出典: Zoonar GmbH via Alamy Stock Photo
新たな政府のサイバー犯罪データにより、ランサムウェアが脅威アクターにとってどれほど儲かるビジネスになっているかが垣間見える。
米財務省の金融犯罪取締ネットワーク(FinCEN)は12月4日、1970年銀行秘密法(BSA)の一環として追跡された身代金支払いに特化した報告書を公表した。同法はもともと、金融機関に対し、マネーロンダリングの検知と防止において連邦政府を支援することを義務付けるために制定されたが、ランサムウェアの身代金支払いは取得後に一般的に洗浄されるため、そのような攻撃は同法の適用対象となる。
この報告書は主に、2022年1月1日から2024年12月31日の間に発生し、その後BSAの下で報告された攻撃から収集されたデータで構成されている。合計で、財務省は4,194件のランサムウェアインシデントに関連する7,395件のBSA報告を受領し、サイバー犯罪者への支払い総額は21億ドルを超えた。
この報告書は決して網羅的なものではない。米国のBSA法の適用を受ける(主に金融)機関によって報告された攻撃のみを対象としており、3年間で4,200件をはるかに超えるランサムウェア攻撃が発生している。しかし、このデータからは、ランサムウェア攻撃が時間の経過とともにどのように変化し、特にどれほど劇的に増加したかの姿が浮かび上がる。
ランサムウェア攻撃の急増
2022年から2024年の21億ドルに加え、FinCENはその前の9年間にも言及している。2013年から2021年末までの間に、FinCENは、より最近のデータセットの半分未満にあたる3,075件のBSA報告を受領し、ランサムウェアの身代金支払い総額は約24億ドルに上った。合計すると、過去14年間で、BSAの適用を受ける組織が把握した(あるいは関与した可能性もある)ランサムウェアの身代金支払いは45億ドルに達する。
つまり、直近3年間はその前の9年間と同水準であり、2023年がピークとなった。その年の支払い総額は11億ドルで、2022年比で77%の増加を記録した。
Huntressのセキュリティオペレーションセンター上級ディレクターであるMax Rogers氏はDark Readingに対し、近年最も悪名高いグループの一部、たとえばLockBitなどが、2023年に最高のテンポで活動していたと、経験則として語る。法執行機関は2024年に、LockBitに対する破壊的なテイクダウン作戦を実施した。
「その妨害以降、RaaS(ransomware-as-a-service)エコシステムは分裂しています。残っているグループは、さらなる効率化を図るために、これまでの教訓を取り入れているように見受けられますが、2023年が際立っているのは、最大手のプレイヤーが活動的で、邪魔されることなく、ここ数年では見られなかった規模で活動していたからでしょう」とRogers氏は述べる。
この急増は驚異的ではあるものの、ここ数年でランサムウェアが大きく増加したと想像するのは難しくない。被害者が支払わなければ、脅威アクターがデータを暗号化すると同時に流出をほのめかす「二重恐喝型」ランサムウェアは2019年に人気を集め始めており、その後もランサムウェア攻撃者の手口は複雑さを増す一方だ。2020年代にはRaaSギャングの数も大幅に増加し、サイバー犯罪者になるためのハードルは下がっている。
Rogers氏は、近年の支払い急増には他の要因もあると指摘する。例えば、過去2年間でランサムウェアオペレーターは「プロセスとツールを洗練させ、フォーチュン500企業だけでなく、あらゆる規模の企業に侵入して恐喝することが採算に合うレベルに達した」と言う。Rogers氏は、初期アクセスブローカーの増加、VPNのような外部境界デバイスのセキュリティが不十分な被害者を優先的に狙う傾向、そして複雑な大規模強奪よりも大量の容易な攻撃を重視する姿勢の高まりに言及した。
ブロックチェーン調査企業Chainalysisでサイバー脅威インテリジェンス責任者を務めるJacqueline Burns Koven氏も、2023年の急増とそれに続く2024年の減少を確認している。
「当社の2025年版『Crypto Crime Report』のランサムウェアセクションによると、2024年にランサムウェア攻撃者が被害者から受け取った支払い総額は約8億1,355万ドルで、記録的だった2023年の12億5,000万ドルから35%減少しました。2022年以来初めて、ランサムウェアの収益が減少に転じたことになります」と同氏は述べる。
報告書によれば、金融サービス、製造業、ヘルスケアが最も多くの攻撃を受けた業界であり、3年間を通じて最も顕著で影響力の大きかったランサムウェアギャングはAlphv/Black Catであった。また、支払いの大半はビットコインで行われた。この最後の点は特筆に値する。2番手の暗号資産であるプライバシーコインMoneroは、55件の支払いから報告されたランサムウェア恐喝資金のうち2,580万ドルを受け取るにとどまったのに対し、ビットコインは3,489件の支払いと20億ドルを占めた。
ランサムウェアに関する明るいニュース
前向きな側面として、ランサムウェアは正しい方向に戻りつつある可能性がある。四半期ごとにランサムウェアレポートを公表しているインシデント対応企業Coveware by Veeamは、2025年第3四半期の平均および中央値のランサムウェア支払い額が前四半期から劇的に減少したと指摘している——いずれも60%以上の減少だ。Covewareは、この要因として大企業が身代金の支払いに消極的になったことを挙げ、中堅市場を狙った攻撃は、より低額の支払いであれば成功しやすいと論じている。
さらに心強いことに、Covewareによれば、前四半期のランサムウェア支払い率は過去最低の23%にまで低下し、「サイバー恐喝全体の成功率が縮小している」ことを反映している。
「サイバー防御担当者、法執行機関、法律の専門家は、これを集団としての進歩の裏付けと見るべきです。攻撃を防ぎ、攻撃の影響を最小限に抑え、サイバー恐喝にうまく対処するために費やされる取り組み——支払いが1件回避されるごとに、サイバー攻撃者から酸素(すなわちビットコイン)を奪うことになります」とCovewareの報告書は述べている。「サイバー恐喝経済を縮小させるには、業界のすべての参加者による継続的な圧力が必要です。力を合わせれば、時間をかけてこのグラフをゼロの漸近線へと近づけることができます。」
CovewareのCEO兼共同創業者であるBill Siegel氏はDark Readingに対し、FinCENの報告書はデータの範囲が狭く、FBIに任意で報告される同様の枠組みのIC3ランサムウェア統計と必ずしも重なったり相関したりしていないため、文脈を把握するのが難しいと語る。「このデータ収集の不透明さは、ランサムウェア攻撃の深刻さと頻度について、単一の真実の情報源となる包括的な義務的報告要件の必要性を浮き彫りにしています」と同氏は述べる。
ランサムウェアに関して前向きな兆候がある可能性はあるものの、防御態勢を緩める余地はない。パッチの適用を怠らず、コールドバックアップを活用し、フィッシング耐性のある認証を必須とし、プロアクティブなインシデント対応計画を策定することは、今もなお極めて重要である。
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/us-treasury-45b-ransom-payments-2013
