サイバー攻撃者の倫理観はすでに落ちるところまで落ちたと思われていましたが、さらに卑劣な手口が生まれています。最近のランサムウェア攻撃では、サイバー攻撃者は何がなんでも身代金を支払わせようと、経営幹部の家族を狙った攻撃を仕掛けていることが明らかになりました。
Mandiantの最高技術責任者Charles Carmakal氏は、5月初旬に開催されたRSAカンファレンスでサイバー攻撃者が経営幹部の子供を狙ってSIMスワッピング攻撃を行っているという恐ろしい傾向について説明しました。サイバー攻撃者は、SIMスワップ攻撃により、経営幹部の子供の電話番号で脅迫の電話をかけ、身代金の支払いを拒否できない状況に追い込んでいるようです。
この攻撃手法は従来の手法よりも対応が困難です。ランサムウェアは、単に企業や組織の業務を妨害するものから、家族を直接標的にする攻撃へと変化しています。サイバー攻撃者は経営幹部の個人的に関係のある人を悪用することで、心理的な揺さぶりかけて、極度のストレスをかけて決断を迫っています。
ランサムウェア攻撃は、そのコードの変化と並行して時間とともに変遷してきました。その戦術は変わり続けており、最近は次のような戦術がとられています。
- 経営幹部やその家族に対する直接的な脅迫。多くの場合は職場ではなく自宅に対して行われる。
- (システム障害による)救急車の受け入れ拒否や医療情報のオフライン対応など、市民生活に欠かすことができない重要なサービスに対する妨害行為。
ミッションクリティカルな業界や医療機関などの多くの機密情報を扱う業界の組織にとって、ランサムウェア攻撃のリスクはかつてないほどに高まっています。膨大な量の個人情報や健康情報を扱うこれらの組織は、業務が混乱するだけではなく、特に反社会的勢力が関与する場合には、要求に応じるべきかどうかという倫理的ジレンマも抱えることになります。
Mandiantのグローバルインテリジェンス部門の責任者であるSandra Joyce氏は次のように述べています。
「身代金の支払いに応じるべきかどうかという選択は、非常に困難なものです。身代金の支払い先が、米財務省外国資産管理室(OFAC)が指定している個人や団体や制裁対象国であれば、支払い行為は違法になります。しかし支払わなかった場合には、業務に支障が生じたり、個人情報が漏洩したりする可能性があります。このような問題に対処しなければならないのは、企業にとっては最悪と言える事態です。」
2024年5月1日、ユナイテッドヘルスグループの最高経営責任者であるAndrew Witty氏は、米議会に対して、「最高責任者として、2200万ドル(約34億円)の身代金を支払う決断を下した」と述べました。これは、Witty氏が米下院エネルギーおよび商業対策委員会に提出した書面による証言[PDF]でも述べられています。Witty氏はさらに、「この決断は今までで最も困難なものであり、今後はこのような決断を下す機会がないことを願う」と述べています。
企業や組織でこのような事態が発生しないようにするためには、以下に示す3つの推奨事項を適用する必要があります。
- 使用しているすべてのソフトウェアに早急にセキュリティパッチを適用する。
- 一般の従業員から経営幹部まで、すべての従業員を対象に新しいスタイルの先進的なセキュリティ意識向上トレーニングを実施する。
- フィッシング耐性のあるMFAを使用する。
CISAも同じ推奨事項を提示しています。詳細については、Black Bastaランサムウェアに関する5月10日のStopRansomwareアドバイザリー(#StopRansomware May 10 advisory)を参照してください。
原典:Stu Sjouwerman著 2024年5月13日発信 https://blog.knowbe4.com/beware-ransomware-targets-execs-kids-to-coerce-payouts