ラピッドセブン、ランサムウェアの攻撃で最も危険にさらされるデータを示す調査レポート「ランサムウェアのデータ公開のトレンド」を発表
PRESS RELEASE
2022年7月19日
ラピッドセブン・ジャパン株式会社
ラピッドセブン、ランサムウェアの攻撃で最も危険にさらされるデータを示す調査レポート「ランサムウェアのデータ公開のトレンド」を発表
セキュリティ分析と自動化の主要なプロバイダであるRapid7, Inc.(NASDAQ:RPD、以下ラピッドセブン)は本日、ランサムウェア攻撃者がどのようなデータをターゲットを重視し、どのように被害者に圧力をかけて身代金を払わせようとするのかを調査・分析した調査レポート「ランサムウェアのデータ公開のトレンド」の日本語版を発表しました。
ランサムウェア・グループの「Maze」が先駆けとなった二重脅迫のトレンドを詳しく調査分析していたラピッドセブンのアナリスト・チームは、同社のThreat Command脅威インテリジェンスプラットフォーム(TIP)の業界別アラートを介して顧客に報告された、すべてのランサムウェアによるデータ公開インシデントからなるデータサンプルの検証を行いました。また、同チームは攻撃の文脈と背景を理解するため、脅威インテリジェンスの報道やサイバー犯罪者コミュニティ(特にロシア語圏)の組織的知識の両方を参考にして、2020年4月から2022年2月までの間に161件の個別のデータ公開インシデントを調査し、データからさまざまな傾向を見つけました。
ランサムウェア・グループによる二重脅迫は、通常2段階で行われます。第1段階の公開では、被害者に脅威を信じさせ、さらなる公開が被害者に与える損害を示すため、漏洩したデータのサンプルを公開します。この時点で、攻撃者は被害者に身代金を支払う機会を内々に与えることが多く、被害者が最初にこれを拒否すると、攻撃者は公の形で被害者にさらなる強制的な圧力をかけます。第2段階の公開では、被害者が依然として身代金の支払いを拒否したことを受け、攻撃者が保有する未公開データの多くまたはすべてを公開または販売するというものです。
今回の調査レポートで明らかになった主な点は、以下の通りです。
データ公開を行ったランサムウェア・グループの活動実態
今回の調査結果の中で特に興味深いのは、ランサムウェア・グループの行動実態をより明確に理解できた点です。具体的には、今回の調査分析により、ランサムウェア・グループの進化、各グループが初期公開に重視する搾取データ、各グループの市場での勢力状況をピンポイントで把握することができます。
例えば、2020年4月から12月にかけて、今は活動を停止している「Maze Ransomware」グループは全攻撃の30%を占めていました。このシェアは、次に流行している2つのグループのシェアを合わせたもの(REvil/Sodinokibiが19%、Contiが14%)よりもわずかに低い程度でした。しかし、2020年11月にMazeが活動停止を発表したことで、その代わりとして多くの中小の脅威アクターが参入してきました。ContiとREvil/Sodinokibiはそれぞれ19%、15%と順位を入れ替え、かろうじてMazeが残した不足分を補っています。2021年には、上位5つのグループが全攻撃の56%を占め、残りは小規模であまり知られていないさまざまなグループが担当しています。
ランサムウェアによるデータ公開におけるデータセットの特定と分布
データ公開に含まれる特定の記録タイプを分析することで、特定の文書タイプが占める割合がわかります。一般的に、二重脅迫インシデントの大半で公開されるのは財務・会計データであり、次いで顧客データ、従業員データとなっています。こうした傾向は、今回のデータセット全体にわたって見られますが、業種によって若干異なることが分かりました。多くの業界ではサンプル数が比較的少ないため、ここではインシデント数が最も多い業種/セクター、または金融サービス、医療、製薬という最も特徴的な傾向があるものに絞って分析しています。
公開された金融サービスのデータの82%は顧客・患者情報
公開されたデータの50%が社内の財務・会計文書
全業種のインシデント全体の63%が財務・会計文書
被害者の27%が、将来的なIT攻撃に対して脆弱
データの59%が従業員の個人情報および人事部関係のもの
ランサムウェア攻撃の地域分布
今回の調査対象インシデントの地域分布は、以下の通りです。
北米:94インシデント (58%)
欧州:34インシデント (21%)
アジア太平洋:21インシデント (13%)
中東&アフリカ:6インシデント (4%)
中南米:6インシデント (4%)
業種別の傾向
二重脅迫に関連するランサムウェアのデータ公開の傾向は、製薬、金融サービス、ヘルスケアという一部の主要な業種を除いて、全体的に大きく異なっています。一般に、財務データの流出が最も多く(63%)、次いで顧客/患者データ(48%)となっています。
金融サービス分野では、企業自体の財務データよりも、顧客データが最も多く流出しています。金融サービス部門に関連する情報公開の約82%は顧客データであった。企業内部の財務データは、サンプル全体で最も流出したデータであり、データ公開の50%を占めた。従業員の個人識別情報(PII)と人事データはより多く、59%でした。
ヘルスケアと製薬の分野では、内部の財務データが約71%流出しており、これは他のどの業界よりも多い。顧客/患者データも高い頻度で出現し、両業界を合わせた情報公開の58%で公開されました。
製薬業界では、脅威となる人物が知的財産(IP)ファイルを公開するケースが目立ちました。サンプル全体では、IPファイルを含む公開はわずか12%でしたが、製薬業界では、全公開の43%にIPが含まれており、これは、この業界では研究開発に高い価値が置かれていることに起因すると思われます。
ランサムウェアを防御するセキュリティ運用の提言
当レポートでは、ランサムウェアの脅威から身を守り、攻撃を受けた場合の被害を最小限に抑えるのに役立つ以下のベストプラクティスを提言しています。
•二重脅迫のランサムウェア攻撃のどちらの層に対しても、防御策を講じる必要があります。バックアップは、ファイルを復元する手段となり、身代金支払いに代わる選択肢を被害者に提供することになるため、長い間、ファイル暗号化層に対する最善の防御策とされてきました。
• しかし、バックアップは攻撃のデータ公開層からの保護にはなりません。データ公開に対する最善の防御策として、ファイルを暗号化し、権限のない人が読めないようにすること、そしてネットワークのセグメンテーションを行い、攻撃者がバックアップを含む重要なデータ資産が保存されているインフラに水平展開する機会を与えないようにする必要があります
•今回の調査結果を活用し、関連性の高いデータ公開に登場する頻度に基づいて、ファイルの暗号化やネットワークのセグメンテーションなど、どの特定のデータ資産に対して保護を追加すべきかを評価できます。また、今回の調査結果をもとに、どのような種類のファイルが出現する可能性が高いかを予測すれば、ランサムウェアによるデータ公開に備えることができます。例えば、ランサムウェアに感染した銀行や病院は、その結果生じるデータ公開に顧客や患者のデータが含まれる可能性が高いことを予測し、顧客や患者への通知を準備するなど、適切な措置を講じる必要があります。また、大半の企業は、社内の財務記録の公開によって生じる可能性のある、ビジネス上のあらゆる不利益に備える必要があります。
当調査レポートの全文(※日本語)は、ラピッドセブン・ジャパンのウェブサイト(https://www.rapid7.com/ja/info/pain-points-ransomware-data-disclosure-trends/)より入手できます。
Rapid7について
Rapid7(Nasdaq:RPD)は、Insightプラットフォームを通した可視性、分析、自動化により、組織のセキュリティを向上させています。Rapid7のソリューションは、複雑なものを簡素化します。セキュリティチームは、IT部門および開発部門と効果的に協力できるようになり、脆弱性の削減、悪意のある行動の監視、攻撃の調査と遮断、ルーチン業務の自動化が可能になります。8,900社以上のお客様が、Rapid7のテクノロジー、サービス、調査を信頼してセキュリティを向上させ、組織の安全な発展を実現しています。詳細については、Rapid7のWebサイト(
https://www.rapid7.com/ja/)、ブログ(https://www.rapid7.com/ja/about/japan-blog-and-news/)を参照してください。
<本件に関する一般の方のお問い合わせ先>
Japan@rapid7.com
<本件に関する報道関係の方のお問い合わせ先>
ラピッドセブン・ジャパン広報事務局
rapid7@ambilogue.com
以上
2022年7月19日
ラピッドセブン・ジャパン株式会社
ラピッドセブン、ランサムウェアの攻撃で最も危険にさらされるデータを示す調査レポート「ランサムウェアのデータ公開のトレンド」を発表
セキュリティ分析と自動化の主要なプロバイダであるRapid7, Inc.(NASDAQ:RPD、以下ラピッドセブン)は本日、ランサムウェア攻撃者がどのようなデータをターゲットを重視し、どのように被害者に圧力をかけて身代金を払わせようとするのかを調査・分析した調査レポート「ランサムウェアのデータ公開のトレンド」の日本語版を発表しました。
ランサムウェア・グループの「Maze」が先駆けとなった二重脅迫のトレンドを詳しく調査分析していたラピッドセブンのアナリスト・チームは、同社のThreat Command脅威インテリジェンスプラットフォーム(TIP)の業界別アラートを介して顧客に報告された、すべてのランサムウェアによるデータ公開インシデントからなるデータサンプルの検証を行いました。また、同チームは攻撃の文脈と背景を理解するため、脅威インテリジェンスの報道やサイバー犯罪者コミュニティ(特にロシア語圏)の組織的知識の両方を参考にして、2020年4月から2022年2月までの間に161件の個別のデータ公開インシデントを調査し、データからさまざまな傾向を見つけました。
ランサムウェア・グループによる二重脅迫は、通常2段階で行われます。第1段階の公開では、被害者に脅威を信じさせ、さらなる公開が被害者に与える損害を示すため、漏洩したデータのサンプルを公開します。この時点で、攻撃者は被害者に身代金を支払う機会を内々に与えることが多く、被害者が最初にこれを拒否すると、攻撃者は公の形で被害者にさらなる強制的な圧力をかけます。第2段階の公開では、被害者が依然として身代金の支払いを拒否したことを受け、攻撃者が保有する未公開データの多くまたはすべてを公開または販売するというものです。
今回の調査レポートで明らかになった主な点は、以下の通りです。
データ公開を行ったランサムウェア・グループの活動実態
今回の調査結果の中で特に興味深いのは、ランサムウェア・グループの行動実態をより明確に理解できた点です。具体的には、今回の調査分析により、ランサムウェア・グループの進化、各グループが初期公開に重視する搾取データ、各グループの市場での勢力状況をピンポイントで把握することができます。
例えば、2020年4月から12月にかけて、今は活動を停止している「Maze Ransomware」グループは全攻撃の30%を占めていました。このシェアは、次に流行している2つのグループのシェアを合わせたもの(REvil/Sodinokibiが19%、Contiが14%)よりもわずかに低い程度でした。しかし、2020年11月にMazeが活動停止を発表したことで、その代わりとして多くの中小の脅威アクターが参入してきました。ContiとREvil/Sodinokibiはそれぞれ19%、15%と順位を入れ替え、かろうじてMazeが残した不足分を補っています。2021年には、上位5つのグループが全攻撃の56%を占め、残りは小規模であまり知られていないさまざまなグループが担当しています。
ランサムウェアによるデータ公開におけるデータセットの特定と分布
データ公開に含まれる特定の記録タイプを分析することで、特定の文書タイプが占める割合がわかります。一般的に、二重脅迫インシデントの大半で公開されるのは財務・会計データであり、次いで顧客データ、従業員データとなっています。こうした傾向は、今回のデータセット全体にわたって見られますが、業種によって若干異なることが分かりました。多くの業界ではサンプル数が比較的少ないため、ここではインシデント数が最も多い業種/セクター、または金融サービス、医療、製薬という最も特徴的な傾向があるものに絞って分析しています。
公開された金融サービスのデータの82%は顧客・患者情報
公開されたデータの50%が社内の財務・会計文書
全業種のインシデント全体の63%が財務・会計文書
被害者の27%が、将来的なIT攻撃に対して脆弱
データの59%が従業員の個人情報および人事部関係のもの
ランサムウェア攻撃の地域分布
今回の調査対象インシデントの地域分布は、以下の通りです。
北米:94インシデント (58%)
欧州:34インシデント (21%)
アジア太平洋:21インシデント (13%)
中東&アフリカ:6インシデント (4%)
中南米:6インシデント (4%)
業種別の傾向
二重脅迫に関連するランサムウェアのデータ公開の傾向は、製薬、金融サービス、ヘルスケアという一部の主要な業種を除いて、全体的に大きく異なっています。一般に、財務データの流出が最も多く(63%)、次いで顧客/患者データ(48%)となっています。
金融サービス分野では、企業自体の財務データよりも、顧客データが最も多く流出しています。金融サービス部門に関連する情報公開の約82%は顧客データであった。企業内部の財務データは、サンプル全体で最も流出したデータであり、データ公開の50%を占めた。従業員の個人識別情報(PII)と人事データはより多く、59%でした。
ヘルスケアと製薬の分野では、内部の財務データが約71%流出しており、これは他のどの業界よりも多い。顧客/患者データも高い頻度で出現し、両業界を合わせた情報公開の58%で公開されました。
製薬業界では、脅威となる人物が知的財産(IP)ファイルを公開するケースが目立ちました。サンプル全体では、IPファイルを含む公開はわずか12%でしたが、製薬業界では、全公開の43%にIPが含まれており、これは、この業界では研究開発に高い価値が置かれていることに起因すると思われます。
ランサムウェアを防御するセキュリティ運用の提言
当レポートでは、ランサムウェアの脅威から身を守り、攻撃を受けた場合の被害を最小限に抑えるのに役立つ以下のベストプラクティスを提言しています。
•二重脅迫のランサムウェア攻撃のどちらの層に対しても、防御策を講じる必要があります。バックアップは、ファイルを復元する手段となり、身代金支払いに代わる選択肢を被害者に提供することになるため、長い間、ファイル暗号化層に対する最善の防御策とされてきました。
• しかし、バックアップは攻撃のデータ公開層からの保護にはなりません。データ公開に対する最善の防御策として、ファイルを暗号化し、権限のない人が読めないようにすること、そしてネットワークのセグメンテーションを行い、攻撃者がバックアップを含む重要なデータ資産が保存されているインフラに水平展開する機会を与えないようにする必要があります
•今回の調査結果を活用し、関連性の高いデータ公開に登場する頻度に基づいて、ファイルの暗号化やネットワークのセグメンテーションなど、どの特定のデータ資産に対して保護を追加すべきかを評価できます。また、今回の調査結果をもとに、どのような種類のファイルが出現する可能性が高いかを予測すれば、ランサムウェアによるデータ公開に備えることができます。例えば、ランサムウェアに感染した銀行や病院は、その結果生じるデータ公開に顧客や患者のデータが含まれる可能性が高いことを予測し、顧客や患者への通知を準備するなど、適切な措置を講じる必要があります。また、大半の企業は、社内の財務記録の公開によって生じる可能性のある、ビジネス上のあらゆる不利益に備える必要があります。
当調査レポートの全文(※日本語)は、ラピッドセブン・ジャパンのウェブサイト(https://www.rapid7.com/ja/info/pain-points-ransomware-data-disclosure-trends/)より入手できます。
Rapid7について
Rapid7(Nasdaq:RPD)は、Insightプラットフォームを通した可視性、分析、自動化により、組織のセキュリティを向上させています。Rapid7のソリューションは、複雑なものを簡素化します。セキュリティチームは、IT部門および開発部門と効果的に協力できるようになり、脆弱性の削減、悪意のある行動の監視、攻撃の調査と遮断、ルーチン業務の自動化が可能になります。8,900社以上のお客様が、Rapid7のテクノロジー、サービス、調査を信頼してセキュリティを向上させ、組織の安全な発展を実現しています。詳細については、Rapid7のWebサイト(
https://www.rapid7.com/ja/)、ブログ(https://www.rapid7.com/ja/about/japan-blog-and-news/)を参照してください。
<本件に関する一般の方のお問い合わせ先>
Japan@rapid7.com
<本件に関する報道関係の方のお問い合わせ先>
ラピッドセブン・ジャパン広報事務局
rapid7@ambilogue.com
以上