攻撃を行うわけです。

攻撃者から見てうまくお金をせしめることができれば、ランサムウェアの実行犯とランサムウェアの開発者にお金が入ります。最近の相場はだいたい実行犯が8、開発者が2となっています。破格のものだと9・1というものもあります。

こうして彼らは、いろいろな役割分担をして自分たちの経済を潤すようなことをしています。

当たり前なんですよね。ランサムウェアの実行犯は比較的高いスキルを持っているので、入り口を探すことにあまり時間をかけたくないと考えるんです。それなら外に委託したほうがいいじゃないかと。

我々もビジネスでやっていますけれども、それと同じです。効率よく自分たちの役割をしっかりと分担して経済を潤していくようなことをしているわけなんですね。

実被害を与えないIABの特徴

なのでイニシャルアクセスブローカーは、一言で言うと実被害を与えない攻撃者です。入り口まで入ってくることも被害と言えば被害なんですけれども、ランサムという意味で広く捉えると、ランサムウェアを感染させるとか情報を盗むといったことはしません。あくまで入り口だけをこじ開けて、それを誰かに売るんですね。

なので、実際に侵入された時間とランサムウェアの被害に遭った時間は大きく開くケースがあります。もちろん数時間というものもありますが、数週間、下手すると数ヶ月というものも中にはあります。

なのでなかなか発見が難しいですし、事態が発覚しても調べたところでログがないとか、ランサムウェアはなんとか鎮静化したんですが、侵入された原因が特定できないというケースも中にはあり非常に厄介です。

先ほど能力が高い人ほど、そういった入り口を探すことに時間をかけたくないから外に委託するという表現をしましたけれども、そうすると先ほどの冒頭で申し上げた前提知識に「IAB」を加えて、こういうかたちになります。

「IAB」はそんなに大したスキルが必要ないです。例えば弱いRDPのパスワードを設定しているところを探すぐらいであれば、下手するとYouTubeとかで見れば簡単に勉強できる世の中になっています。なので、攻撃者の数が増えてしまうんですね。

なので、その増えたIABはずっと何かしら被害を与えるわけではなく、入り口がないかを探し回っています。そして実行犯とつながる。先ほどのアニメーションでも紹介したとおり、ランサムウェアの開発者、実行犯、IAB。これがつながって被害者に攻撃するということが実現されてしまっています。

攻撃者の裾野拡大

なので、昔だったらいろいろなことを一気通貫で1人でできないといけなかった、あるいは1グループでできないといけなかったものが、分担しているので、一気通貫でスキルを持つ必要がない。

言い換えれば、自分ができる範囲で少し手間をかければ、ある程度のお金にはなるという状況なので、裾野が広がっているんですね。

なので、攻撃されてしまうのは何かしらの穴、ID、パスワードが弱い、脆弱性があると考えると必然であると。もうそれはやられる順番が回ってくるというぐらいに思っていただきたいなと思っています。

あまりこう煽りたくはないんですけれども、いろいろ調べれば調べるほどこういう現状になっていることをみなさんに知っていただきたいなと思います。

なので、こういったことがあると、偉い人にけっこう多いんですけども、「自分たちの会社は盗るもんないから」とかいう方いるんですが。「うちは関係ないよ」と言う方もいらっしゃいます。

ただ、それは僕は間違っているかなと思っていて、現状を見るとどうしてもこう言わざるを得ません。

自分が無関心であったとしても、無関係ではいられません。なぜなら攻撃をするかしないか、みなさんのリソースをどのように使うかを決めるのは、我々ではなくて攻撃者なんですね。

なので、ギャンブルのようなことをするわけではなく、無関係ではいられないとみなさんに知っていただきたいですし、そういったことをみなさんの周りの人にも伝えていただきたいなと僕は考えています。

（後半につづく）