AIを利用した新たなランサムウェアグループ「FunkSec」についてを分析
チェック・ポイント・ソフトウェア・テクノロジーズの脅威インテリジェンス部門であるチェック・ポイント・リサーチ(以下CPR)は、主にアメリカをターゲットにしているとされる新興のランサムウェアグループ、FunkSecについての分析を発表した。
エグゼクティブサマリー
- ランサムウェアグループ「FunkSec」は2024年後半に活動を開始し、その被害は急速に拡大している。12月だけでも85以上の組織が攻撃を受けたことを公表しており、これは他のどのランサムウェグループよりも多い被害件数である。
- このグループはAIを活用したマルウェア開発を行っていると見られている。AIの活用により、高度な技術を持たない攻撃者でも短期間で高性能な攻撃ツールを作成し、改良することが可能になっている。
- このグループの活動は、ハクティビズムとサイバー犯罪の両方の特徴を併せ持つ。そのため、彼らの真の目的を理解することが難しくなっている。
- FunkSecが流出させた情報の多くは、過去のハクティビズムキャンペーンで流出したデータの使い回しであることが判明している。そのため、公開された情報の信ぴょう性や、実際の攻撃の成功率については疑問が持たれている。
- 現在、ランサムウェアグループの脅威を評価する際、多くの場合は攻撃者側が発表する情報に頼らざるを得ない状況である。このことは、より客観的な評価手法の確立が必要とされていることを浮き彫りにしている。
FunkSecランサムウェアグループは、2024年後半に初めて公に出現し、12月に85件以上の被害を公表したことで急速に注目を集めた。これは、同月における他のどのランサムウェアグループよりも多い被害件数。新たなRaaS(サービスとしてのランサムウェア)として登場したFunkSecは、二重恐喝型の戦術を好み、データ窃盗とデータの暗号化を組み合わせて被害者に身代金の支払いを迫る。FunkSecはこれまでに確認されているランサムウェアグループとの既知の関連性は見られず、その起源や活動についての情報もほとんど得られていない。
CPRの分析では、FunkSecが公表する被害者数の多さについて、実態とのずれが指摘されている。同グループが主張する被害規模は、実際の被害者数および技術的能力を過大に表している可能性が高いと判断される。FunkSecの中核となっている作戦のほとんどは、AIのサポートを受けた未経験の実行犯によって行われている可能性が高いとされている。加えて、このグループの主な目的は知名度と評価を得ることにあるとみられることから、流出した情報の信ぴょう性を確認することは困難。いくつかのケースでは、流出したとされる情報が過去のハクティビスト関連のリークから再利用されたものであることを示す証拠が見つかっており、その真偽性が疑問視されている。
また、FunkSecには、アルジェリアで活動するハクティビストのメンバーがいることがわかっている。このことは、ハクティビズムとサイバー犯罪の境界線がますます曖昧になっていることを浮き彫りにしており、その二つを区別することの難しさを強調している。そもそも、そのような区別が本当に存在するのか、攻撃者たちがその区別を意識しているのか、あるいは定義することに関心があるのかどうかさえはっきりしていない。さらに重要な課題として、ランサムウェアグループの危険度を評価する際の信頼性が挙げられる。現在、攻撃グループが公表した情報を基に脅威度を判断しているが、その信頼性については慎重な検証が必要とされている。
FunkSecの活動内容やダークウェブ上のディスカッションを詳しく分析すると、このグループの本質について興味深い手がかりが見えてくる。特に注目すべきは、ハクティビズムとサイバー犯罪の境界線上で活動しているように見える点。さらに興味深いことにFunkSecのメンバーの何人かは以前ハクティビストとして活動していた経歴があり、これによって組織の活動内容はより複雑な様相を帯びている。この多様な戦術と背景を持つFunkSecは、その真の目的を探る上で、特に興味深い研究対象となっている。
幸いなことに、Check Point Harmony Endpointをご利用のユーザーは、FunkSecの攻撃から保護されている。Check Point Harmony Endpointは、セキュリティ侵害やデータ漏えいを避けてこれらの脅威から身を守るために不可欠な、最高レベルのセキュリティによる包括的なエンドポイント保護を提供している。
FunkSecに関するCPRのレポートの完全版は、こちらを参照いただきたい。
