専門家は、必死のランサムウェア攻撃者が標的を企業から個人へと移し、個人的な脅迫によって「心理的圧力」をかけ、デジタルでの恐喝を現実世界に持ち込んでいると警告しています。最近の驚くべき事例として、ランサムウェアの交渉およびインシデント対応会社SygniaのGuy Segal氏とMoty Cristal氏は、攻撃者が幹部の携帯電話に直接電話をかけ、社内システムから抽出した機密情報に言及したと述べています。
「電話中、彼らは個人情報に言及し、雇用主が従業員についてどれほど多くのデータを保持している可能性があるかを強調しました」と、戦術的交渉者のクリスタル氏はTechRepublicに語った。「ランサムウェア攻撃は暗号化されたファイルだけにとどまらず、他の方法でも侵入する可能性があります。」
ランサムウェアの支払いは減少しているが、脅威は増大している
ランサムウェアは数十年にわたり問題となってきましたが、2023年には世界全体での支払額が初めて10億ドルを超え、サイバー恐喝の歴史的な急増を示しました。攻撃者は戦術を絶えず洗練させ、被害者から最大限の身代金を引き出す新たな方法を見つけています。
先月発表された新たなデータによると、2024年にはランサムウェアによる支払いが35%減少しました。専門家は、この減少は、法執行機関による摘発の成功と世界的なサイバー衛生の改善によるもので、これによりより多くの被害者が支払いを拒否できるようになったことが要因だと考えています。これに対し、攻撃者は適応力を高め、交渉開始までの行動を迅速化し、よりステルス性が高く検知が困難なランサムウェアを開発しています。
参照:ランサムウェア攻撃のほとんどはセキュリティ担当者が眠っているときに発生する、と調査で判明
標的となるのは、多くの場合、経営幹部や法務関係者です。盗まれた個人情報には、子供の住所や通学先、さらには愛する人の写真まで含まれる可能性があります。クリスタル氏は、攻撃者がこのような物理的な脅迫を実際に実行に移すのは「極めて稀」だが、攻撃を成功させるには、被害者がそうする可能性があると信じるだけで十分だと付け加えました。
「被害者の反射的な反応を誘発することで、非常に個人的な問題に発展する可能性がある」と彼は述べた。クリスタル氏は、身代金の約70%は支払われないと付け加えた。攻撃の大半は個人的な攻撃ではない。
しかし、攻撃者が機密データを漏洩すると約束して脅威をエスカレートさせると、サイバー犯罪コミュニティ内での有効性も示します。つまり、身代金を受け取らなければ、土壇場で貴重なデータを闇市場で売却して、金銭を得ることも可能なのです。
ランサムウェア交渉におけるAI利用のリスク
現代のランサムウェア攻撃はAIを新たな方法で利用しており、攻撃者は無料で入手できるチャットボットを利用してマルウェアを作成し、フィッシングメールを作成し、ディープフェイク動画を作成して、個人から貴重な情報や金銭を騙し取ろうとしています。その結果、これらのツールはサイバー攻撃を仕掛けるための参入障壁を低くしました。しかし、Sygniaのランサムウェア交渉チームは、被害者がChatGPTなどのツールを使って適切な発言をすることで、この苦難から逃れようとしているのも目撃しています。
「通常、AIは人間の感情を察知したり、脅威アクターと繋がり、状況を鎮静化させるために必要なニュアンスを提供したりできるほど敏感ではありません。だからこそ、AIはエスカレートしてしまうのです」とクリスタル氏はTechRepublicに語った。AIは、被害者に「否定的な言葉」を使わない、あるいは脅威アクターに身代金を支払わないとはっきり伝えないといった黄金律を破らせる可能性がある。
参照:英国の研究:生成AIはランサムウェアの脅威を増大させる可能性がある
攻撃者は「最初は非常に礼儀正しく、時には友好的になることもある」と、シグニアのコーポレート開発担当副社長ガイ・シーガル氏は述べた。しかし、望むものがすぐに得られない場合、より「攻撃的かつ脅迫的」になる可能性がある。これは、支払いの望みが完全に絶たれた場合などに当てはまる。特に、相手が敬意を欠いていると感じたり、騙されていると感じたりした場合、攻撃者がマルウェアにバックドアを残し、追加の暗号化や、場合によっては全データ消去で報復することは珍しくない。
したがって、交渉担当者は「親しみやすい」態度を保つよう努めているとクリスタル氏は述べた。
「防御的な行動は、より敵対的な雰囲気を生み出す」と彼はTechRepublicに語った。交渉担当者は会話を巧みに進め、攻撃者からより多くの情報を引き出すことができるかもしれない。例えば、攻撃者が保有するデータ、システムへの侵入方法、そしてデータを返却または公開する可能性などだ。
「脅威アクターは皆、それぞれの動機と人生経験を持っており、それが彼らを形作っています。状況へのアプローチ方法を理解するには、対話が重要です」と彼は述べた。「彼らは企業に損害を与えるのに十分なデータを持っているでしょうか? 特に重要インフラの顧客に、現実世界で損害を与えたり、人々の生活に影響を与えたりする可能性がありますか? 脅威アクターは、金銭だけが必要なので、当初の要求よりも少額の身代金でも満足するかもしれません。」
ランサムウェアの支払い禁止をめぐる議論
英国政府は1月、重要産業を「犯罪者にとって魅力のない標的」にし、国内におけるインシデントの発生頻度と影響を軽減するため、ランサムウェアによる支払いを禁止することを検討していると発表した。この禁止措置は、NHSトラスト、学校、地方議会、データセンターなど、すべての公共機関と重要な国家インフラに適用される。
参照:スターバックス、スーパーマーケットがランサムウェア攻撃の標的に
外国資産管理局は、ロシアや北朝鮮と関連のある制裁対象のランサムウェアグループをいくつか特定しており、米国の企業や個人はこれらに身代金を支払うことが法的に禁止されている。
シーガル氏とクリスタル氏は、ランサムウェアの禁止は単純な解決策ではないと述べ、攻撃の増減を目の当たりにしてきたことを指摘しています。一部の脅威アクターは意欲を失っているかもしれませんが、他のアクターはより攻撃的、あるいは個人的な脅威を行使して、リスクを高めざるを得なくなります。金銭目的ではなく、地政学的な理由からデータの窃盗や混乱を企てているアクターもおり、ランサムウェアの禁止措置は彼らには影響しません。
しかし、シグニアの交渉担当者は、政府内での身代金支払いの禁止は全体としてはプラスであると同意している。
「身代金を支払わないという全面的な決定は、政府には許される特権だ」とシーガル氏は述べた。「しかし、ビジネス分野では適用範囲がはるかに狭い」
実際、英国の禁止案を概説した文書の中で、内務省は、この法律が「専門的なランサムウェア保険に加入したり、専門家に駆除を依頼したりできない」中小企業に不均衡な影響を与える可能性があることを認めています。これらの企業は、業務の中断やそれに伴う評判の失墜によって生じた経済的損失からの回復が困難になるでしょう。
このような結果を受けて、一部の企業は罰金を回避するために、第三者や暗号通貨を通じて密かに身代金を支払うようになるかもしれません。このような支払い方法は、攻撃者にとっても有利です。攻撃者は匿名で支払いを受け取り、管轄区域の制限を回避し、追跡や罰則を恐れることなく事業を継続できるからです。
企業がこのような行為に及んでいることが発覚した場合、身代金の支払いに加えて政府からの罰金も課せられることになり、事業へのダメージはさらに深刻化するでしょう。一方、もし企業が指示に従い、当局に事件を報告した場合、中小企業に不均衡な影響を与える新たな行政負担が生じます。
「だからこそ、ランサムウェア禁止の矢面に立たされる前に、企業を支援するための対策をさらに強化する必要がある」とシーガル氏は述べた。
Sygnia のグローバルサイバーサービス担当上級副社長、アミール・ベッカー氏は、政府が禁止措置を講じる場合には、次のことも行うべきだと提案した。
- 身代金の支払いを保留すると人命が失われる可能性があるため、重要なインフラと医療部門は除外します。
- 同時に、組織がサイバーセキュリティの姿勢とインシデント対応能力を強化するためのインセンティブを提供します。
- 身代金を支払わなかった場合の影響から企業が回復できるよう、財務的および技術的なサポートを提供します。
「このバランスの取れたアプローチにより、ランサムウェアの脅威に対処しながら、企業や経済全体への付随的損害を最小限に抑えることができる」と彼はTechRepublicに語った。
