昨今、国内外問わず連日のように暴露型ランサムウェア攻撃による被害が引き続き報じられています。

暴露型ランサムウェア攻撃の一環としてリークサイトやTelegramなどに被害組織の情報を掲載する「暴露活動」(※)がありますが、新人福田のランサム統計だより：2023年5月号でも触れているように、被害組織の中には、１度だけでなく２度３度と、複数の異なる攻撃グループのリークサイトへ異なるタイミングで繰り返し掲載される被害組織がいくらか存在します。
本記事では我々Cyber Intelligence Group（以下、CIG）が記録・調査したデータに基づき、そうしたランサムウェア攻撃における「多重被害」の実態について分析した結果を共有します。
（※本記事内では被害組織名のみ掲載されたケース、窃取された情報が掲載されてしまった両ケースを含む）

集計結果

CIGでは、ランサムウェア攻撃グループだけでなく、それらと協力関係にある可能性がある暴露系攻撃グループのサイトや、被害組織の情報を販売するマーケットなどのリークサイト等も併せて監視しています。現在、監視対象となるそれらのリークサイトは130以上で、2021年8月からの約2年間で掲載された被害組織情報は約7000件に上ります。
それらの収集データから、「２回以上いずれかのリークサイトへ繰り返し掲載された被害組織」を洗い出し、表にまとめた結果、調査した期間の範囲（2021年8月からの約2年間）では74組織が該当しました（図１）。

図 1　リークサイトへ複数回掲載された組織の一覧 (2021年８月〜2023年６月）

また、3回以上リークサイトに情報が掲載された組織は7組織が該当しました。
つまり、2回以上掲載された多重被害の累計数は81件（74 + 7）となります。
さらに初回の掲載を加えた全ての掲載の累計数は155件となり、これは全体7000件の約2.2％に相当します。
全体に対する割合は少ないように見えますが、１度攻撃を受けた組織が2度３度と掲載されている背景や派生する様々なリスクを考慮すると、これらの結果は非常に注目すべき事実と言えます。

最近の傾向として、比較的短いスパンで異なるグループからの攻撃が再発した事例が以前に比べ目立つようになってきていることがわかります。（図１の表におけるピンクの偏りを参照）。

多重被害が発生した期間に関する調査

下記図２は、２回以上掲載された多重被害（累計81件）がどれほどの期間を空けて発生したかという割合を示したグラフです。調査の結果、約38%が1ヶ月以内、半数以上（約56%）が3ヶ月以内に発生していることが判明しました。
つまり、多重被害は短期間のうちに行われる傾向があることがわかります。

図 2　リークサイトへの掲載間隔の分析

これには様々な理由が考えられますが、例えば、（１）ある攻撃グループに窃取された漏洩情報が他のグループの手に渡り再度それを揺すりに利用される、（２）攻撃後の対応（侵入の防止対策等）が不十分で再攻撃を許してしまう、（３）同一観点の侵入経路を日々探す異なるグループから偶然的に同タイミングで攻撃を受ける、（４）侵入時に利用する認証情報を提供したイニシャルアクセスブローカー（IAB）が共通する、などが挙げられます。

また、一度身代金を支払った組織は繰り返し揺すれる可能性があるとして目を付けられやすい観点もあるでしょう。世界には様々なランサムウェア攻撃グループが存在しますが、彼らの主たる目的には「身代金を得る」という共通命題があります。それぞれの攻撃に関与する関係者や繋がりがある他グループと迅速に連携を取り、そうした被害者に繰り返し心理的圧力を加え身代金支払いの確率を高めるという共存関係を軸とした戦略があったとしても不思議ではありません。

攻撃グループ間における共存関係の可能性

それを示すように、図１で示した多重被害には48(※)の攻撃グループが関与しており、このうち約22%にあたる34件は、日常的な言動やその他の調査から他の攻撃グループと協力していることが示唆されている4グループによるものでした（図３）。
（※マーケットサイト含む）

図 3　図１の被害に関与した攻撃グループの割合

これら4つのグループについて簡単に解説しましょう。
（※CIGの調査では、他グループと協力関係が疑われるその他の攻撃グループの存在も複数確認していますが、今回集計したデータには出てこないため本記事では省略します）

• STORMOUS
  STORMOUSはランサムウェア攻撃グループであると主張していますが、ランサムウェアを使用した証拠が明確には確認されず、他の攻撃グループから何らかの手段で被害者組織情報を入手し自身のリークサイトなどで公開している可能性が指摘されてきました。ただし、一部ではPHPで書かれた検体の発見報告もあります。
  
  
• Karakurt
  Karakurtは、Conti という攻撃グループが活動停止する前はContiの恐喝部門を担当していたとされています。ランサムウェアを使用した形跡はありませんが、協力関係にある他の攻撃グループの侵入ルートを利用して情報を盗んだりする活動も確認されています。例えば、図１で示した74の組織のうち、LockBitとKarakurtが関与しているケースがあります。LockBitの侵入ルートをKarakurtのメンバーが利用した攻撃なども確認されており、何らかの関係性がある可能性も考えられます。しかし今のところ、それらを断言できる証拠は確認できていません。

• RansomHouse
  RansomHouseは、他のランサムウェア攻撃グループと同様に被害者情報をリークサイトに掲載していますが、ランサムウェアを用いないグループであると主張しています。また、リークサイトのUIがHiveと似ているなどの事情から、他のグループと何らかの形で連携している可能性も否定できません。彼らが盗んだ情報はオークション形式で公開され、売れ残った情報はそのままサイトに公開されます。これにより、情報が他の犯罪者やライバル組織に渡り、二次的な被害が発生する可能性が高まります。ランサムウェア攻撃グループが暗号化よりも情報窃取や脅迫に注力するケースも複数確認されており、暴露活動が被害者組織にとって有効な攻撃手段であることが示されています。

• Snatch
  Snatchはランサムウェアを使用し、二重恐喝を行う暴露型ランサムウェア攻撃グループです。このグループは2018年から活動が確認されている比較的古い攻撃グループですが、最近では興味深い情報をリークサイトに掲載しました。
  図４は2023年6月13日(JST)にSnatchがリークサイトに掲載した公告です。
  この中でSnatchは“どんな団体や企業とも協力する準備がある”と述べており、他の攻撃グループとの協力を示唆しているように見えます。
  また、”私たちのリソースに公開されている全ての情報とデータは公共の利用のためのもので、類似のリソースと共有することができます”とも述べています。
  これがどのような事実を指すのか明確に断言することはできませんが、リソース＝リークサイトと解釈すると、他の攻撃グループと窃取した情報のやりとりが存在すると解釈できます。
  図１の緑色の部分を見ると、最近SnatchとNokoyawaが公開した被害組織名のうち8件が共通しています。これは、Nokoyawaが2023年に公開した26件(本記事執筆時点)のうち約31％を占め、何らかの協力関係があるとの見方もできます。

図 4　Snatchがリークサイト上に掲載した公告

複数回攻撃される原因とリスク

今回の調査で明確な数値が明らかになったように、ランサムウェア攻撃を一度受けた企業は、その後繰り返し多重被害に遭う可能性があります。
多重被害を許してしまうと、窃取された情報が複数のリークサイトに掲載されることによる情報漏洩の拡大や、身代金支払いもしくは対応コストの倍増、さらに異なる攻撃グループによる攻撃が重なった場合、データが多重に暗号化されてしまう恐れなどもあります。

ランサムウェアによる暗号化は、万が一身代金を支払ったとしても必ずしも復号できるとは限らず、データが復号できなかったという事例は多数確認されていますが、さらに多重にデータが暗号化されていた場合、復旧不可能なほどデータが破損するリスクがより高まります。

そして繰り返しとなりますが、身代金を払うと、他の攻撃グループから「脅せば支払う」と見なされ、再脅迫のリスクが増大します。さらに、支払ったとしてもデータの完全復旧は保証されません。また、インシデント対応を十分に行わなかった場合、攻撃グループが使用した侵入経路が残存する可能性があり、これは再被害の可能性を高めます。

しかし、たとえ攻撃を受けた場合でも、何度も揺すられないよう身代金を支払わない、繰り返し侵入されないよう侵入経路の徹底的な洗い出しを含めた十分な事後対応と再発防止策を実施するなどで、リスクを低減させる事ができます。
例えば、実際の侵入経路はマルウェア感染など何らかの理由により過去に窃取された認証情報の悪用であるにもかかわらず、はじめから十分な調査をせずに侵入経路がネットワーク機器の脆弱性攻撃であると決め込んでしまった場合、本来実施すべき対応を見逃してしまう可能性があります。
最悪のケースでは再度攻撃を許してしまい、今回ご紹介した多重被害につながりかねません。そのため、侵入経路の調査は慎重に行う必要があるといえるでしょう。

また、日頃からのセキュリティ対策に加え、万が一ランサムウェア攻撃に遭ってしまった場合に備えて、BCP等対応策の策定やインシデント対応の体制を整えておく事が非常に重要です。

ランサムウェア攻撃に対する基本的な対策は新人福田のランサム統計だより：2023年2月号でもご紹介していますが、こういった基本的な対策を行いつつ、組織に合わせたセキュリティ対策も必要と言えるでしょう。

暴露型ランサムウェアが話題となり数年が経過しますが状況は変わらず、国内組織のランサムウェア被害はあとをたちません。こうした情報発信等を通じ、引き続き広く啓発していかなければならないと感じています。
今回の調査結果が皆さまのセキュリティ意識の向上に、ほんの少しでも寄与できれば幸いです。

最後に、CIGが毎月公開しているランサムウェア攻撃統計や、それらの統計を簡単に解説しているブログの紹介をさせていただきたいと思います。

最後に：CIGの活動/コンテンツ紹介

・【2023年6月号】暴露型ランサムウェア攻撃統計CIGマンスリーレポート
毎月の暴露型ランサムウェア攻撃の統計情報をまとめ、被害件数を様々な角度から分析したレポートです。

・新人福田のランサム統計だより：2023年5月号
ランサムウェア攻撃の統計情報の簡単な解説を中心に、エバンジェリスト福田が毎月の気になるセキュリティトピックをまとめたブログです。

・ランサムウェア／攻撃グループの変遷と繋がり (Rev.2)
世界で確認されてきた主なランサムウェア攻撃グループについて、「リブランド」を軸とした複合的視点による組織間の繋がりをまとめた情報になります。

・マルウェアの教科書
CIGを率いる上級マルウェア解析者吉川が執筆。日本語の書籍としては非常に珍しく、マルウェアについて基礎から応用、解析技術まで広く学べる内容となっています。

調査&執筆 / 安田祐一

（企画・フォロー / 吉川孝志、福田美香）