拡大するサイバー犯罪:新たな標的となる中所得国
拡大するサイバー犯罪:新たな標的となる中所得国
【本記事のサマリ】
- 従来先進国を標的としてきたランサムウェア集団だが、南米や東欧といった中所得国に対するランサムウェア攻撃の事例が増えてきた。
- これらの中所得国においてはセキュリティ成熟度が先進ほど高くなく、グローバル企業のサプライヤーが攻撃を受ける、またはランサムウェア等によって公共サービスやインフラが停止し事業継続が困難になるというリスクが生じている。
- これらの経済圏におけるグループ会社やサプライヤーの成熟度を見直すとともに、どのような集団が自社およびそのグループ、サプライヤーを標的しているかのインテリジェンス収集が対策の鍵。
ランサムウェア攻撃の増加は、数年に渡って情報セキュリティにおける大きな話題となってきました。従来、ランサムウェアを駆使するサイバー犯罪者は、米国、英国、カナダ、北欧、中欧などの先進国を標的とし、被害者に比較的高額な身代金を要求することを目的としてきました。しかし、ここ1年ほど、このようなサイバー犯罪者の行動パターンに変化が生じ、中所得国の経済圏を標的としたランサムウェア攻撃が増加していることが確認されています。
根強いランサムウェアの脅威のため、先進国では政府、法執行機関、サイバー保険会社が身代金の支払いに対する規制を強化しており、サイバー犯罪者が被害者から金銭を脅し取ることが年々難しくなってきました。一方、中所得国はサイバーセキュリティ成熟度が低く、このような攻撃に対する備えが不足しているため、サイバー犯罪者は中所得国をより容易な標的として認識し始めています。つまり、世界総生産の1/3を占めるこれら中所得国は、サイバー犯罪者にとって未開拓の市場となりつつあります。
中南米・東欧で高まる脅威
中南米は、経済が急速に成長し、サイバーセキュリティへの投資が比較的少なく、サイバー犯罪者の知識や国際的つながりが強いため、ランサムウェア攻撃の新たな最前線と言えます。グアテマラ外務省は2022年9月と11月の二度にわたって、ランサムウェア集団によるデータリークサイトに名を連ねました。同年8月と9月には、サイバー犯罪者がアルゼンチンのコルドバの司法機関とブエノスアイレスの議会をそれぞれダウンさせています。4月にはペルーの諜報機関がランサムウェアとデータ窃取による恐喝攻撃を受け、5月にはコスタリカの複数政府機関が、今はなきランサムウェア集団「Conti」の攻撃を受けたことで同国政府が非常事態宣言を行う事態が発生しました。
2022年には、夏の終わりから秋にかけて、サイバー犯罪者はバルカン半島に目を向けました。ボスニア・ヘルツェゴビナでは、9月の総選挙の数週間前に議会がランサムウェア攻撃の標的となり、モンテネグロでは8月に広報局がランサムウェアとデータ漏洩による恐喝攻撃で混乱に陥りました。ウクライナ紛争の勃発後、ロシアを拠点とするサイバー犯罪者グループがロシアの敵対国とみなされる国の組織を標的にする事例が増えており。これは、ランサムウェア集団は政治的忠誠心と金銭的動機という、重なりあう動機によって行動していることを示唆しています。
公的・私的組織のいずれも標的に
2022年の傾向を見ると、サイバー犯罪者は中所得国の政府や公共部門を繰り返し標的にしており、これは重要な公共サービスを停止させ、社会・経済の混乱に乗じて恐喝を行うことで、最大の利益を得ることを目的としています。しかし、同様の傾向が、エネルギーや製造業などの業界の民間企業にも見られることに注意が必要です。すなわち、サイバー犯罪者はライフラインや製品生産を停止することで、身代金を吊り上げることを目論むでしょう。
民間企業にとっての脅威は2つあります。1つ目は、これら新たなサイバー攻撃の標的国において、自社または自社のサプライチェーンパートナーが直接的なサイバー攻撃の被害者となる可能性。2つ目は、事業運営に必要な重要公共サービスやインフラストラクチャーが、破壊的なランサムウェア攻撃によって停止する可能性です。
より広い意味では、中所得国を標的とした攻撃が増加しているのは、これらの国の組織は先進国の組織よりもサイバーセキュリティが未熟であり、したがって攻撃に対してより脆弱であるという認識によるものと推測されます。また、ダークウェブなど闇市場における取次人の増加により、これら中所得国の犯罪者自身がサイバー領域に参入する障壁が低下し続けていることも挙げられるでしょう。犯罪者の能力獲得・向上のペースは、このような経済圏におけるセキュリティ意識・投資の高まりをはるかに上回り、今後継続的なリスクとして定着するものと見込まれます。
ランサムウェアへの備え
企業・組織は、ランサムウェアの攻撃からグループを確実に保護するために、サイバー防御を強化し、ランサムウェアインシデントに効果的に対応できるチームを組成する必要があります。ランサムウェアはサイバー脅威の中でも独特であり、EDR(企業・組織内のネットワークに接続されたPCやサーバー、スマートフォンなどのエンドポイントに侵入したサイバー攻撃を検出し通知するシステム)やバックアップソリューションの導入といった技術的な対策のみならず、犯人との交渉や身代金支払いの意思決定といった組織的な準備も必要とされることに留意してください。
コントロール・リスクスでは、ランサムウェアに備えるにあたり、以下について情報収集、理解することを推奨しています。
- 事業展開している国・地域および業界を標的としている集団
- それら集団の技術的および恐喝に際する戦術、技術、手順(TTP)
- サイバーインシデントや身代金支払いに関する国・地域固有の規制
サイバー犯罪者が組織ならびに顧客、サプライヤーをどのように攻撃しうるか、または攻撃しようとしているかを理解することで、重視すべきサイバー防御に注力した効率的なセキュリティ投資を行うことができるようになるでしょう。
コントロール・リスクスでは脅威インテリジェンスを専門としたアナリストがサイバーインシデントやサイバー犯罪者に関する情報を常時収集しており、企業・組織や業界ごとに注意すべき集団、その動機や手口についてお客様にコンサルティングを行っています。中所得国にて事業展開しているグループ会社またはサプライヤーが、どのような脅威に晒されているか、ご興味のある方は以下お問合せフォームよりご連絡ください。