Last Updated on 2025-05-22 09:23 by admin
セキュリティベンダーDragosの2025年5月22日に発表されたレポートによると、2025年第1四半期に世界中の産業組織に影響を与えたランサムウェアインシデントは708件に達し、2024年第4四半期の約600件から18%増加した。
北米では360件から413件へ、欧州では102件から135件へと増加している。特に製造業部門が標的となっており、全体の68%(480件)を占めている。
主な被害事例として以下が報告されている
1. Unimicron Technology(台湾PCBメーカー)
2025年1月30日に攻撃を受け、2月1日に公表
Sarcomaランサムウェアグループによる攻撃
攻撃者は377GBのファイル(SQLファイルを含む)を盗んだと主張
2月11日にTorベースのリークサイトに掲載され、身代金が支払われなければデータを公開すると脅迫
2. 南アフリカ気象サービス(SAWS)
2025年1月28日に攻撃を受ける
航空、海洋、農業部門に大きな影響を与える重要な気象予報サービスに深刻な混乱が発生
予報のために代替チャネルに頼らざるを得なくなり、重要な気象データや警報のタイムリーな配信が厳しく制限された
3. National Presto Industries(米国ウィスコンシン州の家電企業)
2025年3月1日に攻撃を開示
製造、出荷、受け取り、バックオフィス機能を含む主要な運用領域に混乱が生じた
4. Lee Enterprises(米国メディア企業)
2025年2月3日に攻撃を確認
Qilinランサムウェアグループが犯行声明
ファイルの暗号化とデータ窃取が行われた
重要な新聞印刷サービスの混乱により、印刷版の遅延やキャンセル、運用システムに影響を与える数週間にわたる停止が発生
Dragosのレポートによると、2025年第1四半期にはCl0pランサムウェアによるインシデントが2024年第4四半期の2件から154件へと急増した。これは主にCleo Managed File Transfer脆弱性の悪用によるものである。
References:
Unimicron, Presto Attacks Mark Industrial Ransomware Surge
【編集部解説】
2025年第1四半期に産業部門で急増したランサムウェア攻撃について、セキュリティベンダーDragosの最新レポートが明らかにした内容は、私たちが注目すべき重要な警鐘を鳴らしています。
Dragosの報告によると、2025年第1四半期の産業組織へのランサムウェア攻撃は708件に達し、前四半期の約600件から18%増加しました。特に北米では360件から413件へと増加し、欧州でも102件から135件へと上昇しています。これは単なる数字の増加ではなく、攻撃の洗練度と複雑さが進化していることを示しています。
注目すべきは、製造業が依然として最も標的にされている部門であり、全体の68%(480件)を占めているという点です。これは前四半期の70%(424件)とほぼ同水準ですが、絶対数としては増加しています。製造業が標的となる理由として、生産ラインの停止が直接的な経済損失につながるため、身代金支払いの可能性が高いと見なされていることが考えられます。
今回のレポートで特筆すべきは、ランサムウェアグループの戦術が多様化している点です。特にAI駆動型マルウェアの登場は、従来のセキュリティ対策を回避する能力を高めています。FunkSecというグループはAIを活用して断続的な暗号化と洗練されたコード難読化技術を採用し、従来の検出手法をすり抜けています。
また、「暗号化なしの恐喝」という新たな手法も登場しています。これはファイルを暗号化せずにデータを盗み出し、公開すると脅す手法で、バックアップからの復旧という対策を無効化するものです。このような二重恐喝(Double Extortion)戦術は、被害組織に二重の圧力をかけることになります。
さらに懸念されるのは、国家支援型の攻撃グループとランサムウェアグループの境界が曖昧になっていることです。Dragosのレポートでは、Moonstone SleetというグループがQilinランサムウェアを使用した事例が挙げられています。これは国家が支援する高度な持続的脅威(APT)グループがランサムウェアを「カバー」として使用し、その真の目的を隠蔽している可能性を示唆しています。
特に重要インフラへの攻撃は社会全体に深刻な影響を与える可能性があります。南アフリカ気象サービス(SAWS)への攻撃は、気象予報サービスの混乱を引き起こし、航空、海洋、農業部門に大きな影響を与えました。このような攻撃は単なるデータ損失や金銭的損害を超えて、公共サービスの提供に支障をきたし、場合によっては人命にも関わる問題となり得ます。
また、Unimicronへの攻撃は、グローバルサプライチェーンの脆弱性を浮き彫りにしています。台湾のPCBメーカー大手であるUnimicronは、世界中の電子機器メーカーに部品を供給しています。このような企業への攻撃は、下流の製造業者にも連鎖的な影響を及ぼす可能性があります。
防御側にとって重要なのは、これらの攻撃が主に認証情報の窃取、ブルートフォース攻撃、リモートアクセスツールの悪用によって開始されるという点です。Black Basta、RansomHub、DragonForceなどのグループは、VPN、ファイアウォール、リモートデスクトップサービスなどのネットワーク境界デバイスを標的にした自動化されたブルートフォースフレームワークを活用しています。
特に注目すべきは、Black Bastaのチャットログから明らかになった「BRUTED」と呼ばれる自動ブルートフォースフレームワークの使用です。このツールはPalo Alto Networks GlobalProtect、Cisco AnyConnect、Fortinet SSL VPNなどの広く使用されている企業のエッジデバイスを標的にし、弱いパスワードや再利用されているパスワードを迅速に特定して悪用することを可能にしています。
Cl0pランサムウェアによるインシデントは、2024年第4四半期のわずか2件から2025年第1四半期には154件へと急増しました。これは主にCleo Managed File Transfer脆弱性(CVE-2024-50623およびCVE-2024-55956)の悪用によるものです。Cl0pは、この攻撃キャンペーンにより300以上の被害者が出たと主張しており、そのうち154件が製造業、食品・飲料業、輸送業などの産業部門に関連しています。
このような状況下で企業が取るべき対策として、Dragosは堅牢な多要素認証(MFA)の実装、重要なネットワークポイントの厳格な監視、安全なオフラインバックアップ、およびリモートアクセス管理プロトコルの強化を推奨しています。また、包括的なトレーニングプログラム、ネットワークアーキテクチャの定期的なレビュー、およびAI駆動型検出ソリューションの採用も効果的な対策となるでしょう。
今後の展望として、ランサムウェア攻撃はさらに洗練され、AIの活用によって検出が困難になる可能性があります。また、重要インフラを標的とした攻撃が増加することで、国家安全保障の観点からもサイバーセキュリティの重要性が高まるでしょう。企業はこれらの脅威に対応するため、セキュリティ投資を増やし、従業員のセキュリティ意識を高める必要があります。
最後に、このような攻撃の増加は、デジタル社会の脆弱性を示すとともに、サイバーセキュリティが単なるIT部門の問題ではなく、経営レベルの重要課題であることを改めて認識させるものです。企業はサイバーレジリエンスを高め、攻撃を受けた際の事業継続計画を整備することが不可欠となっています。
【用語解説】
PCB(Printed Circuit Board):
プリント基板。電子機器の中で電子部品を接続する基板のこと。スマートフォンやパソコンなど、ほぼすべての電子機器に使用されている。
ランサムウェア:
コンピュータシステムをロックしたり、データを暗号化したりして使用不能にし、「身代金」を要求するマルウェア。近年は単にデータを暗号化するだけでなく、データを盗み出して公開すると脅す「二重恐喝」が主流となっている。
ICS(Industrial Control System):
産業制御システム。工場や発電所、水道施設などの重要インフラを制御するためのシステム。
OT(Operational Technology):
運用技術。産業プロセスや物理的な機器を監視・制御するためのハードウェアとソフトウェア。従来はITネットワークと分離されていたが、近年は統合が進んでいる。
PLC(Programmable Logic Controller):
プログラマブルロジックコントローラ。工場の生産ラインなどで使用される産業用制御装置。
多要素認証(MFA):
パスワードだけでなく、スマートフォンのアプリや物理的なセキュリティキーなど、複数の認証要素を組み合わせてアクセスを制御する方法。
二重恐喝(Double Extortion):
ランサムウェア攻撃で、データを暗号化するだけでなく、事前にデータを盗み出し、身代金を支払わなければそのデータを公開すると脅す手法。
ゼロデイ脆弱性:
まだ修正パッチが公開されていない、一般に知られていない脆弱性のこと。攻撃者はこれを悪用して、ユーザーが対策を講じる前にシステムに侵入できる。
CVE(Common Vulnerabilities and Exposures):
公開された情報セキュリティの脆弱性や危険性に関する共通識別子。例えばCVE-2024-50623は、Cleo Managed File Transferソフトウェアの特定の脆弱性を指す。
【参考リンク】
Dragos, Inc.(外部)
産業用サイバーセキュリティに特化した企業。ICS/OTシステムの脆弱性診断やセキュリティ監視サービスを提供
Unimicron Technology Corporation(外部)
台湾に本社を置く世界最大級のPCBメーカー。スマートフォンやコンピュータ向けの高密度相互接続基板を製造
South African Weather Service (SAWS)(外部)
南アフリカの国立気象サービス。気象予報や気候データの提供を行う政府機関
【編集部後記】
皆さんの組織では、サイバーセキュリティ対策はどのように進められていますか?特に製造業や重要インフラに関わる方々は、IT部門とOT部門の連携体制はいかがでしょうか。最新のランサムウェア攻撃は、従来の境界を越えて広がっています。「うちは標的にならない」と思っていた組織も、今一度セキュリティ体制を見直す良い機会かもしれません。皆さんの組織での取り組みや課題について、ぜひSNSでお聞かせください。
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
