以前はフォーチュン 500 企業や国家インフラに限定されていましたが、ランサムウェア攻撃は現在、中小企業や個人に対する脅威であり、毎週の見出しを飾る新たな緊張と身代金の要求があります。
攻撃者は、ほとんどの場合、フィッシングやリモート デスクトップ侵害などの単純な方法でネットワークにアクセスすることにより、企業や個人に対してランサムウェア攻撃を実行します。ランサムウェアがエンドポイントにダウンロードされると、その上のすべてのデータが暗号化され、ネットワーク内の他のエンドポイントに広がる可能性があります。これは、攻撃が侵入してから数分以内に発生する可能性があります。サイバー攻撃者は、情報を人質に取り、ユーザーをシステムから締め出すことで、システムへのアクセスと引き換えに身代金を要求できるため、攻撃に独特の名前が付けられています。
ランサムウェアの歴史
ランサムウェアは、少なくとも過去 3 年間、新しい攻撃ベクトルとして注目を集めてきましたが、最初に記録されたランサムウェア攻撃は、ほぼ 30 年前に発生しました。 1989 年、「エイズ トロイの木馬」と呼ばれるプログラムが、フロッピー ディスクを介して研究会議の知らない参加者に配布されました。これらの被害者は、ディスクが調査ツールであると信じて、マルウェアをコンピューターに挿入し、ファイルが暗号化されるのを監視しました。攻撃者は、システムを復号化する指示と引き換えにメールで身代金を要求しました。
2000 年代初頭、ランサムウェアよりも分散型サービス拒否 (DDoS) 攻撃の方が一般的でした。この傾向は、WannaCry として知られる壊滅的な攻撃によって変化し、2017 年に世界中のセクター全体が侵害され、「ランサムウェアの時代」と呼ばれるものが始まりました。
ランサムウェアの時代
ランサムウェアの急増を後押しした最大のイノベーションの 1 つは、2010 年のビットコインの台頭など、仮想通貨の出現でした。これにより、被害者から支払いを受け取るための簡単で追跡不可能な方法が提供され、ランサムウェアが有利でリスクの低い事業になる機会が生まれました。 .
ランサムウェアの成長に伴い、サイバー犯罪グループが身代金の支払いによる利益の一部と引き換えにマルウェアプログラムを世界中のクライアントにリースするサービスとしてのランサムウェアパッケージを提供し始めたため、サプライチェーンの開発が行われました。
ランサムウェア開発における最新の傾向は、データの流出です。 2020 年には、ランサムウェアがデータ漏えいの恐喝戦術と組み合わされて広く採用されました。この方法には、被害者の組織の環境を暗号化することと、恐喝の要求が支払われない場合にデータを漏らすと脅してデータを盗み出すことの両方が含まれます。
このランサムウェアの急速な進化は、攻撃者や犯罪グループが危機に瀕している組織にできるだけ多くの圧力をかけるために技術を再発明し続けているため、今後も加速することが予想されます。身代金の要求も増加しており、ランサムウェアの平均支払い額は 57 万ドルに達し、2019 年の 115,123 ドルからほぼ 5 倍になりました。
アジアが特に標的にされており (2021 年のインシデント数は前年比で64% 急増)、この地域での攻撃は減速の兆しを見せています。この記事では、将来の侵害をそれ以前に発生した攻撃と関連付けるために、これまでにアジアが直面した最も注目すべきインシデントを取り上げます。
アジアの歴史で最も有名なランサムウェア イベントは何ですか?
1.ワナクライ
内容: アジアの病院やその他の公共および民間組織に影響を与える世界的なランサムウェア攻撃。
場所:少なくとも 150 か国の 200,000 を超えるターゲットが WannaCry によって深刻な影響を受けました。アジアでは、インドネシアの 2 つの主要な病院 (ダルマイス病院とハラパン キタ病院) のほぼすべてのコンピューターが暗号化されていました。ソウルの大学病院や中国の教育機関とともに、日本とシンガポールの組織も影響を受けました。
いつ: 2017 年 5 月 12 日、WannaCry が世界中に広がり始めました。 Marcus Hutchins によって発見されたキル スイッチの登録により、マルウェアは数時間後に停止しました。これにより、すでに感染したコンピューターがさらに暗号化されたり、WannaCry が拡散されたりするのを防ぐことができましたが、ウイルスはすでに世界中に広がっていました。
方法:このウイルスは Microsoft の Windows ソフトウェアの脆弱性を悪用し、コンピューターに侵入して PC のハード ドライブ上のファイルを暗号化し、ユーザーがデバイスにアクセスできないようにしました。次にウイルスは、それらを解読するためにビットコインでの身代金の支払いを要求しました。 WannaCry の急速な拡散は、攻撃に見舞われ、接続された外部システム全体に拡散した、英国の国民保健サービスを含む多数の注目を集めるシステムによって支えられました。注目すべきは、WannaCry の新しい亜種により、台湾積体電路製造会社 (TSMC) が 2018 年 8 月にチップ製造工場のいくつかを一時的に閉鎖せざるを得なくなったことです。
関係者:攻撃者は、2017 年 12 月に米国と英国が、北朝鮮政府と関係がある可能性のあるサイバー犯罪組織である Lazarus Group が攻撃の背後にいると正式に主張するまで、長い間検出されませんでした。
2. シンガポール SingHealth と香港保健局
内容:都市国家で事業を展開する多国籍企業を含む、シンガポールに拠点を置く複数の企業に対してランサムウェア攻撃が開始されました。 4 つの病院、5 つの国立専門センター、8 つのポリクリニックで構成されるシンガポールの公衆衛生ネットワークである SingHealth は、攻撃の被害を受けた最も著名な機関でした。シンガポールのリー・シェンロン首相やその他の大臣を含む 16 万人の市民の機密の外来処方箋を含むファイルが侵害されました。香港では、保健局の感染管理部門、臨床遺伝サービス、医薬品局に属するコンピューターも攻撃を受け、データにアクセスできなくなりました。
場所:シンガポールと香港。
時期: 2018 年 7 月から 8 月の間。シンガポールは、香港の 2 週間前に攻撃を受け、攻撃は合計 4 週間続きました。
方法: 7 月 20 日、シンガポール政府は、シンガポール史上最悪のサイバー攻撃により、SingHealth の 150 万人の患者の個人情報が漏洩したと宣言しました。コンピューターに保存されたファイルはランサムウェアによって暗号化され、復号化キーを取得するための電子メール アドレスが残されましたが、身代金は要求されませんでした。 SingHealth とシンガポールの公的医療部門の IT 機関である IHIS は、同国の個人情報保護法に違反した攻撃に対して、それぞれ 25 万シンガポールドルと 75 万シンガポールドルの罰金を科されました。罰金は、その日までに支払われた最高額でした。
対象者: Whitefly という名前のサイバー犯罪グループが、攻撃の発生から 6 か月後にシンガポール政府によって攻撃の責任があることが判明しました。
3.アクサアジア
内容:サイバー保険会社 AXA France がサイバー保険ポリシーを変更して身代金の支払いを停止すると発表してから 1 週間後、同社のアジア アシスタンス部門はランサムウェア攻撃に見舞われました。ハッカーは、アジアで 3 テラバイト相当の機密データを押収したと主張しました。盗まれたデータには、顧客の ID カード、パスポート、銀行の書類、病院の請求書、医療記録のスクリーンショットが含まれていました。
場所: AXA のアジア部門が攻撃され、タイ、マレーシア、香港、フィリピンの IT 運用に影響を与えました。その結果、タイの Inter Partners Asia (IPA) によって処理された特定のデータにもアクセスされました。
いつ: 2021 年 5 月。
方法: Avaddon マルウェアは、タイでフィッシング メールを介して AXA のネットワークにアクセスした後、ネットワーク全体に急速に広がり、他のすべてのエンドポイントに到達した可能性があります。その後、数分以内にすべてのファイルを暗号化して復元不能にし、AXA が身代金の支払いに関する決定を下すまでに 10 日間の猶予を与えました。
対象者:この攻撃は、フランスの保険会社に影響を与えた事件の約 1 年前から活動していた Avaddon によるものとされています。このグループはロシアに拠点を置いていると考えられており、マルウェアを「サービスとしてのランサムウェア」モデルであまり洗練されていないクライアントに提供しています。
4. 東京海上
内容:攻撃は社内の Windows サーバーを標的とし、ネットワーク内の多数のコンピューターに拡散しました。迅速な介入により、東京海上は攻撃の過程で保険サービスを提供し続けることができました。
場所:東京海上グループの子会社であるTokio Marine Insurance Singaporeが攻撃の標的になりました。
いつ: 2021 年 7 月から 8 月の間。
方法:ランサムウェア攻撃は東京海上シンガポールに大規模な影響を与え、会社のすべてのエンドポイントで重要なデータを暗号化しました。ランサムウェアが発見された後、さらなる損害を防ぐためにネットワークが隔離されました。また、東京海上は、地方自治体機関に必要な報告をすぐに提出し、このようなサイバー攻撃に対する十分な備えを示しました。数か月の間に発生した東京海上と AXA のランサムウェア攻撃は、保険会社を標的としたランサムウェア攻撃の増加傾向を示しています。これは、サイバー犯罪業界における標的の変化の自然な一部であると考える人もいれば、ランサムウェアの要求に対する支払いに消極的になり、ランサムウェア ビジネスを効果的に弱体化させているサイバー保険市場の硬化に対する答えとしてこれを認識する人もいます。モデル。
誰が:東京海上の攻撃者は明らかにされておらず、展開されたマルウェアの種類とその出所を正確に理解するための調査が進行中です。
5. 目と網膜の外科医 シンガポール アイ クリニック
内容:攻撃は Eye & Retina Surgeons クリニックのサーバーと管理システムに影響を与えました。推定 73,000 人の患者のデータが侵害の影響を受けました。これには、名前、住所、ID カード番号、連絡先の詳細、および臨床メモや目のスキャンなどの臨床情報を含む患者情報が含まれていました。
場所: Eye & Retina Surgeons クリニックはシンガポールに拠点を置いています。
いつ:インシデントは 2021 年 8 月 6 日に発生しました。
方法:ランサムウェア ウイルスは、おそらく悪意のある電子メールまたはフィッシング リンクを介してネットワークに侵入し、ビジネス エンドポイントへのアクセスを取得するとすぐに患者データを暗号化しました。 Eye & Retina Surgeons は、要求された身代金を支払わないことを決定し、失われたファイルを回復することができませんでしたが、報告によると、データは漏洩していませんでした.同社は、シンガポールのサイバーセキュリティ庁と緊密に協力して、システムの健全性を回復し、活動を再開しました。
対象者:このランサムウェア攻撃に関与したハッカーはまだ特定されていません。