サイバー犯罪グループがランサムウェア攻撃を週末に実行する理由とは？

近年、ランサムウェアによるサイバー攻撃が活発になっており、数多くの企業や公的機関が被害を受けています。そんな中、サイバー犯罪グループが「ランサムウェア攻撃を週末に行う傾向がある」ことが報じられています。

Why ransomware hackers love a holiday weekend | Ars Technica
https://arstechnica.com/information-technology/2021/09/why-ransomware-hackers-love-a-holiday-weekend/

バイデン政権が緊急事態宣言を出したことで話題になったアメリカ最大の石油パイプライン・Colonial Pipelineへのランサムウェア攻撃は、2021年5月7日(金)に実行されました。また、世界最大の食肉業者・JBSは、翌日に戦没将兵追悼記念日を控えた2021年5月30日(日)にランサムウェア攻撃による被害を受けています。他にも、IT管理サービス「Kaseya」が2021年7月2日(金)にランサムウェア攻撃を受けた際には「アメリカでは休日前になると勤務時間を短めにする人が多いため、対応が遅れるタイミングを狙ったものとみられる」と報じられるなど、ランサムウェア攻撃が週末に発生する傾向があることが指摘されてきました。

IT管理サービス「Kaseya」を標的にしたランサムウェアの大規模攻撃で多数の企業に間接的影響 - GIGAZINE

セキュリティ企業・Emsisoftで脅威分析を担当するブレッド・キャロウ氏によると、ランサムウェア攻撃の被害報告サービス「ID Ransomware」への被害報告は、月曜日に急増する傾向があるとのこと。キャロウ氏は「ランサムウェアによる攻撃は時間をかけるほどネットワークの多くの部分にダメージを与えられます」「一般的に、攻撃者は攻撃対象に属するスタッフがその場にいない時間を狙います。そうすることで、攻撃が途中で検出されて中断される可能性が低くなります」と述べています。

また、セキュリティ企業・Red Canaryでインテリジェンス担当ディレクターを務めるケイティ・ニッケルズ氏は「週末には、出勤するスタッフが少なくなり、セキュリティに関する注意力が低下する可能性があるという考えは理にかなっています。週末に重大な事件が発生した場合、スタッフの不足によって迅速な対応が困難になる可能性があります」と述べ、攻撃者が攻撃対象企業の防衛体制が手薄になる週末を狙っていることを指摘しています。

アメリカ一般企業の場合は週末を狙われる傾向がありますが、キャロウ氏によるとアジアでは旧正月の期間が多く狙われ、学校では比較的対応が遅くなる長期休暇の期間が多く狙われるなど、攻撃対象の地域や特性に合わせて攻撃に最適なタイミングを狙われる傾向があるとのこと。また、ランサムウェア攻撃は攻撃実行の何日も前からシステムに侵入しているため、「ランサムウェア攻撃が発生しそうなタイミングだけ対策を強化する」といった対策は無意味だとキャロウ氏は指摘しています。

なお、アメリカ合衆国国土安全保障省のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は無料で使えるランサムウェア攻撃対策評価ツールを公開しており、ランサムウェア攻撃の被害を防ぐためのネットワークの設定やデータバックアップの重要性を啓発しています。

「全ての組織が実行するべき」とされる政府公式ランサムウェア対策ツールを使ってみた - GIGAZINE