ランサムウェア攻撃は2024年も猛威を振るうとの予測 Symantec：マルウェア使用せず正規ソフトウェアの脆弱性を悪用する傾向

Broadcomは2024年のランサムウェアの脅威予測動向レポートを発表した。ランサムウェアが展開される前に攻撃を阻止するには、攻撃者の戦術、技術、手順を理解することが重要だと警告する。

[＠IT]

　BroadcomのSymantec Threat Hunter Teamは2024年1月24日（米国時間）、調査レポート「2024年のランサムウェア脅威状況」を発表した。レポートでは、「ランサムウェアは、攻撃者にとって最も利益の多い形態の一つであり、あらゆる規模の組織にとって依然として深刻な脅威だ」と述べている。

　レポートでは、過去12カ月間のランサムウェア脅威の状況を分析し、新たな攻撃者から攻撃者のトップツール、戦術、技術、手順（TTP：Tactics, Techniques, and Procedures）について、実際の攻撃者のケーススタディーを含むインテリジェンスを提供している。レポートの主な調査結果は以下の通り。

　ランサムウェア攻撃は2023年10月に急増し、ランサムウェアの影響を受けた組織の数は1年前より66％増加した。同年9月のマルウェアの一種「Qakbot」テイクダウン（停止措置）後、ランサムウェアは減少すると予想されていたが、実際はその逆の現象が起こった。

　ランサムウェアの主な感染経路はもはやボットネットではなく、一般向けアプリケーションの既知の脆弱（ぜいじゃく）性の悪用だ。

　ランサムウェアペイロードを除いて、攻撃者はマルウェアを使用せずに合法的なソフトウェアやオペレーティングシステムの機能を利用して攻撃を仕掛ける事例が増えている。

　「Windows OS」は最も広く使用されている正規のソフトウェアだが、Windows OS用ツール「PsExec」「PowerShell」「Windows Management Instrumentation（WMI）」は、攻撃者が最も頻繁に使用するツールの上位3種だ。

　リモートデスクトップやリモート管理ソフトウェアは、攻撃者によって標的のネットワークに導入される正規のソフトウェアの中で最も広く使用されている。これには、「AnyDesk」「Atera」「Splashtop」「ConnectWise」が含まれる。

　ランサムウェアの一種「Snakefly」（またの名をCl0p）が「MOVEit Transfer」と呼ばれるエンタープライズソフトウェアの脆弱性を利用して攻撃を仕掛け、これによって脅迫攻撃の新しい手法が明らかになった。また、Snakeflyグループがエンタープライズソフトウェアのゼロデイ脆弱性を特定して利用することで、一度の攻撃キャンペーンで複数の組織からデータを窃取できる能力を持つ。

2024年のランサムウェアトレンド

　調査結果およびその他の情報に基づいて、以下の傾向が2024年以降も続くと予想される。

ランサムウェアはも北米だけの問題ではない

　他の地域や非英語圏の国の組織を標的とするグループがますます増えている。

脆弱性の悪用は今後も続く

　パッチ適用後の脆弱性に飛びつく攻撃者が増えている。ソフトウェアパッチがリリースされた当日に、パッチが適用されていないシステムのスキャンが開始される。

暗号通貨が続く限りランサムウェア攻撃も続く

　SEC（米国証券取引委員会）が暗号通貨ETF（上場投資信託）を承認した。このことは、暗号通貨の受け入れが進んでいることを示している。ランサムウェア攻撃者が身代金の受け取り手段として利用する暗号通貨が存在する限り、ランサムウェアも存在し続けるだろう。

暗号化を使用せずにデータを盗む攻撃が増加しつつある

　コンピュータの暗号化には労力がかかるため、暗号化して身代金を要求するよりも、データを直接窃盗する手法が増えている。

ランサムウェアに対抗する多層防御戦略を

　ランサムウェアは規模に関係なく、全ての組織にとって継続的な脅威であり続ける。このリスクを軽減するには、組織は多層防御戦略を採用すべきだ。これは複数の検出、保護および強化テクノロジーを使用して、攻撃の各段階でリスクを軽減するアプローチである。

　さらに、組織はランサムウェア攻撃で使用および一般的に使用されている現在の感染ベクトルについての知識を深めることを優先しなければならない。情報は、潜在的な弱点領域の優先順位付けと特定に役立ち、防御態勢の強化に役立つだろう。