セキュアワークス、「活動中のランサムウェアグループが2024年に30%増加」を発表

※本リリースは2024年10月8日、Secureworks Inc.で発表された「Active Ransomware Threat
Groups Up 30% in 2024」の抄訳となります。

東京、2025年1月17日 -サイバーセキュリティ業界のグローバルリーダーであるSecureworks(R)（NASDAQ：SCWX）の2024年版サイバー脅威の実態レポートでは、活動中のランサムウェアグループが前年比30%増加しており、確立された犯罪エコシステムの細分化が進んでいることが明らかになりました。過去12か月間で31の新たなグループがランサムウェアエコシステムに加わっています。被害組織数のデータに基づくと、最も活動が活発な3つのグループは以下のとおりです。

1.LockBit：長年「トップ」とされてきたランサムウェアグループは、全体の17%を占めましたが、昨年から8%減少しており、テイクダウンがグループの活動に与えた影響の大きさをさらに裏付けています。
2.PLAY：2番目に活動が活発なグループであるPLAYの被害組織数は前年比で倍増しました。
3.RansomHub：LockBitの摘発からわずか1週間後に出現した新たなグループは、すでに被害組織数の7%を占め、3番目に活動が活発なグループとなっています。

これまで少数のグループが支配していた状況は、今や新興のランサムウェアグループが次々と台頭する状況へと変化しています。小規模なグループが勢力を確立しつつあるということは、その活動は反復性や組織的な構造に欠ける傾向があることを意味し、組織はより多様な手口に対して継続して警戒することが求められています。今年の滞留時間の中央値である28時間は、グループの連携が若いことを示しています。一部のグループは数時間以内に迅速な「ショーウィンドウ破り（Smash-and-grab）」型の攻撃を実行する一方で、極端なケースでは数百日間もネットワーク内に潜伏するグループもいます。新たなエコシステムの形成が進む中、滞留時間や攻撃手法にはさらなる変化や多様化が生じることが予想されます。

年次レポート「サイバー脅威の実態」では、2023年6月から2024年7月までのサイバーセキュリティの動向を分析しています。その他の主な調査結果は次のとおりです。

- GOLD MYSTIC（LockBit）およびGOLD BLAZER（BlackCat/ALPV）を対象とした法執行機関の取り締まりは、ランサムウェア運営の状況に大きな混乱をもたらしました。
- 暴露サイトを用いる活動中のランサムウェアグループの数は、前年比で30%増加しました。
- ランサムウェアグループが増加している一方で、被害組織数は同じペースでは増えておらず、状況の細分化が進んでいることが示されており、新たなグループがどれほど成功するのかが問われる状況となっています。
- 当社の調査によると、「脆弱性のスキャン・悪用」と「窃取済みの認証情報」の2つは、ランサムウェア攻撃における主要な侵入手法（IAV）となっています。
- 中間者（AiTM：Adversary-in-The-Middle）攻撃の増加が確認されており、防御側にとって顕著で懸念すべき傾向となっています。
- サイバー犯罪者によるAIの利用が拡大し、多様化する中、CEO詐欺や「訃報記事の海賊版
（Obituary pirates）」などのこれまでもあった詐欺が大規模化および巧妙化しています。


ランサムウェアの流動性

「ランサムウェアは、アフィリエイトモデルがなければ成り立たないビジネスです。過去1年間で法執行機関の取り締まりにより従来の同盟関係が崩壊し、サイバー犯罪のビジネス構造が再編されました。初めは混乱していた攻撃者たちも、ビジネスの運営や手法を洗練させています。その結果、新たなグループが多数誕生し、大規模なアフィリエイト（加盟メンバー）の移動がその基盤となっています」と、Secureworks Counter Threat Unit(TM)（CTU(TM)）の脅威インテリジェンス担当バイスプレジデントであるDon Smithは述べています。「エコシステムが進化する中、攻撃グループの細分化が進み、攻撃手法も予測しづらくなっており、セキュリティ担当者にとって対応の難しさが著しく増しています。」

増大する脅威としてのAiTMとAI

過去1年間で、攻撃グループがアクセスを取得するためにAiTM攻撃を使用して、認証情報やセッションCookieを窃取するケースが増えています。これは一部のMFAの効果を低下させる可能性があり、セキュリティ担当者にとって懸念すべき傾向です。これらの攻撃は、アンダーグラウンドマーケットやTelegramで貸し出されているフィッシングキットによって促進・自動化されています。よく使用されるキットには、Evilginx2、EvilProxy、Tycoon2FAなどがあります。

AIツールが広く普及し容易に利用できるようになったことで、サイバー犯罪者がそれに目をつけ、規模拡大を図るのは必然でした。2023年2月中旬以降、Secureworks CTUリサーチャーは、OpenAIのChatGPTとその悪用方法に関して、アンダーグラウンドフォーラムへの投稿が増加していることを観測しています。これらの投稿の多くは、フィッシング攻撃や基本的なスクリプト作成など、比較的低レベルな活動に関するものです。

Don Smithは次のようにも述べています。「サイバー犯罪の状況は進化し続けており、時には軽微なものから、時にはより重大なものまであります。AIの利用拡大により攻撃グループの規模が拡大する一方で、AiTM攻撃の増加は企業にとってより差し迫った問題となっています。これにより「アイデンティティが境界線である」という認識が強調され、企業は自らのセキュリティ対策を見直し、再評価する必要に迫られています。」

Secureworksのリサーチャーが観測した、攻撃グループによるAI利用の新たな例としては、訃報詐欺における訃報記事の海賊版でのAIの役割が挙げられます。攻撃グループは訃報への関心を把握するためにGoogleトレンドを監視し、その後、生成AIを使って長文の追悼記事を作成したうえで、これらの記事がSEOポイズニングによってGoogle検索結果の上位に表示されるよう仕組みました。ユーザーは、アドウェアや潜在的に望ましくないプログラム（PUP）を配信する別のサイトにリダイレクトされました。

国家が支援する攻撃活動 - サマリ

このレポートでは、中国、ロシア、イラン、北朝鮮に所属する国家支援の攻撃グループの重要な活動や行動の傾向についても分析しています。今年は、イスラエル・ハマス戦争の勃発以来顕著に増加したハマスの攻撃グループの活動も取り上げています。これらの活動は現在、公共の領域にまで波及し、我々の分析の対象となっています。これらの国々の主な動機は地政学的なものです。

中国：
中国のサイバー活動は、Secureworksのこれまでの観測結果と一致する傾向が続いています。これらの活動は、政治的、経済的、軍事的利益を得るための情報窃取に広く焦点を当てています。活動の多くは、中国共産党（CCP）の五カ年計画における主要な目標に沿った産業分野を標的としています。2023年10月、米国、英国、オーストラリア、カナダ、ニュージーランドの安全保障機関のトップは、中国の諜報活動が「驚異的な規模」に達していると警告しました。国家が支援する攻撃グループも、法執行機関の取り締まりを免れることはできませんでした。2024年3月、米国国務省は、攻撃グループBRONZE VINEWOODに所属する7名の個人に対する起訴状を公開しました。起訴状には、10年以上にわたって不正な活動を続ける同グループが実行した大規模な侵害の詳細が記載されています。同月、英国政府は、中国が2021年から2022年にかけて英国選挙管理委員会に対する2件の攻撃活動を実行したと発表しました。しかし、実行したグループに関する詳細な情報は明らかにされませんでした。

イラン：
イランによる国内外でのサイバー活動は、その政治的必要性によって引き続き推進されていました。国際的に見て、イランは主にイスラエルやサウジアラビア、アラブ首長国連邦、クウェートなどの地域の敵対国、そして米国に焦点を当てています。イランは、敵を標的にする際に偽のハクティビストのペルソナを定期的に使用し、もっともらしく攻撃への関与を否定できるようにしています。サイバー活動を支援するイランの主な組織は2つあります。イスラム革命防衛隊（IRGC）と情報安全保障省（MOIS）です。

北朝鮮：
北朝鮮の攻撃グループは、暗号通貨の窃盗や巧妙な手口による欧米での不正雇用を通じて、収益を得る活動を続けています。グループはIT分野やサプライチェーンの脆弱性を執拗に標的としており、米国、韓国、日本の企業に重点が置かれました。これらの活動は、国際的な制裁にもかかわらず、北朝鮮が敵対する国々と同じく対立する国々との関係を強化しようとロシアおよびイランと協力する意欲が更に高まっている地政学的状況の中で行われたものです。

ハマス：
Secureworksは、ガザ地区を統治する武装組織ハマスと連携していると見られる3つの攻撃グループ、ALUMINUM SHADYSIDE、ALUMINUM SARATOGAおよびALUMINUM THORNを追跡しています。
2023年10月のイスラエルとハマスの戦争の勃発により、イスラエルおよびイスラエルと同盟関係にあると見なされる国々を標的としたサイバー活動が増加しました。ただし、その活動の多くは、ハクティビスト集団やパレスチナ人のペルソナによるものと考えられていますが、実際にはイランやロシアとつながっている可能性が高いとされています。

ロシア：
ウクライナ戦争は、ウクライナ国内外でロシア政府が支援するサイバー活動を引き続き活発化させています。ロシアの3つの諜報機関すべてと関係のあるグループは、過去1年間を通じて活動していました。CTUリサーチャーは、ロシアの破壊活動におけるサイバー能力の最も積極的な使用は、ウクライナ国内の重要インフラに引き続き集中するだろうと評価しています。今年の代表的な事例として、
IRON VIKING がウクライナ防衛軍の戦場管制システムを標的に実施したサイバー諜報活動が挙げられます。

2024年版サイバー脅威の実態レポート
「サイバー脅威の実態」レポートの 第8版では、過去12ヶ月間で世界のサイバーセキュリティの脅威動向がどのように進化したかについての簡潔な分析を提供しています。本レポートの情報は、Secureworks CTUが攻撃者のツールや行動を直接観測した結果に基づいており、実際のインシデント事例も含まれています。また、サイバーセキュリティの最前線で当社のチームが観測した脅威について、詳細な知見を提供します。
Secureworksのサイバー脅威の実態レポートの全文は、こちらからご覧いただけます。2024年 サイバー脅威の実態レポート


Secureworksについて
Secureworks(R)（NASDAQ：SCWX）は、SaaSベースのオープンXDRプラットフォームであるSecureworks(R) Taegis(TM)を通じて人類の発展を守る、サイバーセキュリティのグローバルリーダーです。20年以上にわたる実際の検知データ、セキュリティ運用の専門知識、脅威インテリジェンスとリサーチに裏打ちされたTaegis(TM)は、AIを活用した高度な脅威の検出、インシデント調査の効率化とコラボレーション、適切なアクションの自動実行を実現し、世界中の何千もの組織のセキュリティ運用に組み込まれています。

企業プレスリリース詳細へ
PR TIMESトップへ