トレンドマイクロ、2021年第1～第3四半期におけるランサムウェアの脅威動向を解説

トレンドマイクロは1月13日、2021年第1～第3四半期におけるランサムウェアの脅威動向の解説記事を発表した。

同社はまず、2021年上半期（1～6月）において、二重恐喝の手口を用いて標的組織に被害をもたらすなど、新たな手口を取り入れたランサムウェア攻撃が活発で高度化していたことを確認したという。従来のランサムウェア戦略と異なり、新型ランサムウェアのオペレータは「暴露型」の手口として、感染端末から窃取したプライベートデータを人質として利用し被害者に圧力をかけ、身代金が支払われない場合は盗み出した重要情報をリークサイト上で暴露すると脅す。

ランサムウェア攻撃全体の中では、古くから存在し従来型として運用されている脅威「WannaCry（WCry）」が2007年以降もっとも多く検出されている。したがって、新型ランサムウェアファミリの脅威動向を把握するには、WCryを除いたデータと、WCry単体の動向を確認する必要がある。WCryを除外すると、他のランサムウェアファミリの増加を確認できることと、WCryファミリは減少傾向にあることが確認でき、Lockyなどの古くから存在するランサムウェアも将来的にはWCryファミリと同じ情勢になる可能性があるとしている。

また、「Emotet」、「Ryuk」、「Trickbot」の3種は、本稿執筆時点までにもっとも活発化したキャンペーンに用いられたマルウェアファミリであり、2021年1月に8カ国の法執行機関が協働してEmotetボットネットをテイクダウンしたことにより、1月から2月にかけて検出数が急減したものの、テイクダウン後も残ったEmotetのオペレータがキャンペーンを続けた。また、バンキングトロジャン・バックドアとして知られる「Trickbot」は、共有ネットワーク内での情報探索や拡散手口に用いられている。「Ryuk」などを頒布しているランサムウェアのオペレータの多くは、これらのツールやサービスを利用してキャンペーンを実施する。これらのファミリの中では、Emotetが最も高い検出率を記録している。

侵入を前提として活動するランサムウェアは、不正アクセスや内部活動を実施するために様々なツールや侵害されたアカウントを利用する。これらのグループが使用するファミリは、従来型ランサムウェアよりも巧妙化されている。トレンドマイクロは2019年から2020年9月までに、侵入後に読み込まれるランサムウェアの検出数が一定であることを確認したが、2020年の第4四半期（10～12月）に劇的な増加が観測されている。2021年に入り、侵入後に読み込まれるランサムウェアの検出数は、2020年第4四半期と比較すると減少したが、2020年第1四半期から第3四半期までの検出数と比較すると、依然として大幅に増加しているという。

(川原 龍人/びぎねっと)

[関連リンク]
記事本文