米財務省は、ランサムウェア市場が冷え込み始めている可能性があると慎重に示唆している。金融犯罪取締ネットワーク(FinCEN)が木曜日に公表した新たな報告書で当局は、2023年の記録的な急増の後、2024年には攻撃件数—そしてとりわけ身代金の支払い—が減少した一方で、被害を受けた組織数は概ね変わらなかったと指摘している。
最も心強い兆候は資金面にある。FinCENによれば、身代金の総支払額は前年比でおよそ3分の1減少し、2023年の約11億ドルから2024年には7億3,400万ドルへと落ち込んだ。分析者や法執行機関は長らく、支払い額をランサムウェア活動の最も明確な指標と見なしてきた。恐喝が利益を生む限り攻撃者は活動を続けるため、資金の流れを断つことが、彼らの動機を削ぐ最も直接的な方法である。
しかし報告書自体は、結論を急がないよう促している。少し前までは、傾向は逆方向を示していた。2023年には身代金支払いが前年比77%増と急増している。さらに、2022年から2024年12月までの3年間の累計支払額は21億ドルを超え、FinCENが2021年までのより長い9年間に帰している24億ドルをわずかに下回る程度にすぎない。直近の減速にもかかわらず、規模の面で問題は依然として甚大だ。
さらに示唆的なのは、変わっていない点である。被害者数という意味での「流行」は、収束する兆しがほとんどない。銀行秘密法(BSA)のデータと組織による義務的な届出に基づき、FinCENは2024年に1,476件のランサムウェア事案を記録した。2023年の1,512件と比べて減少はわずか2%にとどまる。言い換えれば、組織は支払う額は減っているが、ランサムウェアに遭遇する頻度は以前とほぼ変わらない。
2024年に被害が最も集中したのは、製造業、金融サービス、医療の3分野だった。製造業は456件を報告し、支払額は約2億8,500万ドルに上った。金融機関は432件を開示し、損失は約3億6,600万ドルに達した。医療機関は389件の攻撃と、身代金支払い約3億500万ドルを報告した。
FinCENはまた、ランサムウェアの亜種の「カタログ」が拡大している点も強調している。2022年から2024年にかけて、同機関は267種類の異なるランサムウェア亜種を特定した。最も頻繁に言及されたのはALPHV/BlackCatで、次いでAkira、LockBit、Phobos、Black Bastaが続いた。総合すると、FinCENは、上位10のランサムウェア・ファミリーだけで2022~2024年の期間に約15億ドルの支払いを引き起こしたと推計している。
