ENISA ランサムウェアについての脅威状況
こんにちは、丸山満彦です。
ENISAが過去のランサムウェア被害を分析した報告書を公表していますね。学ぶことが多いように思います。。。
● ENISA
・2022.07.29 Ransomware: Publicly Reported Incidents are only the tip of the iceberg
・2022.07.29 ENISA Threat Landscape for Ransomware Attacks
・[PDF]
目次
1. INTRODUCTION | 1. はじめに |
2. FOCUS ON RANSOMWARE | 2. ランサムウェアへの注目 |
2.1 DEFINING RANSOMWARE | 2.1 ランサムウェアの定義 |
2.2 TYPES OF RANSOMWARE | 2.2 ランサムウェアの種類 |
2.3 LEDS ACTIONS | 2.3 導入されたアクション |
2.3.1 Lock | 2.3.1 ロック |
2.3.2 Encrypt | 2.3.2 暗号化 |
2.3.3 Delete | 2.3.3 削除 |
2.3.4 Steal | 2.3.4 窃盗 |
2.4 ASSETS TARGETED BY RANSOMWARE | 2.4 ランサムウェアの標的となる資産 |
3. RANSOMWARE LIFE CYCLEE | 3. ランサムウェアのライフサイクル |
3.1 INITIAL ACCESS | 3.1 初期アクセス |
3.2 EXECUTION | 3.2 実行 |
3.3 ACTION ON OBJECTIVES | 3.3 目標達成のための行動 |
3.4 BLACKMAIL | 3.4 ブラックメール |
3.5 RANSOM NEGOTIATION | 3.5 身代金交渉 |
4. RANSOMWARE BUSINESS MODELS | 4. ランサムウェアのビジネスモデル |
4.1 INDIVIDUAL ATTACKERS | 4.1 個人攻撃者 |
4.2 GROUP THREAT ACTORS | 4.2 グループ脅威アクター |
4.3 RANSOMWARE-AS-A-SERVICE | 4.3 ランサムウェア・アズ・ア・サービス |
4.4 DATA BROKERAGE | 4.4 データ仲介者 |
4.5 NOTORIETY AS KEY TO A SUCCESSFUL RANSOMWARE BUSINESS | 4.5 ランサムウェアビジネスの成功の鍵となる悪評 |
5. ANALYSIS OF RANSOMWARE INCIDENTS | 5. ランサムウェアインシデントの分析 |
5.1 DATA SAMPLING TECHNIQUE | 5.1 データサンプリング技術 |
5.2 STATISTICS ABOUT THE INCIDENTS | 5.2 インシデントに関する統計 |
5.3 VOLUME OF DATA STOLEN | 5.3 盗まれたデータ量 |
5.4 AMOUNT OF LEAKED DATA | 5.4 漏えいしたデータ量 |
5.5 TYPE OF LEAKED DATA | 5.5 漏えいしたデータの種類 |
5.6 PERSONAL DATA | 5.6 個人情報 |
5.7 NON-PERSONAL DATA | 5.7 非個人情報 |
5.8 INCIDENTS PER COUNTRY | 5.8 国別インシデント |
5.9 INITIAL ACCESS TECHNIQUES | 5.9 初期アクセス技術 |
5.10 PAID RANSOM | 5.10 身代金支払額 |
5.11 INCIDENTS IN EACH TYPE OF SECTOR | 5.11 各業種におけるインシデント |
5.12 NUMBER OF INCIDENTS CAUSED BY EACH THREAT ACTOR | 5.12 各脅威アクターが引き起こしたインシデント数 |
5.13 TIMELINE OF RANSOMWARE INCIDENTS | 5.13 ランサムウェア・インシデントのタイムライン |
6. RECOMMENDATIONS | 6. 推奨事項 |
6.1 RESILIENCE AGAINST RANSOMWARE | 6.1 ランサムウェアへの耐性 |
6.2 RESPONDING TO RANSOMWARE | 6.2 ランサムウェアへの対応 |
7. CONCLUSIONS | 7. 結論 |
7.1 LACK OF RELIABLE DATA | 7.1 信頼できるデータの欠如 |
7.2 THREAT LANDSCAPE | 7.2 脅威の状況 |
APPENDIX A: NOTABLE INCIDENTS | 附属書A:注目すべきインシデント |
A.1 COLONIAL PIPELINE RANSOMWARE INCIDENT | A.1 コロニアルパイプライン・ランサムウェア事件 |
A.2 KASEYA | A.2 KASEYA |
EXECUTIVE SUMMARY | エグゼクティブサマリー |
During the last decade ransomware has become one of the most devastating types of attacks, impacting organisations of all sizes worldwide. Quickly adapting to new business models with advanced threat actors leveraging the cybercrime ecosystem for a better distribution of labour, ransomware has managed to increase its reach and impact significantly. No business is safe. | 過去10年間、ランサムウェアは最も破壊的なタイプの攻撃の1つとなり、世界中のあらゆる規模の組織に影響を及ぼしてきた。高度な脅威を持つ企業がサイバー犯罪のエコシステムを活用し、より良い労働力を分配することで、新しいビジネスモデルに素早く適応し、ランサムウェアはその範囲と影響を大幅に拡大させることに成功した。どの企業も安全ではない。 |
This report aims to bring new insights into the reality of ransomware incidents through mapping and studying ransomware incidents from May 2021 to June 2022. The findings are grim. Ransomware has adapted and evolved, becoming more efficient and causing more devastating attacks. Businesses should be ready not only for the possibility of their assets being targeted by ransomware but also to have their most private information stolen and possibly leaked or sold on the Internet to the highest bidder. | 本報告書は、2021年5月から2022年6月までのランサムウェア・インシデントをマッピングして調査することで、ランサムウェア・インシデントの実態に新たな知見をもたらすことを目的としている。調査結果は厳しいものである。ランサムウェアは適応と進化を遂げ、より効率的になり、より壊滅的な攻撃を引き起こすようになった。企業は、自社の資産がランサムウェアに狙われる可能性だけでなく、最もプライベートな情報が盗まれ、インターネット上で最も高い入札者に漏えいまたは売却される可能性があることに備える必要がある。 |
The main highlights of the report include the following: | 本報告書の主な内容は以下のとおりである。 |
• A novel LEDS matrix (Lock, Encrypt, Delete, Steal) that accurately maps ransomware capabilities based on the actions performed and assets targeted; | • ランサムウェアの能力を、実行されたアクションと標的となった資産に基づいて正確にマッピングする、新しいLEDSマトリクス(ロック:Lock, 暗号化:Encrypt, 削除:Delete, 窃盗:Steal)である。 |
• A detailed and in-depth analysis of the ransomware life cycle: initial access, execution, action on objectives, blackmail, and ransom negotiation; | • ランサムウェアのライフサイクル(初期アクセス、実行、目標達成のための行動、脅迫、身代金交渉)を詳細かつ徹底的に分析する。 |
• Collection and in-depth analysis of 623 ransomware incidents from May 2021 to June 2022; | • 2021年5月から2022年6月までのランサムウェア623件のインシデントの収集と詳細な分析。 |
• More than 10 terabytes of data stolen monthly by ransomware from targeted organisations; | • ランサムウェアによって、標的となった組織から毎月10テラバイト以上のデータが盗まれている。 |
• Approximately 58.2% of all the stolen data contains GDPR personal data based on this analysis; | • この分析に基づき、盗まれたデータ全体の約58.2%にGDPRの個人データが含まれている。 |
• In 95.3% of the incidents it is not known how threat actors obtained initial access into the target organisation; | • 95.3%のインシデントにおいて、脅威アクターがターゲット組織への最初のアクセスをどのように取得したかは分かっていない。 |
• It is estimated that more than 60% of affected organisations may have paid ransom demands; | • 被害を受けた組織の60%以上が身代金要求額を支払った可能性があると推定されている。 |
• At least 47 unique ransomware threat actors were found. | • 少なくとも47のユニークなランサムウェアの脅威アクターが発見された。 |
The report also highlights issues with the reporting of ransomware incidents and the fact that we still have limited knowledge and information regarding such incidents. The analysis in this report indicates that publicly disclosed incidents are just the tip of the iceberg. | また、ランサムウェアのインシデントの報告に関する問題や、そのようなインシデントに関する知識や情報がまだ限られているという事実も浮き彫りになっている。本報告書の分析によると、一般に公開されているインシデントは氷山の一角に過ぎないことがわかる。 |
Along with a general recommendation to contact the competent cybersecurity authorities and law enforcement in cases of ransomware attacks, several other recommendations are put forward, both to build resilience against such attacks and to mitigate their impact. | ランサムウェアに感染した場合、管轄のサイバーセキュリティ当局や法執行機関に連絡するよう一般的に推奨しているほか、こうした攻撃に対する耐性を高め、その影響を軽減するためのいくつかの推奨事項を提示している。 |
1. INTRODUCTION | 1. イントロダクション |
The threat of ransomware has consistently ranked at the top in the ENISA Threat Landscape for the past few years and, in particular, in 2021 it was assessed as being the prime cybersecurity threat across the EU[1]. Motivated mainly by greed for money, the ransomware business model has grown exponentially in the last decade[2] and it is projected to cost more than $10 trillion by 2025[3]. The evolution of the business model to a more specialised and organised distribution of labour through a cybercrime-as-a-service model has turned ransomware into a commodity. Nowadays, it seems simpler for anyone with basic technical skills to quickly perform ransomware attacks. The introduction of cryptocurrency, the fact that affected companies actually do pay the ransom, and the more efficient division of work, have greatly fuelled the growth of ransomware, generating a catastrophic global effect4,[4]. | ランサムウェアの脅威は、過去数年間、ENISAの脅威状況で常に上位にランクされており、特に2021年には、EU全域でサイバーセキュリティの主要な脅威であると評価された[1] 。主に金銭欲を動機とするランサムウェアのビジネスモデルは、過去10年間で指数関数的に成長し、[2] 、2025年までに10兆円以上の費用がかかると予測されている。[3] .ビジネスモデルが、サイバー犯罪・アズ・ア・サービス・モデルを通じて、より専門的かつ組織的な労働力の分配へと進化したことで、ランサムウェアは商品と化した。現在では、基本的な技術力があれば、誰でもすぐにランサムウェア攻撃を実行できるようになり、よりシンプルになったと思われる。暗号通貨の導入、被害を受けた企業が実際に身代金を支払うという事実、そしてより効率的な分業が、ランサムウェアの成長を大いに促進し、世界的に壊滅的な影響を生み出している[4] [5]. |
Even though ransomware is not new, technologies evolve and with them so do attacks and vulnerabilities, thus pressurising organisations to be always prepared for a ransomware attack. In many cases, staying in business requires difficult decisions, such as paying or not paying the ransom[5], since this money ends up fuelling ransomware activities. This is despite year-long and consistent recommendation not to pay ransom demands and to contact the relevant cybersecurity authorities to assist in handling such incidents. | ランサムウェアは新しいものではないが、技術は進化し、それに伴い攻撃や脆弱性も進化するため、組織は常にランサムウェア攻撃への備えをする必要に迫られている。多くの場合、ビジネスを継続するためには、身代金を払うか払わないかといった難しい決断が必要である。[6] このお金は結局ランサムウェアの活動を助長することになるためである。これは、身代金要求を支払わないこと、およびそのようなインシデントの処理を支援するために関連するサイバーセキュリティ当局に連絡することを、1年前から一貫して推奨しているにもかかわらず、である。 |
This report brings new insights into the ransomware threat landscape through a careful study of 623 ransomware incidents from May 2021 to June 2022. The incidents were analysed in-depth to identify their core elements, providing answers to some important questions such as how do the attacks happen, are ransom demands being paid and which sectors are the most affected. The report focuses on ransomware incidents and not on the threat actors or tools, aiming to analyse ransomware attacks that actually happened as opposed to what could happen based on ransomware capabilities. This ransomware threat landscape has been developed on the basis of the recently published ENISA Cybersecurity Threat Landscape Methodology[6]. | 本報告書は、2021年5月から2022年6月までの623件のランサムウェア・インシデントを慎重に調査することで、ランサムウェアの脅威の状況に新たな洞察をもたらしている。インシデントを詳細に分析してその中核要素を特定し、攻撃がどのように発生するのか、身代金要求は支払われているのか、どの部門が最も影響を受けているのかといった重要な質問に対する答えを提供している。この報告書では、脅威の主体やツールではなく、ランサムウェアのインシデントに焦点を当て、ランサムウェアの能力に基づいて起こりうることではなく、実際に起こったランサムウェア攻撃を分析することを目的としている。このランサムウェアの脅威の状況は、最近発表されたENISA Cybersecurity Threat Landscape Methodology に基づいて作成されたものである。 [7] |
The report starts by clearly defining what ransomware is since it has proven to be an elusive concept spanning various dimensions and including different stages. The definition is followed by a novel description of the types of ransomware that breaks the traditional classification and instead focuses on the four actions performed by ransomware, i.e. Lock, Encrypt, Delete, Steal (LEDS), and the assets at which these actions are aimed. By defining the types of ransomware, it is then possible to study the life cycle of ransomware and its business models. This characterisation of ransomware leads into the core of this report which is the deep analysis of 623 incidents and its summary in precise statistics. The report ends by highlighting recommendations for readers and key conclusions. | 本報告書では、まず、ランサムウェアとは何かを明確に定義することから始める。この定義に続いて、ランサムウェアの種類について、従来の分類を破り、ランサムウェアが実行する4つのアクション、すなわち、ロック、暗号化、削除、窃盗(LEDS)、およびこれらのアクションが対象とする資産に焦点を当てた、新しい説明が行う。そして、ランサムウェアの種類を定義することで、ランサムウェアのライフサイクルとそのビジネスモデルを研究することが可能になる。このようにランサムウェアの特徴を把握することで、623件のインシデントを詳細に分析し、正確な統計としてまとめた本報告書の核心に迫ることができる。報告書の最後には、読者への提言と主要な結論を強調している。 |
The report is structured as follows: | 報告書の構成は以下の通りである。 |
• Chapter 1, Introduction, provides a brief introduction to the problem of ransomware attacks and the dedicated ENISA ransomware threat landscape report; | • 第1章「はじめに」では、ランサムウェア攻撃の問題点と、専用のENISAランサムウェア脅威状況報告書について簡単に紹介している。 |
• Chapter 2, Focus on Ransomware, discusses what ransomware is and its key elements, as well as proposing the LEDS matrix to accurately map ransomware capabilities based on the actions performed and assets targeted; | • 第2章「ランサムウェアにフォーカス」では、ランサムウェアとは何か、その主要な要素について説明するとともに、ランサムウェアの能力を、実行されるアクションと標的となる資産に基づいて正確にマッピングするためのLEDSマトリックスを提案している。 |
• Chapter 3, Ransomware Life Cycle, gives a detailed overview of the life cycle of a ransomware attack; | • 第3章「ランサムウェアのライフサイクル」では、ランサムウェア攻撃のライフサイクルの概要を詳しく解説している。 |
• Chapter 4, Ransomware Business Models, discusses the evolution of ransomware business models and how trust is the key to the ransomware business; | • 第4章「ランサムウェアのビジネスモデル」では、ランサムウェアのビジネスモデルの進化と、信頼がランサムウェアビジネスの鍵になることを解説している。 |
• Chapter 5, Analysis of Ransomware Incidents, presents a detailed study of ransomware incidents from May 2021 to June 2022, including a timeline of incidents; | • 第5章「ランサムウェア・インシデントの分析」では、2021年5月から2022年6月までのランサムウェア・インシデントを時系列で詳細に調査した結果を紹介している。 |
• Chapter 6, Recommendations, provides high-level recommendations to better protect against ransomware incidents; | • 第6章「推奨事項」では、ランサムウェア・インシデントからより良く保護するためのハイレベルな推奨事項を記載している。 |
• Chapter 7, Conclusions, highlights the most important conclusions of the study and how they can potentially impact the future of the threat landscape. | • 第 7 章「結論」では、本調査の最も重要な結論と、それが今後の脅威の状況にどのような影響を与える可能性があ るかについて述べている。 |
[1] See https://www.enisa.europa.eu/publications/enisa-threat-landscape-2021 , October 2021
[2] ‘2021 Trends Show Increased Globalized Threat of Ransomware | CISA’. https://www.cisa.gov/uscert/ncas/alerts/aa22040a (accessed Jul. 02, 2022)
[3] Cybercrime To Cost The World $10.5 Trillion Annually By 2025’, Cybercrime Magazine, Dec. 08, 2018. https://cybersecurityventures.com/cybercrime-damages-6-trillion-by-2021/ (accessed Jul. 02, 2022) 4 Kaseya VSA ransomware attack’, Wikipedia. Apr. 07, 2022. Accessed: Jul. 02, 2022. [Online]. Available: https://en.wikipedia.org/w/index.php?title=Kaseya_VSA_ransomware_attack&oldid=1081509343
[4] J. Dossett, ‘A timeline of the biggest ransomware attacks’, CNET. https://www.cnet.com/personal-finance/crypto/atimeline-of-the-biggest-ransomware-attacks/ (accessed Jul. 02, 2022)
[5] ‘83% of ransomware victims paid ransom: Survey’, ZDNet. https://www.zdnet.com/article/83-of-ransomware-victims-paidransom-survey/ (accessed Jul. 02, 2022)
[6] https://www.enisa.europa.eu/news/enisa-news/how-to-map-the-cybersecurity-threat-landscape-follow-the-enisa-6-stepmethodology
7. CONCLUSIONS | 7. 結論 |
The analysis of the ransomware threat landscape from May 2021 to June 2022 resulted in some conclusions that can be regarded as takeaways for the community. | 2021年5月から2022年6月までのランサムウェアの脅威状況を分析した結果、コミュニティにとって収穫とみなせる結論がいくつか得られた。 |
7.1 LACK OF RELIABLE DATA | 7.1 不確実なデータ |
In general, ransomware security incidents are seldom reported. Most organisations prefer to deal with the problem internally and avoid bad publicity. Some countries have laws regulating the mandatory reporting of incidents, but in most cases a security attack is first disclosed by the attacker. | 一般に、ランサムウェアのセキュリティインシデントが報告されることはほとんどない。ほとんどの組織は、問題を社内で処理し、悪い評判を避けることを望んでいる。国によっては、インシデントの報告義務を規定する法律がありますが、ほとんどの場合、セキュリティ攻撃は攻撃者によって最初に公表される。 |
A recent legislative initiative in the United States requires the reporting of all security incidents and ransom payments to the Department of Justice Cybersecurity and Infrastructure Security Agency (CISA)[1]. In the EU, the arrival of the revised Network and Information Security Directive 2[2] and the enhanced notification provisions for security incidents is expected to support a better understanding of relevant incidents. | 米国では最近、すべてのセキュリティインシデントと身代金の支払いを司法省サイバーセキュリティおよびインフラセキュリティ局(CISA)[1] に報告することを義務付ける法律が制定された。EUでは、改訂されたネットワークと情報セキュリティ指令2[2] の到来とセキュリティインシデントの通知規定の強化により、関連インシデントの理解を深めるサポートが期待されている。 |
The lack of reliable data from targeted organisations makes it very hard to fully understand the problem or even know how many ransomware cases there are. To this day, the most reliable sources for finding out which organisations have been infected are the web pages of the ransomware threat actors. This lack of transparency is not good for the industry, since the majority of the data leaked, as was found in this report, is personal data that belongs to employees and customers. | 標的となる組織からの信頼できるデータがないため、問題を完全に理解することはもちろん、ランサムウェアの件数を把握することすら非常に困難である。今日に至るまで、どの組織が感染したかを知るための最も信頼できる情報源は、ランサムウェアの脅威を仕掛ける側のWebページなのである。この報告書にあるように、漏えいしたデータの大半は従業員や顧客の個人情報であるため、このような透明性の欠如は業界にとって好ましいことではない。 |
Even using the data from the web pages of threat actors (an undeniably unreliable source), it is very hard to keep track of the number of attacks, particularly because a large majority is ignored by the media, goes unreported by the victims and gets no coverage. The most important information that is missing is the technical explanation as to how the attackers obtained access to the targets. This is usually private data that describes the security posture of the target, so it is never shared with the public. As a consequence, our learning as a community of the problems to be solved remains fragmented and isolated. | 特に、その大部分がメディアによって無視され、被害者によっても報告されず、報道されないため、脅威アクターのウェブページからのデータ(紛れもなく信頼できないソース)を使用しても、攻撃の数を追跡することは非常に困難である。最も重要な情報は、攻撃者がどのようにしてターゲットにアクセスしたかという技術的な説明である。これは通常、ターゲットのセキュリティ状況を説明するプライベートなデータであるため、一般に公開されることはない。その結果、解決すべき問題についてのコミュニティとしての学習は、断片的で孤立したままになっている。 |
Lastly, the trend in RaaS makes it hard to identify the threat actor behind an attack, since now the ransomware tool and command and control are shared between many different affiliates and threat actor groups. | 最後に、RaaSのトレンドは、ランサムウェアツールとコマンド&コントロールが多くの異なる関連会社や脅威アクターグループの間で共有されているため、攻撃の背後にいる脅威アクターを特定することが困難になっている。 |
7.2 THREAT LANDSCAPE | 7.2 脅威の風景 |
The study conducted on ransomware attacks from May 2021 to June 2022 showed that on average more than 10 terabytes of data a month were stolen by ransomware threat actors. Our research shows that 58.2% of the stolen data contains personal data from employees. Given the sensitivity of such data, coordinated actions are needed to counter this threat. Ransomware threat actors are motivated mostly in terms of the acquisition of money, which increases the complexity of the attacks and, of course, the capabilities of the adversaries. | 2021年5月から2022年6月にかけて行われたランサムウェア攻撃に関する調査では、月平均10テラバイト以上のデータがランサムウェア脅威アクターに窃取されていることがわかった。当社の調査によると、盗まれたデータの58.2%に従業員の個人データが含まれている。このようなデータの機密性を考えると、この脅威に対抗するためには協調的な行動が必要である。ランサムウェアの脅威アクターは、金銭の獲得を主な動機としているため、攻撃の複雑さが増し、もちろん敵の能力も向上する。 |
In 94.2% of the incidents it is not known whether the company paid the ransom or not. However, 37.88% of the incidents had their data leaked on the webpages of the attackers, indicating that the ransom negotiations failed. This allows us to estimate that approximately 62.12% of the companies might somehow have come to an agreement or solution concerning the ransom demand. | 94.2%のインシデントにおいて、企業が身代金を支払ったかどうかは不明である。しかし、37.88%のインシデントでは、攻撃者のWebページにデータが漏えいしており、身代金交渉が失敗したことを示している。このことから、約62.12%の企業が身代金要求に関して何らかの合意や解決に至った可能性があると推定される。 |
Ransomware is thriving, and our research shows that threat actors are conducting indiscriminate attacks. Companies of every size across all sectors are affected. Anyone can become a target. We urge organisations to prepare for ransomware attacks and consider possible consequences before attacks occur. | ランサムウェアが盛んになり、脅威アクターが無差別に攻撃していることが当社の調査で明らかになった。あらゆる分野のあらゆる規模の企業が被害を受けている。誰もがターゲットになり得るのである。私たちは、組織がランサムウェアの攻撃に備え、攻撃が発生する前に起こりうる結果を考慮することを強く推奨する。 |
・[DOCX] 仮訳
« オーストラリア 子供向けサイバーセキュリティ (Cyber Security for Kids) | Main | 金融庁 寄稿 暗号資産交換所ビジネスの現状とモニタリングの方向性(金融財政事情 2022.05.17) »
Comments