｢言語の壁なくなり日本企業が標的に｣は本当か？ランサムウェアへの大誤解《攻撃者は｢致命傷負わせる｣情報を"ある方法"で精査し盗んでいる》

そして、世界中でランサムウェアによる被害が無視できなくなった結果、ランサムウェアグループに対する国際的な捜査網が展開されるようになり、ランサムウェアグループの代表格であったALPHV/Blackcat、LockBit、8Baseといった大手が日本の警察を含む国際的な捜査機関の協力によって、テイクダウン（無力化）された。

これらの状況から、ランサムウェアグループの実態としては、捜査機関の能力向上と企業による支払い拒否が増加したため、収益力は低下していると考えることができる。ならば、活動は減少するのか? とも考えられるが、前述したとおり、活動自体は増加している。

この増加の理由に効率性の向上の観点ではAI活用があるのだろう。私たち一般人が日々の業務にAIを使っているのだから、攻撃者がAIを使わない理由もなく、AI活用によって攻撃回数を底上げしていると考えるのは自然である。実際攻撃者がAIを活用している証跡はマルウェアのソースコード等から多数発見されている。

攻撃者のAI活用は脅迫能力向上へとつながる

ランサムウェアグループの目的は身代金を徴収することだが、企業側の支払い拒否もあり、全体の収益性は減少している。そのような中でユニークな取り組みを行っているのが大手飲料メーカに攻撃を仕掛けたQilinである。

彼らは「脅迫能力を高める」ために「Call Lawyer（弁護士を呼ぶ）」というサービスを提供している。これは攻撃対象から盗み出した情報の価値をQilinが用意した法律の専門家チームによって企業を脅迫する攻撃力の高い情報が何かを目利きするというものである。

そして、この「脅迫能力を高める」ためにデータの価値を分析するという領域はAIが得意とする部分であり、筆者はすでに攻撃グループがデータの価値分析にAIを活用している可能性があると推測している。

24年にリークサイトに掲載された国内企業のうち、データサイズを確認できたのは23件だった。この23件を分析すると、掲載されたデータの平均サイズは1271GBであり、最小は1.3GB、最大は6TBに及んでいた。つまり、ランサムウェアグループにとって盗み出した情報から、脅迫に使うデータを探すのは、広大な砂漠から、小さなダイヤモンドを探すような作業なのである。こういった作業に最も効果的なのがAIだ。

リークサイトは全世界の企業に関する盗み出した情報が掲載される場所であり、主に英語で構成されている。しかし、訪問者の中には英語が読めない者もいるだろうし、リークサイトの閲覧には通常特別なブラウザが用いられるため、翻訳機能が使われるとも限らない。

こういった理由があるためか、リークサイトに掲載される情報は「見た目」のインパクトが重視される傾向があった。パスポートや身分証明書等の意味はわからなくても、一目見ただけで「重要そうに見える」データが好んで掲載される傾向にあった。

しかし、言葉が理解できる人間が見ると価値のないデータも多数掲載されている。例えば、重要そうに見える請求書が一個人のAWS資格試験の請求書だったということもある。確かに個人情報ではあるが、この情報のために身代金を支払う企業はほぼ存在しないだろう。

ただ、最近日本企業から盗み出されたデータは、どれも重要と考えられるものが厳選されていた。盗み出された情報の項目（氏名、電話番号等の項目）を参考にして、他ツールで生成したダミーの情報に置き換え、疑似ファイルを作成し、生成AIで法律の観点、営業機密の観点で分析した結果、即座に重要度の高いデータであるとの回答を得ることができた。

情報を盗み出した国の言語や文化、法律がわからなくても、生成AIに分析を依頼すれば、盗み出した数GBに及ぶ膨大なデータの中から、企業を脅迫する価値の高いデータを見つけることが誰でも簡単にできるようになったということを企業側は理解する必要があるだろう。