マルウェア、ランサムウェア、ダークウェブ　驚異のサイバー犯罪最前線

マルウェアを用いたネット犯罪の市場が膨張している。

2021年5月のアメリカの石油パイプライン大手、コロニアルパイプライン社がサイバー攻撃を受け、5日間にわたり操業停止となる被害を受けた。いまや、ランサムウェアは社会インフラや安全保障の脅威となっている。

また、コロナ禍におけるデジタル化への加速で、サイバー犯罪者向けのサービス「ランサムウエア・アズ・ア・サービス（RaaS）」が普及し、2020年には、サイバー犯罪集団によるRaaSの利用が195%増加している。

この状況下、企業側はどのように迎撃すべきか。国内や海外におけるサイバーセキュリティの大手企業であるトレンドマイクロのCISO（情報セキュリティ責任者）、清水 智氏に以下、ご寄稿いただいた。

2017年のゴールデンウイークに爆発的な感染で「ランサムウェア」という呼び名を一気に有名にした「WannaCry（ワナクライ）事件」から既に4年が経過し、ランサムウェアに関連するサイバー犯罪のニュースは今ではすっかり珍しいものではなくなっている。実際トレンドマイクロの調査によれば以下の通り年々その被害企業数は増加の一途を辿っている。

そこで、ランサムウェアを軸にサイバー犯罪がどのような進化を遂げてきたのか、またそうした状況下において守る側の企業は何をすべきなのかを考察していきたい。

身代金平均額、約1880万円──。ランサムウェアの犯罪構造

はじめに、ランサムウェアを使ったサイバー犯罪の実態とその構造について考察していきたい。

シンシア・オドノグー、フィリップ・トーマス両氏がポストしたブログの記載によれば、ランサムウェア被害を受けて支払われた身代金の平均金額は17万404ドル（約1880万円）で、機会のロスといった「能動的被害」を含めた影響金額は2021年に185万ドル（約2億400万円）に達するという。

そして興味深いことに、身代金を支払った企業のうちデータを復旧できた企業はわずか8%に過ぎないという。つまり多くの企業が「払い損」をしているということだ。こうした事実は、実は視点を犯罪者サイドに移してみると、被害を受けた際にどう判断すべきかが見えてくる。

一口にランサムウェアといっても、それを利用する犯罪者側の意図は異なる。もちろん大多数を占めているのは金銭目的である。また、金銭目的の場合、いわゆる二重脅迫型と呼ばれる、「身代金を支払わないなら盗み出した情報を暴露する」と脅すケースが急増していることも注目すべき点である。ただし、すべてのランサムウェア攻撃が金銭狙いとは限らないことに留意したい。

特に注目したい、金銭目的以外の犯罪動機は、「業務妨害や破壊・テロ攻撃」である。ランサムウェアは感染した端末を介してデータを暗号化してしまい、感染した端末は業務に利用できなくなるため、Webサイトにアクセスを集中し、ダウンさせるDDoS攻撃よりも難易度は高いが効果も大きいと言える。

犯罪戦略は「分業化」

ランサムウェア犯罪の実態解明はまだまだ十分ではなく、不明な部分も多いが、彼らの犯罪戦略は「分業化」によって支えられているようにみえる。最近のランサムウェア犯罪の事例でみると、犯罪グループによって差異はあるものの、およそ以下のように分業化がなされている*1と考えられる。

a. 初期侵入 ──脆弱な環境を調べ、その脆弱性を悪用するなどして不正アクセスし、外部からコントロール可能な状態を維持し、そのリモートアクセス権を提供する役目（アクセス・ブローカー）。

b. ランサムウェアの実行 ──成功報酬型で犯罪の報酬を得る、「アフィリエイター」と呼ばれる実行者が、アクセス・ブローカーから購入したアクセス権を元に不正アクセスを実施する。その際に起点となる感染端末からネットワーク内で感染を広げていくために「権限昇格」や「ネットワーク内の水平移動」などを行う。その後、「ランサムオペレータ」と呼ばれる、元締めに近い犯罪者からランサムウェアを購入して実行する。

c. 身代金支払いの交渉 ──ランサムウェア攻撃を実行した先の被害者と身代金の支払いの交渉を行う役目で、アフィリエイター自身が担う場合と元締めのランサムオペレータが行う場合がある。

こうした戦略は、初期のランサムウェア犯罪の失敗、つまり、旧来型のランサムウェアの弱点であった、「被害者側が、バックアップとリストアで対応できる」ことを踏まえての戦略である。被害者が身代金を支払って復号するためキーを入手することよりもバックアップから復旧する方法を選んだ場合は、当然犯罪者には1円も入らないばかりか単に痕跡を残して逮捕されるリスクを負うことになるのだ。

2016年にサンフランシスコ市の交通局が被害を受けた際にも、被害者が、被害を受けたチケット販売端末を復旧させる方法を選んだために、犯人とすれば1円も得られなかっただけでなく、刑事訴追されるリスクだけが残ったことになる。

こうした失敗をふまえて生み出された手口が、「二重脅迫型」の恐喝だ。

すなわち、犯罪の元締めはダークウェブを介し、脆弱性情報とそれを悪用するエクスプロイト（脆弱性を利用して攻撃する不正なプログラム）など、犯罪実行に必要な情報やツールを入手し、できるだけ多くの企業ネットワークへの不正侵入口を確保する。あるいは、これらの不正侵入のためのアクセス権をいわゆる「アクセス・ブローカー」と呼ばれる別の犯罪者グループから購入することもある。

コロナ禍によるリモートワークの促進は、そうしたグループの活動を助けているとも言われており、VPN（バーチャル・プライベート・ネットワーク）などのネットワークソフトの脆弱性を悪用した攻撃が後を絶たない状況が続いている。

アフィリエイターなどのランサムウェアの実行者は、アクセス・ブローカーから購入したVPNなどの侵入口から不正アクセスを行い、前述の手口同様、権限昇格やネットワーク内の水平移動によってデータを物色する。二重脅迫型の場合、このタイミングでデータを盗み出しておく。その後でランサムウェアで実際の攻撃を実施するのだ。その後は被害者と交渉し、機密データを脅しに使いながら身代金を得る、という犯罪の最終段階に至るのである。

ここで、こうしたランサムウェア犯罪の基盤がどのような背景で構築されてきたのか、サイバー犯罪の進化について振り返りたい。

サイバー犯罪の進化とダークウェブの役割

「ボットネット」の普及

黎明期のサイバー犯罪は「愉快犯的目的」「技術力の誇示」といったものが主だったが、犯罪者の「道具」として使われ始めたのは2000年代前半頃だ。また、この頃から名前を頻繁に耳にするようになってきたのが「ボットネット」の存在だ。「ボットネット」とは、「感染させた端末に犯罪活動を行う基盤を作り、その端末をリモートから操作するためのネットワーク」と定義づけることができる。

ボットネットの普及はまさに、犯罪者側が確実に、その目的を遂行するための「犯罪基盤」作りを着々と行い始めていたことのあらわれである。

初期のボットネットでは主に、「システムのリモートコントロール」／「サービス妨害/DoS攻撃の実行」／「個人情報の窃取（ID／個人のクレジット情報／銀行情報など）」が機能として備わっていた。

それが他の犯罪サービスと結びついて、「ドキシング（窃取した情報を晒すこと）」／「窃取した情報のカタログ作成」／「「窃取したデータの販売」／「「標的企業のシステムに対して不正アクセスを可能にする犯罪サービスのプロビジョニング（犯罪実行のための資源の割り当てや設定などを行い、ニーズに応じて利用や運用が可能な状態にすること）」／「「第三者の作成したマルウェアをシステムにインストール（遠隔操作ツールやランサムウェアなど）」といった機能がボットネットを中核とする「犯罪サービス」に付加されるようになった。

こうした既存のプロセスにデジタル技術を取り入れ、サービスに変革を生む動きは、まさに犯罪におけるDX推進そのものであり、その結果、新たな付加価値を生み出していると言えるだろう。

犯罪者の2極化、グーグル検索ではたどりつけない「ダークウェブ」の台頭

そしてこの進化はまた、犯罪者の2極化を生んでいる。すなわち、「犯罪基盤の提供者」と、「それを利用する行為者」である。このことは昨今のランサムウェアを利用した犯罪被害を正しく理解する上でも極めて重要なポイントである。

このようにサイバー犯罪が2極化する中で大きな役割を果たしたのが、いわゆる「ダークウェブ」という空間である。

ダークウェブは一般的に通常は検索エンジンなどでヒットすることのない、また匿名化通信専用のブラウザーを利用しないとアクセスできないような空間を意味するが、言い換えれば表社会からは見えない裏社会にあるコミュニティと考えれば良い。このダークウェブに次々に登場してきたのが、表社会では売買できないような違法な物品の販売で、その代表格は麻薬や武器である。

そしてボットネットの運用者たちは、このダークウェブの闇市場を利用して、サイバー犯罪を企む犯罪者たちに「基盤」を提供し始めたのだ。ダークウェブ上に構築された基盤は、金銭目的・スパイ目的・テロ目的・性犯罪目的など、サイバー犯罪者たちのさまざまな野心にとっての福音となった。

犯罪の自動化で、アマチュアの「参入」も

加えて、これまでは高度なエンジニアリング技術がないとサイバー犯罪を行うことは困難であったが、決してレベルの高くはない犯罪者たちも、犯罪基盤を通して容易に入手し、しかも多くの行為を自動的に行ってくれるようになった。

そしてこの基盤はマルウェア作成者たちにとっても大きなモチベーションとなった。その時々で高値が付くツールは変化するが、技術があればより高額で売れるツールにより比較的容易にお金を稼ぐことができるようになったのだ。

最近では、多くの顧客が利用しているOSやOffice系アプリといったソフトウェアなどを中心に脆弱性を発見し、それを正規の報告ルートではなく闇ルートに流し、それを購入したマルウェア作成者がエクスプロイトを作成、販売する、といった分業化もダークウェブを介して進んでいる。

法執行機関の「ダークウェブ対応」は？

もちろん、こうした違法行為の温床となっているダークウェブの存在を法執行機関が放置しているわけではない。ユーロポールが毎年開催しているサイバー犯罪レポート、IOCTA（Internet Organised Crime Threat Assessment）*2や法執行機関と民間の間で行われているサイバー犯罪に関する国際会議での発表などによれば、特にヨーロッパ地域では積極的に欧州警察機構（ユーロポール）のコーディネーションのもとで各国警察が連携してこうした闇市場に対するアクションを取っているという。

例えば、おとり捜査により闇市場の管理者権限を奪取して不正行為の証拠を抑え、犯人グループを検挙するといった作戦である。また、民間のインフラ事業者と連携してテイクダウン作戦なども頻繁に行われており、それを受けて犯罪者グループは大規模市場を捨てて小規模化し、コミュニケーションを暗号化するなど更に地下深くに潜り始めている。

企業側の防御策

ランサムウェア被害を受けないようにする、あるいは受けた場合にもその影響を最小限に抑え込むためには、サイバーセキュリティの取り組みを組織全体、およびサプライチェーンを含めて根付かせることであることは言うまでもない。

ランサムウェア犯罪などの被害は「犯罪事件」であって、単なるITインシデントではない。この点をよく踏まえたセキュリティ戦略、セキュリティ対策を講じる必要がある。

以下に、様々なセキュリティの取り組みの中でも特に留意すべき点を挙げる。

不正アクセスを許す侵入ポイントを「作らせない」

まずは上述した「アクセス・ブローカー」たちによる不正アクセスを防ぐことがまず第一歩となる。このためには、適切な脆弱性に対する対応（パッチマネジメントやアプリケーション管理）や、フィッシングメールなどへの対策といった基本的な取り組みを確実に行うことである。

定期的にリスクアセスメントを実施する

実際に被害を受けた場合、その影響の程度に応じて対応を決める必要もあるため、自社の情報資産、情報システム、業務用システムなどをきちんと特定し、リスクアセスメントを定期的に実施することも忘れてはならない。ランサムウェアは情報のCIA（機密性・完全性・可用性）の全てを阻害するリスクがあるため、情報資産やシステム毎に影響度を把握しておく必要があるのだ。

復旧計画を策定、実施訓練を行う

特にサイバー空間への依存度の高い業務領域においては、影響分析結果に紐づいた復旧計画を策定しておくことも忘れてはならない。前述のサンフランシスコ交通局のケースでは、まさにBCP（事業継続計画）やDRP（災害復旧計画）の策定と訓練の有効性が端的に示されている。特に訓練は重要で、頻繁には起きない状況で正しく行動するために必須である。訓練によって机上計画の不具合や改善点なども明らかにできるようになる。

法執行機関との連携を「あらかじめ」構築する

また、法執行機関との連携の構築も忘れてはならない。ランサムウェアを用いる攻撃は、金銭の不当な請求（恐喝行為）であり、犯罪行為である。正しく事件解決を図るためには法執行機関との連携が不可欠だが、事件があった際、その都度、通報すべきか否かの判断や、通報する場合、どの窓口に、どのような情報を伝える必要があるかを検討していては、対応が遅れ気味になってしまうのだ。

アウトソースできない「指揮官」を社内育成する

最後に強調したいのは、調査能力の向上である。事件発生の初期では得られる情報も少なく、経営層が正しい判断をするために必要な材料を収集・鑑識し、またそうした活動を緊急時に適切に指揮できる人材も必要である。指揮官の力量が初動捜査の成功と失敗を左右する可能性があることは、一般の犯罪捜査と同じである。

証拠の保全を含めたデジタルフォレンジックの能力も必要になる。これらは専門家に委託しても良いが、大切なことは、「対処方針を見出すためにどのように調査を組み立てるか」を指揮する指揮官の存在である。指揮官は自社内の業務について熟知している必要があり、外部委託は困難なため、社内で人材育成をしなければならない。

ここまでご紹介してきたように、サイバー犯罪被害は、単に技術的な問題とは異なることを十分に意識した体制を組んでおかないと、防御側は後手に回わることになったり、対応を誤ってしまうことになる。そうならないためにも自社が抱えるリスクの大きさをできるだけ早期に的確に把握し、リスクへの対応を適時行うといったことの繰り返しは、非常に重要である。