2021年9月7日

「2021年上半期 脅威情勢レポート」を公開 :ランサムウェアは800%もの大幅増加、二重恐喝が拡大傾向に

ディープインスティンクト株式会社(本社:東京都港区、カントリーマネージャー:並木 俊宗)は、「2021年上半期 脅威情勢レポート」を公開しました。本レポートは、米国Deep Instinct社の脅威研究チームが、2021年1月から6か月間の脅威リポジトリからマルウェアを分析し、種類別の検出値推移や今後、注視すべきランサムウェアとその特徴を明らかにしています。また、ランサムウェアによって引き起こされた大規模な事件や官民連携によるボットネット閉鎖作戦の成果をまとめ、2020年末に公開した脅威レポートで予測したポイントが、現在、どのように推移しているかを考察しています。

本レポートは、2021年上半期におけるマルウェアの活動特徴として、次の点を挙げています。

・ランサムウェアは2019年同期比で800%もの増加

・ランサムウェアは依然としてSTOPが過半数を占める

・バンキング型トロイの木馬の増加傾向は継続中

・国際的な官民協力体制でボットネット掃討作戦を実施~EMOTETを解体

・身代金要求モデルの悪質化~二重恐喝が勢いを増す

・ディープラーニングは次のステップへ~敵対的機械学習の兆候

ランサムウェアは2019年同期比で800%もの増加

脅威研究チームは日々、バックドア、ドロッパー、スパイウェア、ウイルス、ワーム、コインマイナーなどのマルウェアを検出しています。月単位でみる種類の割合は比較的変化に乏しく、ランサムウェア、ドロッパー、ワームが上位を占めています。しかし、ランサムウェアの検出件数は、2019年1月~6月期と比較して、800%も大幅に増加しました。2021年前半だけでもランサムウェアは244%増加しました。

ランサムウェアは依然としてSTOPが過半数を占める

マルウェアのうち、特に組織に甚大な被害をもたらすランサムウェアについては、STOP(亜種名Djvu)が検出数トップ5の合計値のうち、過半数を超える66.3%を占めました。STOPは、PDFやMicrosoft Officeドキュメント、データベース、写真、音楽、動画に狙いを定めて最初の5MBだけを暗号化するランサムウェアで復号ツールをダウンロードさせない仕組みも備えています。2番目に多いSodinokibi(亜種名REvil)は、RaaS(Ransomware as a Service)として機能し、二重恐喝の手法に用いられるランサムウェアです。

バンキング型トロイの木馬の増加傾向は継続中

Emotetが2021年の年初に掃討されて以降、DridexとTrickBotの急伸は目をみはるものがあります。特に、金融詐欺やID窃取を目的とした高度な機能を持つTrickBotは、多様な機能と検知率を低下させる回避手法が組み込まれています。それらを目的別に交換、変更、再構築できる高度なマルウェアであることから、今後の動向が注目されます。

身代金要求モデルの悪質化~二重恐喝

ランサムウェア攻撃の被害を低減化するためにデータの日次/週次バックアップを作成する企業が増えたことにより、攻撃者は身代金を取り逃がすリスクを無くそうと、新たに二重恐喝という手法を考案しました。

暗号化したデータの復号に身代金を求め、さらに窃取したデータの一部を公開すると脅して身代金を求める戦術です。この戦術は効果的であると攻撃者に判断され、多くの攻撃者が良く使う手法となりました。

2019 年に 115,123 米ドルだった身代金の平均額が 2020 年には 312,493 米ドルにまで上昇していることからも明らかで、今後もこの傾向が続くとみられます。2021年5月、米国の石油パイプライン大手Colonial Pipeline社は、二重恐喝に対して440万ドルを支払いました。

国際的な官民協力体制でボットネット掃討作戦を実施 ~EMOTETを解体

マルウェアは、複数の国に散在する開発者、実行者、マネーミュール等で構成、実行される複雑な犯罪ゆえに立件には困難がともないますが、国際社会は、このようなマルウェアに対する国境を越えた取組みが実を結びつつあります。2021年1月、7か国の法執行機関と民間のサイバー研究者のグループが協力した作戦により、7年以上もの間、最も深刻かつ高度なマルウェアとされたEmotetのボットネットの解体に成功し、感染端末からのアンインストールも終了しました。続く2月には、ウクライナ、フランス、米国が協力し、Egregorランサムウェアギャングが利用していたインフラを摘発しました。6月には、ウクライナ、米国、韓国が協力し、CIOpランサムウェアギャングのメンバーの一部が逮捕されました。

攻撃者は機械学習でマルウェアを機能強化し検出を回避~敵対的機械学習の進歩

米Deep Instinctは、マルウェア開発者が機械学習を用いて検知を効果的に回避しようとする敵対的機械学習の兆候を掴み、敵対的な技術の予測と研究を行っています。敵対的機械学習とは、ウイルス対策ソフトを騙して悪意のある入力を無害なファイルとして分類させることや、検出回避のための仕組みを組み込んで検知率を低下させることを目的とています。米Deep Instinctは、敵対的機械学習の研究を推進する上で重要な役割を果たすべく、いち早く研究に着手し、努力を重ねています。

ディープインスティンクトは、ディープラーニングを活用したサイバーセキュリティのリーディングカンパニーとして、予防ファーストのアプローチを提唱していきます。

「2021年上半期 脅威情勢レポート」は、こちらからダウンロードできます。

https://info.deepinstinct.com/ja/tof/cyber-threat-report-2021

Deep Instinct 社について

Deep Instinct は、サイバーセキュリティにエンドツーエンドのディープラーニングを適用した初めての企業であり、唯一の企業です。ディープラーニングは脳の学習能力から発想を得ています。脳はある物体を識別することを学習すると、それを元に予測ができるようになります。同様に、Deep Instinct の人工知能はあらゆるタイプのサイバー脅威の検知を学習することによって、これらを本能的に予防できる機能を備えています。その結果、既知・新種、初見のマルウェア、ゼロデイ、ランサムウェア、APT(高度な持続的脅威)など、あらゆる種類のマルウェアをゼロタイムで予測・防御し、ネットワーク、エンドポイント、モバイルなど、企業内のあらゆる場所で、比類のない精度とスピードで、多層的な防御を可能にします。

本件に関するお問い合わせ先: 

ディープインスティンクト株式会社

マーケティング部 フィールドマーケティングマネージャー 内尾 陽子

E-mail:yokou@deepinstinct.com