1. HOME
  2. ブログ
  3. 2022年版ランサムウェアレポート:攻撃回数が過去最多を記録、二重脅迫型ランサムウェア攻撃が約120%増加最も攻撃を受けた業界は2年連続で製造業、ヘルスケア業界はランサムウェアの攻撃増加率が最も高く約650%増加

2022年版ランサムウェアレポート:攻撃回数が過去最多を記録、二重脅迫型ランサムウェア攻撃が約120%増加
最も攻撃を受けた業界は2年連続で製造業、ヘルスケア業界はランサムウェアの攻撃増加率が最も高く約650%増加

  • ランサムウェアファミリー上位11種のうち8種がRaaS(ランサムウェアアズアサービス)を使用し、ランサムウェア攻撃は前年比で80%増加
  • 2年連続で最も標的となったのが製造業で、ランサムウェアの約5件に1件がこの業界を攻撃
  • ヘルスケア業界(650%増)とレストラン/フードサービス業界(450%増)は2021年と比較して高い増加率を記録
  • ランサムウェアファミリーはリブランディングによって規制当局の追跡を逃れ、攻撃を継続
  • サプライチェーン攻撃では被害が倍増するだけでなく、攻撃者は従来のセキュリティコントロールを回避
  • ロシアによるウクライナ侵攻で、PartyTicket、HermeticWiperなどの他の手法を併用するランサムウェア攻撃が増加に推移

クラウドセキュリティ業界を牽引するZscaler(本社:米国カリフォルニア州、以下ゼットスケーラー)は本日、ゼットスケーラーの調査チーム「ThreatLabz(読み方:スレットラボ・ゼット)」による年次調査レポート「2022年版 ThreatLabzランサムウェアレポート(日本語版)」を発表した。
本レポートでは、ランサムウェア攻撃が前年に比べて80%増加したことが明らかにされている。2022年のランサムウェアの主要トレンドとして、二重脅迫、サプライチェーン攻撃、RaaS(ランサムウェアアズアサービス)、リブランディング、地政学的な原因による攻撃があげられる。本レポートでは、Zscaler Zero Trust Exchange™全体で1日あたり2千億件以上のトランザクションと1億5千万件のブロックされた攻撃を処理する世界最大のセキュリティクラウドから収集した1年分以上のデータを分析し、サイバー犯罪者から最も攻撃されている業界、二重脅迫やサプライチェーン攻撃による被害の詳細を明らかにしている。また、昨今最も活発に活動するランサムウェアグループも列記してる。

ゼットスケーラーのCISO、ディーペン・デサイ(Deepen Desai)は次のように述べている。「最新のランサムウェア攻撃では1回のアセット攻撃で最初の侵入に成功した後、環境全体を水平移動して侵害するため、従来のVPNやフラットネットワークは非常に脆弱になります。攻撃者は、企業のサプライチェーン全体の弱点やLog4Shell、PrintNightmareなどの重大な脆弱性を攻撃してきます。さらに、ダークウェブ上でRaaSを取得することで、ますます多くの犯罪者がランサムウェアを利用し、多額の身代金を手にする確率が高まっています」。

ランサムウェアの戦術や攻撃範囲が着実に進化する一方、最終的な目的は依然として攻撃対象である企業の混乱と、身代金目当ての機密情報の窃取である。身代金は、感染したシステムの数と盗まれたデータの価値によって決まる。感染したシステムの数が多く、データの価値が高いほど、身代金の額も大きくなってしまう。2019年に入ると、多くのランサムウェアグループがデータ窃取後にデータ流出の可能性をちらつかせる新たな手法、いわゆる「二重脅迫」を採用するようになった。翌年には、一部のグループは、ウェブサイトやサーバーに対して過剰なアクセスやデータを送付しビジネスの混乱を招くDDoS(分散サービス拒否)攻撃を併用した攻撃レイヤーを追加し、被害者への交渉圧力をかけるようになった。

2022年は最も危険なトレンドとして、サプライチェーン攻撃が挙げられる。企業のサプライチェーンを標的として、既存の通信手段や共有しているファイル、ネットワーク、ソリューションを悪用してサプライヤーの顧客に二次的な攻撃を仕掛ける方法である。また、ThreatLabzは、脅威アクターのデータ漏洩サイトで公表されているデータを基に、二重脅迫型ランサムウェアの被害に遭った企業が約120%増加していることにも注目している。

2年連続で最大の標的となっているのが製造業で、ランサムウェア攻撃の約5件に1件が製造業を標的にしている。その一方で、他の業界への攻撃も急激に増加している。特に著しい増加を見せたのがヘルスケア業界で、二重脅迫型攻撃は2021年に比べて約650%増えている。次いで急増したのがレストラン/フードサービス業界で、450%以上の増加だ。

世界中の行政機関が本格的なランサムウェア対策に乗り出したことから、多くの脅威グループが一度解体し、新たな名前で活動を再開している。たとえばDarkSideはBlackMatterに、DoppelPaymerはGriefに、RookはPandoraにリブランディングしている。リブランディングしても、企業にとって脅威である点は変わらない。それどころか、ダークウェブ上で自作の攻撃ツールを販売するなど、RaaSのビジネスモデルを展開し、さらに規模を拡大する脅威グループも増加している。

今年初めには米国のロシアに対する経済制裁への対抗措置として、米国を標的としたサイバー攻撃が予想されるとの警告が発表された。これは官民両方の組織に対して、即座にサイバー防御策を強化するよう求める内容であった。ウクライナを支持している他の国々でも同様の警告が出されている。ThreatLabzは現在までに、ウクライナに対するランサムウェア、PartyTicketやマルウェア、HermeticWiperを使った攻撃、各国政府に対する脅威グループ、Contiによる攻撃など、複数の攻撃を特定している。ThreatLabzは、これら地政学的な攻撃を引き続き監視していく。

デサイは、次のように述べている。「侵害の可能性とランサムウェア攻撃成功による被害を最小限に抑えるためには、多層防御戦略で対抗する必要があります。攻撃対象領域を減らし、最小権限に基づくアクセスコントロールを備えたゼロトラストアーキテクチャを採用することで、あらゆる環境のデータを常時監視、検査することが重要です」。

Zscaler Zero Trust Exchangeでランサムウェア攻撃を阻止

Zscaler Zero Trust Exchangeはランサムウェア攻撃を阻止するコントロール機能をゼロトラストアーキテクチャ全体に組み込んでおり、攻撃を各フェーズで阻止することで被害を最小限に抑える。以下のベストプラクティスと高度な機能によって、ランサムウェア攻撃のリスクを大幅に軽減することが可能である。

  • 一貫したセキュリティポリシー攻撃を阻止:大規模で完全なSSLインスペクション、ブラウザ分離、インラインサンドボックス、ポリシーに基づいたアクセスコントロールによって、悪意のあるウェブサイトへのアクセスを阻止
  • インターネット経由のアプリケーションを廃止し、ゼロトラストネットワークアクセス(ZTNA)アーキテクチャを実装することで水平移動を阻止:ユーザをネットワーク経由ではなくアプリと直接つなぐことで、攻撃による被害を限定
  • 感染したユーザとインサイダー脅威を排除:インライン検査と統合されたデセプション機能を組み合わせ、攻撃者を検知し欺き阻止
  • 情報漏洩を阻止:ソフトウェアとトレーニングを常に最新の状態に保ち、インラインの情報漏洩防止を導入し、移行時と保存時の両方でデータ検査を行うことで脅威アクターによる盗難を防止

ランサムウェアと脅威に対する防御策、ランサムウェア対策の策定方法に関する詳細は、「2022年版 ThreatLabzランサムウェアレポート(https://info.zscaler.com/resources-industry-report-2022-threatlabz-state-of-ransomware-jp)(日本語版)」にて確認が可能だ。

関連記事

サイバーセキュリティの課題をテーマ別に紹介中!!