偽造した顔で就職面接？ 増額するランサムウェア要求額、偽データを用いた脅迫……2024年の実例に見る｢脅威動向｣と３つの被害主因まとめ

このように、ランサムウェアの攻撃者たちは次々と戦術を変えている。彼らの手法は、攻撃しやすくかつ最大の利益を得られる組織を狙う「機会主義的」だと考えられる。あくまでも“狙いやすいところから狙っている”ことを裏付けるように、実際にはデータを窃取していないが、過去あるいは偽のデータを用いて身代金の支払いを迫る事例も確認できた。

例えば2025年3月、アメリカの複数の企業経営陣にランサムウェアグループ「BianLian」を名乗る脅迫状が届いた。しかし、実際にはシステムへの侵入は確認されず、送り主がBianLianである証拠も出てこなかったという。米連邦捜査局（FBI）はこれを詐欺だと結論づけている。

BianLian を装った身代金要求の封筒（出典：Bleeping Computer）

また、悪名高いランサムウェアグループ「Babuk」だと偽って、すでに解決した過去の恐喝で使われたデータを再利用して、60件以上の企業に再び脅迫を行ったケースも報告されている。

北朝鮮関連の事案は前年比3倍、偽人物で就職面接も

北朝鮮の国家支援型脅威アクターがIT技術者として組織に侵入する事案が増加している。例えば、リアルタイムのDeepfake技術を活用して顔を偽造し、リモートワークが可能な職種の面接に応募して企業・組織に侵入する手口だ。

採用された後は企業のネットワークに潜り込み、窃取した独自のデータやコードを人質にして、「身代金を支払わない限り、情報を漏洩する」と恐喝したり、一部の事例では、被害企業の独自コードを公開したことも確認された。GitHubなどの企業コードリポジトリ（ソフトウェア開発におけるソースコードなど）を、自身のユーザープロファイルや個人用クラウドアカウントにコピーしていたことも判明している。

採用面接に使われた偽の合成アイデンティティ（リアルタイムのDeepfake）について、Unit 42の調査では、市販のツールと安価な消費者向けハードウェアを使えば、わずか1時間ほどで作成可能であった。

就職面接中の人物だが、2人ともDeepfakeを用いて作られた偽の人物（出典：Daniel Grek Sanchez CastellanosおよびBettina Liporazzi）

さらに、近年は“サービスとしてのランサムウェア（RaaS）”にも注意が必要だ。RaaSでは、ランサムウェア攻撃に必要なツールがダークウェブで販売・入手できてしまう。これにより、技術力が足りなくても、短期間で高度な攻撃を展開できるようになった。