数十億ドル規模のビジネス
調査会社チェイナリシスのデータによると、公表された身代金の支払額は2023年にほぼ倍増し、10億ドルを超え、昨年はインターネット恐喝の復活の記念すべき年となった。
被害者全員が被害を公表するわけではないため、実際の数字ははるかに高いことは間違いありません。しかし、数少ない明るい材料として、身代金の支払い額は年々減少傾向にあります。これは、サイバー防御力の向上に向けた取り組みと、ハッカーが盗んだデータを削除または返却するという約束を守るという被害者の認識の高まりによるものです。
記録的な身代金
身代金の支払いを拒否するランサムウェアの被害者がますます増えている一方で、サイバー犯罪集団は標的とする被害者の数を増やすことでその減少を補っている。
例えば、MOVEitのハッキング事件では、Clopランサムウェアグループが、広く使用されているMOVEit Transferソフトウェアに存在する、これまで知られていなかった一連の脆弱性を悪用し、2,700以上の被害者のシステムからデータを盗み出しました。多くの組織は、機密データの公開を阻止するために身代金を支払わなければなりませんでした。
Chainalysisは、Clopグループが集めた身代金は1億ドル以上で、2023年6月から7月までのランサムウェア攻撃の総額のほぼ半分を占めると推定している。
その後、9月にはカジノ・エンターテイメント大手のシーザーズが、ハッカーによる顧客データの流出を阻止するために約1,500万ドルを支払った。注目すべきは、8月のシーザーズへの攻撃が報告されなかったことだ。
大規模なリゾートホテルグループであるMGMリゾーツも、身代金の支払いを拒否したため、1億ドル以上の「復旧」費用を費やさざるを得ませんでした。MGMの支払い拒否により、氏名、社会保障番号、パスポート情報など、顧客の機密データがオンラインで漏洩しました。
リスクの増大
シーザーズのような多くの組織にとって、身代金を支払うことはPR危機に対処するよりも容易な選択肢です。しかし、被害者が支払いを拒否するケースが増えるにつれ、サイバー犯罪グループはより過激な戦術に訴えるようになっています。
例えば、昨年12月には、がん患者を治療する病院がハッカーの標的となりました。さらに巧妙なことに、Alphvハッカーグループ(別名BlackCat)は、米国政府のサイバーインシデント開示規制を悪用し、メリディアンリンク社を脅迫しました。同社は「顧客データと業務情報の重大な侵害」を報告しなかったと非難しました。
身代金の支払いを禁止するか、禁止しないか?
サイバー恐喝事件の取り扱いを専門とするCoveware社は、米国やその他の国が身代金支払いを禁止した場合、企業はほぼ確実に当局への事件報告を停止し、被害者団体と法執行機関の協力体制が逆転すると予測しています。さらに、この禁止政策は違法な身代金支払い市場を助長する可能性もあります。
一方、業界の専門家の中には、企業がハッカーに金銭を支払うことを禁止することは、短期的にはマルウェア攻撃の増加につながる可能性があるものの、長期的な解決策になると考える者もいる。
レコーデッド・フューチャーの脅威アナリスト、アラン・リスカ氏は、身代金の支払いが合法である限り、この慣行は続くだろうと述べた。「以前は身代金の支払いを禁止するという考えに反対していましたが、状況は変わりつつあります」とリスカ氏は述べた。「恐喝は増加傾向にあります。攻撃件数だけでなく、攻撃の性質や背後にいる犯罪組織も増加しているのです。」
(TechCrunchによると)
[広告2]
ソース
コメント (0)