アサヒ､アスクル…大企業に頻発するランサムウェア攻撃､何が起きているのか？現代ならでは｢被害が大きくなりやすい｣要因

まず、25年に入ってQilinの活動が活発化しており、被害報告が増えているのは事実だ。だが、Qilinはランサムウェアの名前として使われることもあれば、Qilinランサムウェアを利用するグループを指す言葉としても使われる。

現在のランサムウェア攻撃は、RaaS（Ransomware as a Service）と呼ばれるプラットフォームによって行われる。実際の攻撃はプラットフォーム利用者が行い、身代金をプラットフォームとシェアする形が主流だ。

したがって、Qilinランサムウェアの被害を受けたからといって、同じ攻撃者、攻撃グループによるものとは限らない。

次に、このようなRaaSによる攻撃は世界レベルで見ると、悲しいかな日常茶飯であり、日本だけ特別に被害が増えているとはいいがたい。アメリカのセキュリティ企業CYFIRMAの8月のレポートでは、25年は2月にランサムウェア攻撃のピークがあり、その後8月まで500件以上の前年比で高い数字の推移を記録している。

9月の主立った企業だけでもジャガー・ランドローバー、Collins Aerospaceなどが大きな被害を発生させている。Collins Aerospaceは、ヒースロー空港の発券システムに影響が及び大きな混乱を招いた。

このように、視点をグローバルに向ければ、アサヒHDやアスクルのような事例が、特殊とはいえない。同様の攻撃は各地で発生している。被害が大きくなったのは、前述したとおり、現在の企業システムやインフラが複雑化しているためである。特定の組織やグループが日本企業を狙ったというより、無数の攻撃アクターやアフィリエイトの攻撃が9〜10月に日本で2件連続して成功したと判断するほうが自然だ。

「見えない敵を正しく怖れて」対策を

暴露型・二重脅迫型のランサムウェアの攻撃では、脅迫に使うデータの存在や対処も重要だ。

攻撃者は、脅迫を極大化させるため、窃取した情報の一部を公開しつつ、標的を動揺させる。たとえは適切でないかもしれないが、誘拐した人質の指や歯を送りつけるようなものだ。

また、情報の一部公開や犯行声明などで世論や大衆を扇動する。ニュース報道やネットの情報を見た一般人が、興味本位で被害や公開された情報を拡散するのは、まさに攻撃者が想定するシナリオだ。騒ぎが大きくなるほど、被害者は身代金交渉で不利な立場に立たされる。

だが、攻撃者側が絶対的に有利とは限らない。脅迫がはったりではないことを示すためには、被害者には重要なデータを持っていると認識させる必要がある。そのため小出しに情報をリークしていくことがあるが、ひょっとすると、それ以上のデータを持っていない可能性さえある。隠し玉がどこまであるのかは交渉での探り合いになる。