コメント2023年のランサムウェアの状況は、ある意味では前年と変わらないと言えるでしょう。ベンダーのレポートでは攻撃件数の増加が続いており、大規模組織も依然として被害を受けており、ランサムウェアをビジネスモデルとして成立させている根本的な問題は依然として解決されていません。
しかし、2023年が記憶に残るであろうことは、法執行機関(LE)が進歩と不寛容の姿勢を示し、かつてはサイバー犯罪界の見せ場だったギャングを壊滅させるという約束を果たしたことだ。
テクニカルサポートを無視した弁護士が傲慢さで有罪
続きを読む
今年初めのHiveの終息に続き、RagnarLockerとQakbotも終息し、12月にはAlphV/BlackCatの終息に向けた取り組みも部分的に成功を収めました。後者は依然として活動を続け、被害者への侵入を続けていますが、法執行機関は過去数百件の事例に対応した復号ツールを公開しました。これだけでも、ランサムウェア対策にとって大きな成果をもたらしたこの1年の価値が損なわれることはありません。
AlphV/BlackCat は今のところ当局の魔の手から逃れたかもしれないが、今年国家安全保障機関が取った行動は、この分野で良いニュースがなかった一年を経て業界に明るい材料を与えている。
2022年はランサムウェア攻撃が稀に見る減少を記録しましたが、その減少は短期間で、件数は減少したものの、依然として大規模なインシデントに悩まされていました。法執行機関も目立った摘発を1件も記録しておらず、前回は2021年末のREvilの閉鎖でした。
コンティは消滅したが、それはブランド名だけで、警察は関与していなかった。このグループは長年にわたり、様々な組織や政府を荒廃させ、その後、小規模なグループへと分裂した。
実際、2023年は当局からの一種の声明でした。長年にわたり、様々な機関が「ランサムウェアはもはや容認できない」という主張を繰り返してきましたが、過去12ヶ月間の混乱は、正しい方向への真の一歩を踏み出したように感じられます。
しかし、パズルのピースはまだ欠けており、逮捕者数の少なさは依然として懸念材料です。組織を壊滅させることは決して容易なことではなく、称賛されるべきですが、大局的に見れば、犯罪者が野放しのままでいる限り、実質的に何の抑止力にもなりません。
強力な介入の必要性は否定できない。法執行機関による対策は効果的だが、予防にはならない。ランサムウェア業界は、政府がこの危機に介入し、ランサムウェアの蔓延をさらに悪化させないよう断固たる行動をとることを求めている。
例えば、AlphV/BlackCatを例に挙げましょう。2023年のランサムウェアグループの中で、間違いなく最も悪質なグループでした。ロシアを拠点としていると思われるリーダーたちは、わずか12ヶ月の間に、乳がん患者のヌード写真の流出など、ランサムウェア史上最悪の行為をいくつも実行しました。病院、慈善団体、学校など、同様に機密性の高い標的を自由に標的にすることで知られていましたが、リーハイ・バレー・ヘルス・ネットワークへの攻撃は、その悪質さを改めて証明しました。
グループは恐喝の限界を押し広げ続け、証券取引委員会(SEC)を武器にするまでに至った。11月には、標的企業が4日以内に侵害を報告しなかったとして、規制当局に苦情を申し立てたとされる。そして12月にも、同じ手口を繰り返した。どちらも身代金支払い交渉を急がせるための、あからさまな試みだった。連邦政府がこれを阻止したのも無理はない。
当局がランサムウェアの根絶を真剣に考え、最悪のランサムウェア活動の背後にいるような犯罪者を失職させようとするなら、アプローチを変える必要があります。削除だけでは効果がないとすれば、そして実際に効果がないとすれば、他の解決策が必要です。
ランサムウェア対策において、政府は極めて重要な役割を担うでしょう。業界は、2024年こそ国家の影響力が必要な形でサイバー犯罪に及ぶ年となることを切望しているに違いありません。しかしながら、効果的な法整備は決して容易ではありません。
立法者よ、立ち上がれ
言うまでもなく、民間部門は、上位の権限が必要な変更を施行するまでの間、より一層の努力をしなければなりません。より優れた、より安全な製品を開発することで、毎月リリースされる無数のパッチを適用する負担が軽減されます。セキュリティ業務は、本来であればこれほどまでに混乱を招くべきではない、絶え間ない業務です。
法執行機関は、その権限の範囲内でランサムウェアの阻止に着実に取り組んでおり、組織におけるサイバーセキュリティ意識は、脅威を軽減するために徐々に高まっています。しかし、ランサムウェア対策の次のステップは、立法府によるものでなければなりません。2024年は、大規模なランサムウェア対策だけでなく、脅威の根絶に貢献した影響力のある政策決定によっても記憶に残る年となるでしょうし、そうあるべきです。
とはいえ、完璧な解決策は存在しません。法整備によるランサムウェア対策についてはいくつかの考え方があり、最も有力なのは、公的機関と民間企業の両方において、身代金の支払いを全面的に禁止するというものです。
政治家たちは長年、身代金禁止の導入に取り組んできましたが、本格的な導入に向けた措置は講じていません。世界規模で最も近いのは、国際ランサムウェア対策イニシアチブ(CRI)が身代金の支払いを拒否すると表明したことです。しかし、民間セクターへの影響がないため、その意味は薄いと言えるでしょう。
身代金の支払いを禁止することは、長期的にはほぼ確実に望ましい結果をもたらす解決策であるにもかかわらず、短期的な影響は悲惨なものとなる可能性が高い。ランサムウェア攻撃の被害を受けた組織は、最初の数ヶ月、数年、あるいはランサムウェア集団が攻撃を放棄するまでの期間、そのような法律が施行された後、将来を危うくされることになるだろう。また、情報セキュリティ部門が透明性の文化を促進するために行ってきた多大な努力が完全に無駄になる可能性も十分に考えられる。攻撃は再び一般市民や当局から隠蔽され、身代金の支払いは継続されるものの、より静かに行われるようになる可能性がある。
もう一つのアプローチは、不十分なセキュリティ対策を禁止することです。サイバー犯罪者の標的になりやすい組織は、常にその組織を悪用しようとする個人が存在し、問題を永続させてしまうという考え方です。
病院のような潜在的な被害者を考えると、このアプローチも、支払いの禁止を伴うアプローチも、実際には理想的ではなく、生産的でさえありません。資金不足に苦しむ重要なサービスを提供するこのような機関は、ダウンタイムを許容できません。ましてや、世界クラスの優秀な人材を擁するSOCなど、到底無理です。攻撃を受けた場合、最優先事項はシステムをオンラインに復旧させ、人命を奪わないことです。ここで、過重労働に苦しむ病院のITチームを罰するべきなのでしょうか?
- スペインの漁師が警察の網にかかり、数百万ユーロの被害に
- E-Root 盗まれた認証情報市場の管理者が米国に引き渡される
- 米当局、同盟国にランサムウェア犯罪者に金銭を支払わないよう説得間近
- 2つのカジノランサムウェア攻撃の物語:1つは支払われ、もう1つは支払われなかった
今後さらに検討すべき領域として、既知のサイバー犯罪組織への資金の流れを断つために、暗号通貨取引に関わる組織にさらなる責任を課すことが挙げられます。これはCRIの目的の一つであり、既に実践されています。
例えば、英国の金融行動監視機構(FCA)は、取引所などの仮想通貨関連企業に対し、マネーロンダリング対策(AML)およびテロ対策の手順について監査する権限を既に有しています。CRIの公約には、金融活動作業部会(FATF)の勧告15の実施も含まれています。この勧告は、加盟国50カ国すべてにおいて、政府レベルで同様の検査を実施すべきことを規定しています。
しかし、私は何ヶ月も前からこの問題と不正資金の流入を阻止する計画について話し合うためにFCAに説明を求めてきたが、FCAはあらゆる接触を無視してきたことを考えると、これが規制レベルで優先事項として考えられているとは到底思えない。
採られる立法措置が効果的であり、かつ組織の将来を脅かすものではないことを保証することは困難な課題となるでしょう。しかし、何らかの形で立法措置が必要であることは疑いようがありません。
しかし、過去1年間で私たちが目にしたのは、西側諸国政府が脅威に対して戦い続け、決して屈服しない姿勢です。2023年の法執行機関による具体的な行動は、サイバー犯罪の根絶という称賛に値する成果をもたらしただけでなく、ランサムウェアがいくらか常態化しているとはいえ、決して容認されないことを常に思い起こさせるものとなっています。
先行きは不確かなものですが、2024 年は 2023 年の進歩を基盤として発展していくことを期待しています。®
