ウクライナ情勢がランサムウェアの状況に強く影響、2022年第1四半期のランサムウェア市場における5つの重要なポイントとは？

2022年2月にロシアがウクライナへ侵攻して以降、ウクライナへの攻撃やロシアへの報復にハッカーが参戦したり、ウクライナを標的にしたマルウェアの被害が世界中に拡散するのが警戒されたりと、ランサムウェアに関する状況が目まぐるしく変化しています。そんな2022年第1四半期のランサムウェア市場の動向を知る上でカギとなる5つの重要なポイントを、クラウドストレージサービスを提供するBackblazeが公式ブログで解説しました。

Ransomware Takeaways From Q1 2022
https://www.backblaze.com/blog/ransomware-takeaways-from-q1-2022/

まず1つ目のポイントは、「ロシアへの国際的な注目と制裁により、ランサムウェアの活動が抑制された可能性がある」という点。2021年10月にMicrosoftが「サイバー攻撃の58％がロシアからのものだった」と発表したように、ロシアの情勢はランサムウェアの状況に強い影響を与えると考えられます。しかしながら、サイバー攻撃が重要な戦術になると考えられていた一方で、ロシアのランサムウェア状況は不気味なほど静かになっていたとのこと。これは、ロシアへの経済制裁によりサイバー犯罪者たちが金銭を受け取るルートをふさがれたことや、情勢の混乱により被害者が保険会社から金銭を受け取れないため犯罪者らが身代金を受け取れないと懸念したことが原因と考えられます。

「サイバー攻撃の58％がロシアからのものだった」とMicrosoftが発表、中国の台頭も顕著 - GIGAZINE

ただ、2つ目のポイントとして「長期的な社会経済的影響はサイバー犯罪の新たな波を引き起こす可能性がある」とBackblazeは指摘しています。例えば、サイバーセキュリティコンサルタントのCovewareは「制裁によって社会的・経済的に不安定になった人々が、サイバー犯罪に活路を見いだす可能性がある」と述べたことがあります。Covewareによると、新たに失業した労働力の7％がサイバー犯罪に転向するだけで、現在ランサムウェアのオペレーターとして活動している個人の数が2倍まで膨れあがるとのこと。

3つ目のポイントは、ロシアの侵攻を支持するか新ウクライナとして意志表示するかで、ランサムウェアグループが二分されているということがあります。ロシアを拠点とするランサムウェア攻撃グループ「Conti」の内部チャットのログ1年分が、親ウクライナ派のセキュリティ研究者によって「ウクライナに栄光あれ」というメッセージとともにジャーナリストやサイバーセキュリティ研究者に送信された流出事件も起きています。これを受けて他のグループは中立を宣言してロシアの攻撃を非難するなど、ランサムウェア市場は相互に密接なネットワークであることが浮き彫りになりました。

「親ロシアの方針」を掲げたランサムウェア攻撃グループがウクライナ寄りのハッカーの攻撃を食らって内部チャットのログ1年分が流出 - GIGAZINE

4つ目に、アメリカのサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が3月に発表した、2021年のランサムウェアの概況も重要なポイントです。CISAの声明によると、休日や週末に標準的なサイバー攻撃が行われていたこと、顧客のネットワークやサーバーのシステム保守・監視・運用を代行するマネージド・サービス・プロバイダ(MSP)が狙われたこと、クラウドのバックアップデータが狙われたことなどが戦術の傾向としてあったとのこと。ランサムウェアの手口に関する知見が蓄積されていることから、Backblazeは企業や組織がランサムウェアから身を守るための緩和策が確立されつつあることを示唆しました。

サイバー犯罪グループがランサムウェア攻撃を週末に実行する理由とは？ - GIGAZINE

最後に5つ目のポイントとして、Backblazeは「ロシアはランサムウェアを使用して制裁を相殺する可能性がある」と述べています。第1四半期はランサムウェア状況が落ち着いていた一方で、アメリカの金融犯罪取締ネットワーク局(FinCEN)は「ロシアが制裁を回避し、攻撃を強化して仮想通貨を獲得するために、国がハッカーを雇用する可能性があります」と警告しています。

ランサムウェアのトレンドを常に把握しておくことは、データを保護するためのセキュリティ状況を準備するのに役立つため、アンテナを張っておくことが重要であるとBackblazeは説いています。