ランサムウェアの攻撃者は、もはやデータだけを狙うのではなく、コンプライアンス上の穴もますます標的にしている。
Digitala World – shutterstock.com
ランサムウェア攻撃は依然として最も一般的な攻撃手法の一つだ。最新の分析によれば、サイバー犯罪集団は被害者に対し、GDPRなどの規制違反を監督当局に通報すると脅すケースが増えている。
セキュリティベンダーAkamaiの研究者は、過去2年間ですでにこの戦術の増加傾向を確認しているという。例としてセキュリティ専門家が挙げるのが、ランサムウェア集団Anubisだ。メンバーは主に、医療分野などコンプライアンスリスクの高い業界に注力しているとされる。悪名高いRansomhub一味も、この手法を用いているという。ハッキングされた企業に規制当局による罰則をちらつかせるよう、協力者を明確に促していたとされる。
企業への影響
「これは企業に、ほとんど対処しきれない二重の圧力をかけることになります」と、SailPointのManager Solution Engineering Enterpriseであるクラウス・ヒルト氏はCSOに語る。企業は、身代金の支払いと、破滅的になり得る罰金や評判の失墜との間で天秤にかけなければならない。「この『コンプライアンス脅迫』はもはや理論上の脅威ではありません。ランサムウェア・カルテルの標準的な手口になっています」と同氏は述べた。
G DATAのSecurity Evangelistであるティム・ベルクホフ氏もCSOの取材に対し、この手口は技術的には「業界標準」のダブルエクストーションの拡張にすぎないものの、甚大な影響をもたらし得ると認める。「たとえ提出された通報が結果的に根拠のないものだと判明したとしてもです。行政当局による調査手続きは注目を集め、リソースを拘束し、場合によっては公になる可能性があります。」
AIが攻撃を増幅
ヒルト氏は別の問題も指摘する。「AI支援ツールが、こうした攻撃を劇的に加速させています。犯罪者は今日、データ窃取から数時間以内に、盗まれた文書を『実質的な』コンプライアンス違反の有無でスクリーニングできます。多くの企業が自社システムを監査するよりも速く、しかも正確にです。」
SailPointの専門家はこう続ける。「彼らは当局向けに、詳細で法的根拠のある申立書を作成し、厳しい期限を突きつけます。EUのDORAのような新たな規制や、SECの報告義務の強化により、こうした恐喝者の武器庫は着実に拡大しています。」
ベルクホフ氏は次のようにまとめる。「企業にとって、どちらの方が影響が軽いのかという問題が残ります。自己申告なのか、それとも犯罪集団による所管当局への匿名通報なのか。コンプライアンスというテーマには、いくつかの領域でまだ不確実性が多く残っているため、当局への通報をちらつかせる脅しは、潜在的に“効きやすい”土壌に落ちるのです。」
