みなさま、こんにちは。

MBSDのリサーチャー兼エバンジェリスト、福田です。

今回もよろしくお願いいたします。

このブログは、私が所属するCyber Intelligence Group（以下、CIGチーム）が、2023年1月号から一般公開をはじめたランサムウェア攻撃の統計情報を中心に、これから毎月簡単なコメントを添えつつ情報発信するものです。

子育てネタも盛り込みつつ書いております。お気軽にご覧ください！

厳しい暑さが続いておりますが、皆様いかがお過ごしでしょうか。福田家は引っ越しから１カ月以上経過し、新しい環境に慣れてきたと同時に、以前住んでいた地域を懐かしく感じるようになってきました。
そして今月から、転居先の地域の保育園で、一時保育を利用することになりました。
誰に抱っこされても泣かない息子ですが、初めての一時保育の際は、久しぶりに半日以上預けられたことに腹を立てたらしく、帰ってきてから１時間程度、まともに目を合わせてくれず一人で座ってクレヨンを投げまくっていました。本人は怒っているのですが、その姿がとてもかわいらしく、拗ねたことやそれを表現してくれたことにうれしく感じてしまいました。

では早速、本題に入っていきましょう ☆

今月はランサムウェア攻撃グループ同士の関連性に言及した独自調査が入っておりますのでぜひ最後までご覧ください！

私が気になった7月のランサム関連トピック

今回は7月初めに起こった「名古屋港へのランサムウェア攻撃」についてです。
この事案についてはニュースで頻繁に取り上げられたため、ご存じの方も多いのではないでしょうか。
名古屋港は総取扱貨物量日本一を記録する国内最大規模の港湾です。この名古屋港においてコンテナの搬出入を管理するシステムがランサムウェア攻撃を受け、およそ3日間にわたりコンテナの搬出入が中断されました。

名古屋港を管理する名古屋港協会が発表（7月5日に第一報、その後随時続報を発表）した、システム障害の発生からターミナル運営再開の大まかな流れは以下の通りです。（主に7月26日に発表された経過報告をもとに作成）

・7月4日午前6時半頃システムの停止を確認
・7月4日午前7時半頃システム専用のプリンターから脅迫文が印刷された
・7月6日午前7時過、システムの復旧が完了したがネットワーク障害が発生
・7月6日午後2時過ネットワーク障害を解消
・7月6日午後3時以降順次ターミナルの運営を再開
・7月6日午後6時過全ターミナルで作業を再開

今回のケースにおいて私が注目したのは情報公開の早さです。多くの組織ではサイバー攻撃を受けた際、調査しある程度真相が判明した後に事案を公表する傾向があり、中には数カ月経った後に発表されることもあります。
しかし本事案では、当日中にシステム障害の発生についてメディアを通じて発表し、翌日にはランサムウェア感染に言及した公表を行いました。さらに、脅迫文から「LockBit」による犯行であることを把握し、それについても翌日中にメディアを通じて発信しています。このように分かったことを随時発信する姿勢は国内事例においてはとても珍しく感じました。
また、復旧までの期間の短さについても注目しました。ランサムウェア攻撃を受けた場合、被害範囲やランサムウェアの種類、被害組織の環境などよって復旧にかかる時間はそれぞれ異なりますが、通常通り業務を再開するまで数週間から数カ月かかることは少なくありません。今回の場合は、被害を確認してから復旧するまで約2日、業務再開まで約2日半と比較的早期に復旧したことにより、物流サービスや経済活動への影響はさほど大きくなかった模様で、一部報道によると輸出入額に「目立った影響はなかった」との情報も見られました。

本事案を受けて国土交通省は、「コンテナターミナルにおける情報セキュリティ対策等検討委員会」を設置しました。事案の検証、今後の港湾のセキュリティ対策を検討するだけでなく、港湾の法律や政策上の位置づけについても検討していくとのことです。港湾が重要なインフラとして指定されることで、より一層のセキュリティ対策が求められるようになり、安全な物流サービスの運営につながることが期待されます。

マンスリーレポート解説【7月分】

それではCIGチームがまとめたランサムウェア攻撃の統計情報を見ていきましょう！

■2023年7月の被害件数が過去最多
（※マンスリーレポート‐⑭, p.23）

まずは2021年8月から2023年７月までの被害数の推移をご覧ください（図1）。青線（左軸）が全世界の件数推移、オレンジ線（右軸）が国内件数の推移です。

図1 被害数の推移（ 2021 年8 月～2023 年7 月／全世界及び国内）※マンスリーレポート‐⑭, p.23から抜粋

2023年7月はリークサイト上で見られる被害組織の掲載情報などを元に算出した全世界の被害件数がCIGチームの統計史上過去最多の500件越えとなりました。これまでの最多は2023年3月であり、この月も7月も、CL0Pによる大規模なゼロデイ攻撃による影響で全体件数が底上げされたと考えられます。（3月、7月の全体件数に影響を与えたとされるゼロデイ攻撃はそれぞれ別の攻撃です。詳しくは2023年3月号、2023年6月号に掲載しておりますのでそちらをご覧ください。）

■グループ別ではCL0Pが2カ月連続のトップ、一方Royalが2カ月連続のトップ10圏外に
（※マンスリーレポート‐①, p.4 / ④, p.8）

続いて、各グループの動向を見ていきます。まずはグループ別年間統計をご覧ください（図2）。

図2 攻撃グループ割合で見る被害数の年間統計（ 2022年7月～2023年7月／全世界 ）※マンスリーレポート‐①, p.4

2023年7月は前月に続き、CL0Pが2カ月連続で掲載数トップとなりました。これは前回のブログでもお伝えした通り、ファイル転送管理ソリューションである「MOVEit Transfer」を狙ったゼロデイ攻撃による影響と考えられます。年間を通じでやはりLockBitが活発な状況ではあるものの、3月、6月、7月についてはCL0Pの存在も目立っており、このゼロデイ攻撃の規模の大きさがうかがえます。

また2カ月連続してRoyalがトップ10圏外となったことも特徴的です。2023年8月中旬の現時点で同グループのリークサイトは接続可能な状態にありますが、7月中旬を最後に更新は途絶えています。
Royalは「Conti」の元メンバーが背後にいる可能性を指摘されています。このようにグループ同士に繋がりがある事を考えると、活動停止に見せかけた水面下では他グループへメンバーを分散する、グループをリブランドするなどの手段で捜査機関からの注意を逸らし、摘発を避ける狙いがあるといった見方もできます。
（もちろん、再びRoyalが活発化することも、同グループのメンバーが解散して完全に停止することも考えられます。今後の動向に注目していきたいと思います。）

ランサムウェア攻撃グループのリブランドに関連する話題として、最近リブランドの可能性を含む何らかの関連性が疑われているグループがあります。それが「Rhysida」と「Vice Society」です。次のトピックで詳しく見ていきましょう。

■【独自調査】新たなグループ「Rhysida」と「Vice Society」の関連性が浮上
（※マンスリーレポート‐④, p.9 / ⑬, p.21）

Rhysidaは2023年5月下旬にリークサイトが見つかった比較的新しいランサムウェア攻撃グループです。このグループは、8月上旬に米国保健福祉省から注意喚起が行われており、次の図3に示すように7月のグループ別TOP10にランクインしている、注目すべきグループの1つとも言えます。

図3 月別内訳 攻撃グループ TOP10 （ 2023年 7月／全世界 ）※マンスリーレポート‐④, p.9

一方Vice Societyは2021年に発見されている比較的長寿のグループです。この2グループの関係性について、CIGチームの統計情報に基づいて調べていきたいと思います。
まずはそれぞれのリークサイトに掲載された被害組織の業種別内訳を見てみましょう（図4）。

図4 Vice SocietyおよびRhysidaのリークサイトに掲載された組織の業種内訳

図4のグラフにはそれぞれのグループの活動開始から2023年7月末時点までの統計データが反映されています。Rhysidaについては先月（2023年6月）に初めて被害組織情報の掲載を開始したばかりですが、掲載された被害組織の3割以上を教育分野が占めており、現時点でVice Societyと同様の傾向が見られます。被害組織の業種は全体として「製造」「サービス」「情報通信」などがトップとなることがほとんどであり、2023年7月の業種別TOP10のグラフを見ても「製造」分野がトップとなっています（図5）。

図5 月別内訳 業種TOP10（2023年7月 / 全世界）※マンスリーレポート‐⑬, p.21

この特徴はグループ別に見ても同様であり、業種別の集計で教育分野がトップとなるのは稀であると言えます。現に7月のグループ別TOP10（図3）に入っている10グループにおいても、教育分野がトップとなっているグループはRhysidaのみでした。こうした点を考慮すると、RhysidaとVice Societyが共に教育分野を多くリークサイト上に掲載しているという事実は、興味深い結果と言えるでしょう。

また、Vice Societyのリークサイトは8月30日現在接続できますが、更新は6月中旬以降行われていません。一方でRhysidaは5月に発見されて以来活発な活動を続けています。次の図6を見ると、まるで入れ替わるように活動状況の推移が交わっているようにも見て取れます。

図6 2023年以降のVice SocietyおよびRhysidaのリークサイトにおける更新検知件数の推移

このグラフだけではVice Societyの衰退とRhysidaの活動開始に明確な関連があるとは断定できませんが、同じ分野を主なターゲットとして攻撃していることと合わせると、両者の関連性を疑う余地はあると思います。今後それぞれの活動状況によって両グループの具体的な関係性が明らかになる可能性もあるため、引き続き監視をしていきたいと思います。

我々CIGチームがまとめている統計情報は他にもたくさんありますが、すべてをご紹介するとかなり長くなってしまうので、今回のブログで抜粋してお伝えするのはここまでとなります。
その他様々な観点の分析をまとめておりますので、ぜひマンスリーレポートをダウンロードしてご活用ください！

こちらのページからどうぞ ▼
/research/?c=whitepaper#bloglisttop

また今回言及したような、様々なランサムウェア攻撃グループ間の変遷を一つにまとめた図をPDFで無償配布していますので是非こちらもご覧ください ▼
/research/20230201/whitepaper/

---------------------

今日は最後に、福田家の引っ越しについてお話しさせてください！

息子が家にいる間は遊んで散らかしてしまうので、引っ越し作業は平日主人にお休みを取ってもらって行いました。息子が保育園に行っている間にせっせと荷造りや手続きを進めてもらい、何とかなりました。私も少し休んで作業に参加したものの、ほとんど役に立たなかったと思います。間違いなく、今回の引っ越しのMVPは主人です。

引っ越してからの1週間、息子は思うように昼寝できず、夜泣きもひどくなりました。その対応も、主人が頑張りました。よく、ママじゃないとだめ！というのは聞きますが息子はパパじゃないとだめ！というタイプです。夜泣きの時、機嫌の悪い時はパパに抱っこしてもらわないと落ち着きません。私が抱っこするとさらにエスカレートすることと、暴れて落下する危険性があることから、息子をなだめるのは任せっぱなしです。主人には、申し訳なさと感謝で頭があがりません。

息子はそんなに人見知りや場所見知りをするタイプではなく、寝ること以外は本当に楽なほうだったと思います。それでも新しい環境で落ち着いて眠るというのはかなり大変らしく、苦労したようです。

睡眠環境についてはだいたい2週間くらいで落ち着いたと思います。家が広くなり、楽しそうに駆け回る様子を見ていると、引っ越しして良かったなと思います。（主に主人が）苦労した甲斐がありました。

また、今回の引っ越しに際し、快く許可を出してくださったチーム・上長に心から感謝します。

というのも実は今の家は会社からかなり遠く、さらに駅からもかなり遠い場所にあります。現実的に毎日通勤できる距離ではないです。引っ越ししないといけないそれなりの事情があって、申し訳なさを感じつつも相談したところ、「現状フルリモートで働いているので、問題ない」と二つ返事でご承諾いただけました。

フルリモートで働ける職場というのはそんなに多くないですよね。パートナーの転勤・転職だったり、より良い環境で子育てしたいと思ったり、引っ越ししたいと思うタイミングはそれぞれあると思います。自分が転職せず住みたい所に引っ越せるというのは本当にありがたいなと思いました。

長くなりましたが、福田家の引っ越しについてはこんな感じでした。新しい環境で、より一層仕事と育児にまい進してまいります！！次回もよろしくお願いします！