APJ におけるランサムウェア攻撃の傾向の詳細
新型コロナのパンデミック以降、アジア太平洋・日本(APJ)地域では、サイバー攻撃が 急増 しています。アジアは、昨年 最も多くの攻撃を受けた地域 であり、ランサムウェアは最多の攻撃タイプでした。APJ の 80% 以上の組織は過去 5 年間に 1 回以上ランサムウェア攻撃を受けていますが、そのインシデントを公表している組織は 32% にとどまります。
Akamai のリサーチャーは、サービスとしてのランサムウェア(RaaS)プロバイダーの研究と分析を進め、攻撃を成功に導く基本的なメカニズムを解明しました。
先日リリースした Akamai ランサムウェア脅威レポート — APJ Deep Dive H1 2022 では、RaaS プロバイダーの最多勢力の 1 つである Conti を詳細に分析しています。報告によると、Conti RaaS グループが 2021 年にランサムウェア攻撃の身代金によって得た金額は 1 億 8,000 万米ドルに上ります。しかし、2022 年 5 月の ニュースで、 グループの解散と小規模なランサムウェアグループとの合流が報じられました。これはおそらく法執行を逃れるための措置と思われます。
Conti の攻撃を受けた APJ 諸国
APJ において Conti によるサイバー攻撃を受けた上位 5 か国は、オーストラリア、インド、インドネシア、ニュージーランド、中国でした。オーストラリアが 45% で第 1 位の標的国であり、インドとインドネシアがそれに続いています。
インドとインドネシアが上位になるのは意外な結果ではありません。両国のサイバー攻撃は大幅に増加しているからです。たとえば、インド国内の組織に対する サイバー攻撃の件数 は、昨年から 25% 増加しています。一方、インドネシアは、2022 年第 1 四半期だけで約 1,100 万件以上のサイバー攻撃 を受けています。
APJ 地域は、Conti による全世界のランサムウェア被害のうち、約 5% にとどまります。これは、Conti グループの攻撃対象がヨーロッパ・中東・アフリカ(EMEA)地域と北米地域に偏っていることが主な理由です。ただし、APJ 地域に対する攻撃の総数は少ないものの、それぞれの攻撃による影響は一様ではありません。さらに、他の RaaS グループは、Conti とは異なる攻撃バターンを示しています。そのため、APJ の組織は警戒を怠らず、常に最新のセキュリティリスクを把握するべきです。
Conti サイバー攻撃の業界別の内訳
ビジネスサービス
当社の分析によると、APJ で最も Conti 攻撃の被害を受けた業界はビジネスサービス業界でした。ビジネスサービス業界に対する攻撃は、サプライチェーンへのサイバー攻撃につながるおそれがあるため、危険な事態と言えます。サイバー犯罪者は、ビジネスサービス企業などのサードパーティに侵入し、それを足掛かりとして、価値の高い標的を攻撃する場合もあります。
例を 1 つ挙げると、 2022 年には、高級自動車メーカーや家電メーカーのサプライヤー/業務委託先である台湾の企業が Conti 攻撃を受けています。このサイバー攻撃はあまり重要でないシステムにしか影響しなかったと報じられていますが、サードパーティ企業が、取引関係のある組織にセキュリティリスクをもたらす可能性があることを認識しておくことが極めて重要です。
重要インフラ
APJ 地域では、他の地域と比べると、重要インフラに対する Conti 攻撃の割合(13.6%)が著しく高くなっています。重要インフラに対する攻撃は、実生活に重大な影響をもたらす危険性があります。
その例として、 オーストラリアの大手電力会社が 2021 年に Conti 攻撃を受けました。このサイバー攻撃によって同社のサービスが中断することはありませんでしたが、仮に中断していたら、どれだけ甚大な被害が出ていたかは容易に想像できます。
小売・ホスピタリティ(ホテル)
APJ で 2 番目に多くの攻撃を受けた業界は、小売業界とホテル業界でした。コマース業界では、個人を特定できる情報(PII)やクレジットカード番号など、大量の機密情報を取り扱うため、サイバー犯罪者にとっては利益の出やすい標的となっています。
ランサムウェア攻撃の影響
ランサムウェア攻撃のコストは、2021 年に 全世界で 200 億米ドルの損失 となりました。予測では、2031 年までにランサムウェア攻撃のコストは年間約 2,650 億米ドルまで上昇すると予想されています。ランサムウェア攻撃を受けた企業は、ダウンタイムが発生し、結果的に生産性の低下、ブランドや評判の失墜、修復と回復のコスト、法的費用など、さまざまな問題に直面する可能性があります。
ランサムウェア攻撃の影響は、攻撃を受けた企業の影響だけにとどまらない可能性があることを認識することが重要です。先ほど、アジアの組織の 65% 以上はランサムウェア攻撃を受けたかどうかを公表していないと述べました。公表しない主な理由としては、再び攻撃を受ける恐れと信用を失う懸念が考えられます。いずれも顧客離れと財務的損失につながる可能性があります。
Conti 攻撃を受けた SMB
当社は、Conti 攻撃を受けた組織の収益範囲も詳しく調べました。被害を受けた組織の 40% 以上は、収益規模が最大 5,000 万米ドルの組織です。つまり、Conti グループが標的としているのは、要求された金銭を支払うだけの能力はあるものの、大規模エンタープライズと同等のリソースやサイバーセキュリティテクノロジーは持っていない中小規模の企業だと推測できます。
もう 1 つの興味深い傾向として、被害を受けた APJ 組織の 18% は収益規模 10 億米ドル規模の組織でした。この数字は、この収益規模の割合が比較的低くなる世界の傾向とまったく逆です。
二重脅迫型の戦術
攻撃ベクトル としてのランサムウェアの主な動機は、金銭の要求です。そして、企業は、その規模を問わず、顧客情報、企業秘密、専有情報などの機密データや機微な情報を保有しているため、攻撃者にとっては有効な標的となるのです。
Conti などの RaaS グループは、ファイルを暗号化し、さらに機密データを盗み出すという二重脅迫型の戦術を駆使しています。この戦術を取られた場合、被害者はバックアップを保管していたとしても、身代金を払わざるを得ません。要求を拒否すると、攻撃者は 盗んだ情報を最も良い条件で売却 するか、その情報を別のサイバー攻撃に利用する可能性があります。
概要
Conti グループが使用する戦術・技術・手順(TTP)は目新しいものではありませんが、依然として高い効果を発揮しています。Conti グループは活動を中断しているようですが、Conti 攻撃の TTP に関する当社の知見と分析は、セキュリティ担当者がネットワークやデータを同様の攻撃から守る際に役立つはずです。
