ランサムウェアの攻撃者は、いまやデータだけでなく、コンプライアンス上の穴もますます標的にしている。
ランサムウェア攻撃は、依然として最も一般的な攻撃手法の一つだ。最近の分析が示すように、サイバー犯罪集団は、GDPRなどの規制違反を監督当局に通報すると被害者を脅すケースが増えている。
セキュリティプロバイダーのAkamaiの研究者は、この手口が過去2年間で増加傾向にあることを確認している。例として同社は、ランサムウェアグループ「Anubis」を挙げる。そのメンバーは、医療などコンプライアンスリスクの高い業界に主に焦点を当てているとされる。悪名高い Ransomhub ギャングも、この方法を用いているとされ、侵害した企業に規制上の罰則をちらつかせて脅すようパートナーに明確に促しているという。
企業への影響
「これは企業に、ほとんど対処不可能な二重の圧力をかけることになります」と、SailPointでエンタープライズ向けソリューションエンジニアリングのマネージャーを務めるKlaus Hild氏はCSOに説明した。企業は、身代金を支払うリスクと、破滅的になり得る罰金や評判の毀損を天秤にかけなければならない。「この『コンプライアンス恐喝』はもはや理論上の脅威ではなく、ランサムウェア・カルテルの標準的な手口になっています」とHild氏は付け加えた。
G DATAのセキュリティ・エバンジェリストであるTim Berghof氏もCSOに対し、このアプローチは技術的には「業界標準」の二重恐喝の延長にすぎないものの、甚大な影響をもたらし得ると認めた。「たとえ申し立てが根拠のないものだと判明したとしても、公的な調査は注目を集め、リソースを拘束し、場合によっては公になる可能性があります」と同氏は述べた。
AIが攻撃を増幅
Hild氏は別の問題も指摘する。「AI搭載ツールが、こうした攻撃を劇的に加速させています。犯罪者は、データ侵害から数時間以内に、盗まれた文書を『重大な』コンプライアンス違反の観点でスクリーニングできるようになりました。多くの企業が自社システムを監査するよりも速く、しかも正確です。」
SailPointの専門家はこう説明する。「彼らは当局向けに、詳細で法的に通用する申し立てを作成し、厳しい期限を設定します。EUの DORA のような新たな規制や、SECの報告要件の厳格化により、こうした恐喝者の武器庫は絶えず拡大しています。」
Berghoff氏は次のようにまとめる。「企業にとって、どちらの結果がより軽いのかという問題が残ります。自己申告か、犯罪者集団による関係当局への匿名通報かです。いくつかの領域ではコンプライアンスをめぐる不確実性が依然として大きいため、当局を持ち出した脅しは、付け入る余地のある土壌に落ちる可能性があります。」
