“夏休み”を経て活発化するランサムウェア攻撃、ハッカー集団との戦いは長期戦になる

米国政府はランサムウェア攻撃に対して、総合的な対策を推し進めている。米財務省は9月21日、身代金のロンダリングに関与した疑いがあるとして、仮想通貨取引所「Suex」に制裁を科すと発表した。また財務省は、ランサムウェア攻撃の被害者は制裁措置への抵触を回避するために、身代金の支払いを決める前に同省に連絡するよう求めている。

この財務省による動きは、ランサムウェア攻撃を受けた被害者に情報を開示させようとするホワイトハウスの取り組みとも一致している。米国にはすべての攻撃を網羅したデータセットがない上、企業はできるだけ事件を伏せておこうとすることが多いのだ。

水面下で体制を再構築していた可能性

これに対してハッカーたちは、米国の捜査当局の動きに積極的に適応しているようだ。一部のハッカー集団は被害者に対し、政府に攻撃を報告しないよう警告し始めている。しかも報告した場合は、盗んだファイルを公開すると脅すようにもなっている。

そもそも犯罪集団は、注目を集めた一連のランサムウェア攻撃の反響が収まるまで地下に潜って戦略を練り、体制を整え、装備を一新するために時間を使っていただけかもしれない。「これは間違いなく長い時間を要する戦いです。ひとつのグループがいなくなったと思えば、すぐに次のグループが出てくるわけですから」と、セキュリティ企業Red Canaryでインテリジェンス部門を率いるケイティ・ニッケルズは言う。

「7月と8月には、数字の上ではランサムウェア攻撃が減ったように見えました。それでも日々の攻撃は続いており、被害者のデータがダークウェブに掲載されていました。米国政府が行動を起こしてこの問題に優先的に取り組んでいるように見えるのはいいことではありますが、勝利を宣言するには早すぎるのです」

NSAの元ハッカーで、インシデントへの対応を専門とするBreachQuestの最高技術責任者(CTO)のジェイク・ウィリアムズは、ランサムウェア攻撃を目にする機会はここ数カ月で減ってはいるものの、脅威が弱まっているという幻想は抱いていないと指摘する。

「犯罪集団は自分たちが抱えるリスクを計算し直し、活動し続けられるように装備を一新したり、新しい攻撃の仕組みを構築したりといったインフラのアップグレードを進めていると思います」と、ウィリアムズは言う。「捜査当局はインフラを丸一日、停止させるようなこともできます。でも、ランサムウェア攻撃にメリットがないようにしない限り、決して状況は変わりません」

必然だった活動再開

大きく注目される攻撃が減少したといっても、ニュースにならないランサムウェア攻撃は相変わらず起きている。このため攻撃が止まったことなど一度もないと指摘する人々もいる。

「わたしたちのデータによると、この夏は世界的にも米国だけを見ても、ランサムウェア攻撃に目立った減少はありませんでした」と、ランサムウェア対策の復号ツールも手がけるEmsisoftのCTOのファビアン・ウォーサーは語る。彼によると、水面下に潜っていた攻撃的な犯罪集団による活動の再開は、必然だったという。

「なかでもREvilが長期にわたって姿を消したりしないことは明らかでした。また、DarkSideが永遠にいなくなるようなことがないのもはっきりしていました」とウォーサーは言う。「ランサムウェア攻撃の影響でインフラが停止し、捜査当局が犯罪集団の動きに追いついたときには、連中は数千万ドルとは言わないまでも数百万ドルは稼いでいるでしょうね。そのときには遅すぎるのです」

攻撃者にとってランサムウェア攻撃は、数週間から数カ月休んで地下に潜って体制を整える余裕があるほど、金になるということでもある。こうした脅威に対して優位に立つには、政府がいっそう努力する必要があるだろう。