インタビュー それは今日最大の脅威ですが、彼女がそれを認識するまでには時間がかかりました。FBI で 20 年間働き、その大部分で中国やロシアのようなサイバー脅威を傍受して阻止する業務に従事してきた、Halcyon Ransomware Research Center の SVP であるシンシア・カイザーは、「ランサムウェアに本気で焦点を当てたいと考えるようになるのが遅れた」と言います。
「私は FBI のセクションチーフで、国家レベルの分析部門にいました。つまり北朝鮮、イラン、中国、ロシアに関する分析です。当時 中国は重要インフラに対して事前配置を行っており、重要インフラに対して実存的脅威をもたらしていました」と、彼女は RSA Conference でのインタビュー中に The Register に語りました。
「ランサムウェアは、今日我々から盗んでいるのはこれだ、今日我々が直面している脅威はこれだということに気づくまでに時間がかかりました。明日の潜在的な壊滅的脅威ではなく」とカイザーは述べました。「また、ランサムウェアについては本当に怒っています。なぜなら、ランサムウェアは今日の病院を狙い、今日の人々を殺しているからです。」
2025 年 6 月、カイザーは FBI サイバー部門の副助成者としての職務を離れ、セキュリティ企業 Halcyon の新しい Ransomware Research Center をリードしました。Center は 1 か月後の Black Hat でデビューし、直接的な恐喝攻撃と組み合わせると 米国企業と消費者に昨年ほぼ 1 億 5,500 万ドルの損失をもたらしたランサムウェアの災いを根絶することを目指しています。
過去数ヶ月間、彼女のチームはランサムウェア感染を調査してきました。イラン政府と関連のある Pay2Key グループに起因する米国医療機関に対する攻撃から、Sicarii のようなはるかに精巧性が低い、より新しいランサムウェア・アズ・ア・サービス (RaaS) 運営による侵害まで、様々な範囲のランサムウェア感染を調査しました。
ランサムウェアスペクトラムの両方の終端は、ビジネス運営に対して破壊的で悪影響を及ぼす可能性があります。
イラン関連のランサムウェアクルーが米国医療機関を攻撃
Pay2Key 感染は 2 月後半に発生しました。米国とイスラエルがイランに対して軍事攻撃を開始した直後です。Halcyon の調査によると、イラン支援のクルーは、攻撃前の数日間、侵害されたアドミンアカウントへのアクセス権を取得していました。その後、わずか 3 時間でランサムウェアをデプロイし、環境を暗号化しました。
「彼らは攻撃前にネットワーク上にいなければならず、そのアクセスは既に存在していました」とカイザーは述べました。また、彼女はランサムウェア感染を中東の戦争に明確に関連付けることはできないと付け加えました。
「それが示すのは、Pay2Key のような政府関連グループが任意のタイミングで運用可能な既存アクセスが存在するということです」と彼女は述べました。「そしてそれを見ると、2022 年のアルバニア攻撃を思い出します。」米国政府は、イランの情報保安省とその情報大臣に対して制裁を発令しました。これは アルバニアのオンライン公開サービスと Web サイトを閉鎖した以前のサイバー攻撃に対する対抗措置でした。
政府とのつながりを持つランサムウェア脅威が存在し、この場合、それはランサムと経済的利得だけでなく、より破壊を目的としているようです。
「イランは 14 ヶ月間それらのネットワーク上にいて、スパイ行為を実施し、メールを収集していました。その後、それらはそのアクセスを運用化するために攻撃グループに引き継がれました」とカイザーは 2022 年の侵害について述べました。
医療機関に対する最近の Pay2Key 攻撃では、カイザーはこのグループが使用したランサムウェアバリアントが 2025 年 7 月の侵害からの大幅なアップグレードを示していたと述べました。より良い検出回避機能が組み込まれています。さらに、この攻撃中にデータが盗まれたという証拠はありません。これはこの特定のクルーにしては珍しく、二重恐喝ランサムウェア感染に向けた、より大きく、より有利な傾向に反しています。
「これは、政府とのつながりを持つ本当に異なるランサムウェア脅威が存在することを示しており、この場合、それはランサムと経済的利得だけでなく、より破壊を目的としているように見えます」とカイザーは述べました。
一方、Akira のランサムウェア運営者のような洗練された経済的動機を持つ犯罪者は、初期アクセスから暗号化まで 1 時間以内で移行する、攻撃においてさらに高速化しています。過去 12 ヶ月にわたる数百の侵害の大部分において、Akira は初期アクセスから完全な暗号化まで 4 時間未満で費やしました。Halcyon の調査によればそのとおりです。
さらに、ランサムウェア運営者の復号化ツールは、暗号化プロセスの中断があっても大きなファイルを復号化できるようにするための特別な「チェックポイント」システムを使用しており、これによって身代金を支払うことが被害者にとってより魅力的に見えます。
防御者にとって、これは「以前のような滞在時間がもはやない」ことを意味します。「ランサムウェアは、本当に洗練された脅威アクター グループの間では、2 年前とは全く異なっています」とカイザーは述べました。
そして…アマチュア達
そして Sicarii のようなランサムウェア運営があります。この犯罪グループは 12 月に出現したようであり、その欠陥のあるマルウェアで最も注目されています。Sicarii エンクリプタは実行時に新しい暗号鍵ペアを生成しますが、その後秘密鍵を破棄してしまいます。つまり、復号可能なマスター鍵がなく、被害者はファイルを復号化できる場合とできない場合があります。
「ランサムウェアを成功させるには 3 つのことが必要です。ロックが必要で、鍵が必要です。それは被害者が支払うものです。そして鍵をロックに差し込めることが必要です」とカイザーは述べました。「彼らはそのキーホールを作り忘れました。だから今それは破壊ウェアになっています。」
カイザーは「ランサムウェアのアマチュア」と彼女が呼ぶこれらのグループが AI を使用したと考えていますが、それはより良いコードを書いたり、彼らの攻撃の精巧さを増すことに役立ちませんでした。
「彼らは明らかに、あらゆる段階で AI を使用していましたが、その後、それを見苦しく繋ぎ合わせました。エージェントは使用したと思いませんが、あらゆる段階で単なる見苦しいコードでした」とカイザーは述べました。これはサイバー犯罪者が、仕事が得意な者だけでなく、この種のテクノロジーを攻撃チェーンに組み込むことのリスクを示しています。
「犯罪者、アマチュア達がこのテクノロジーを手にしている場合、それは洗練されたアクターがこのテクノロジーの一種を組み込んでいるのと同様に、AI はより恐ろしいものです」とカイザーは述べました。「アマチュア達の束があり、彼らが 0 パーセントから 5 パーセントまたは 10 パーセントの効果を実現できれば、それは彼ら にとって素晴らしいことです。しかし、組織内の IT とセキュリティの専門家にとって、最大の脅威はこれらの恐ろしい、単なる見苦しい攻撃の量の増加です。」
これらの攻撃はあまり目立たず、あらゆる種類のセキュリティ アラートをトリガーする可能性が高いです。「しかし、そのような膨大な量があり、あなたがそれに対処していて、特にネットワークで自動化を使用していない場合、あなたがそれに対処している間に、他のどのような洗練された脅威が入ってきていますか?」 ®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/04/08/cynthia_kaiser_interview/
