アクセンチュア、年次レポート「2020 Cyber Threatscape Report」を公開〜政府系ハッカーやランサムウエア犯罪者の攻撃手口が多様化し、被害が拡大〜
- 2020/12/25 10:30
- SecurityInsight
アクセンチュアは12月23日、年次レポート「2020 Cyber Threatscape Report」を公開した。レポートでは、同社のサイバー脅威インテリジェンスチームの知見を活用して、サイバー攻撃者が用いている巧妙な手法、技術や手順を調査し、今後1年間のサイバー脅威の動向を分析している。その概要は以下のとおり。
アクセンチュアは2020年にさまざまなサイバー脅威インテリジェンスを分析する中で、国家の後ろ盾が疑われる組織的犯罪グループの存在を確認している。彼らは「環境寄生型」ツールや共有のホスティングインフラ、公開されたエクスプロイトコード(脆弱性実証コード)などの既成ツールを組み合わせたり、オープンソースの侵入テストツールを前例のない規模で使用してサイバー攻撃を行ない、その痕跡を隠すなどの手口を用いている。
レポートでは、アクセンチュアがBELUGASTURGEON(TurlaあるいはSnakeとしても知られる)と呼ぶ悪質な脅威グループが、Microsoft ExchangeやOutlook Web Accessを支えるシステムを標的とし、不正に侵入したシステムを踏み台に被害者の環境内で、トラフィックを隠して、コマンドを中継しながら電子メールに不正にアクセスしてデータを盗み、諜報活動のための認証情報を収集した事例を紹介している。BELUGASTURGEONはロシアを拠点に10年以上活動しており、世界各国の政府機関や外交政策調査会社、シンクタンクを狙った数々のサイバー攻撃に関与している。
ランサムウエアは、より収益性の高い攻撃モデルの台頭を、この1年で急速に後押ししている。攻撃者は「盗んだデータを公表する」「販売する」、また「専用サイトで被害者の名前を晒す」などと脅すことにより、サイバー空間での脅迫の度合いを強めている。こうした新手の脅迫手法は、MazeやSodinokibi(別名REvil)、DoppelPaymerといったさまざまなランサムウエアの背後にいる犯罪集団によって巧妙さが増しており、金銭的な要求が繰り返される中で、相次ぐ模倣犯の出現や新たなランサムウエアの流通拡大につながっている。
2020年初めには、悪名高いLockBitというランサムウエアが出現した。これは脅迫手口を模倣することに加え、企業内ネットワーク上で他のコンピューターに瞬時に感染する自己拡散機能が注目を集めているが、LockBitが出回った背景には金銭的利益もあると考えられている。アクセンチュアのサイバー脅威インテリジェンスチームでは、ダークウェブ上でランサムウエアの定期的なアップデートや改良版を宣伝する動きや、身代金の分け前を約束した積極的な採用活動を監視しながら、暗躍するサイバー犯罪者の動向を追跡している。
足元では、多くの大手企業がランサムウエアの被害を受けている。こうしたハック・アンド・リーク(hack-and-leak、不正侵入で入手したデータを意図的に漏洩させる手段)型の脅迫手法が増えていることは、2021年のハッキング動向を予測する上で注目すべき事実である。実際、アクセンチュアでは、ダークウェブ上でSodinokibiの背後にいる脅威グループによる採用活動を確認している。