John Fokkerの講演はどれも非常に刺激的でしたが、特に印象に残ったのがRaaSに関するセッションでした。
彼はこう言いました──RaaSは「生きている」と同時に「死につつある」。この曖昧な状態こそが、今の実態をよく表していると。
世界の潮流:摘発から“信用破壊”の時代へ
過去1年半、FBIによるHiveへの介入、英国NCAによるLockBit作戦など、各国の法執行機関がランサムウェアグループの摘発を強化しています。注目すべきは、単にインフラを破壊するのではなく、内部不信を生み出し、評判を失墜させる戦術をとっている点です。敵の“ペルソナ”を破壊する──このアプローチは、確かに一定の成果を上げつつあります。
サービスからネットワークへ:ブランド化とローンウルフ化の進行
RaaSのエコシステムも変化しています。1月と8月に観測されたリークサイトの数は明らかに変動し、大手グループは姿を消し、小規模かつ機動力のあるプレイヤーが台頭しています。もはや「サービス」ではなく、「ネットワーク」や「ブランド」がRaaSの実態に近いのです。
RansomHubとアフィリエイト構造の複雑化
その代表格がRansomHubです。クリスティーズへのランサムウェア攻撃をはじめ、影響力を持つ事件に関与し、他のアフィリエイト(旧BlackCatなど)を巻き込むことで勢力を拡大しています。
RansomHubは、2023年中盤から台頭し始めた比較的新しいプレイヤーでありながら、積極的なアフィリエイト受け入れ戦略と迅速なリーク活動により、その存在感を急速に拡大しています。特に、他グループが法執行機関の摘発や内部抗争により活動を停滞させる中、RansomHubは安定した「代替ホスティング先」として機能しており、地下経済における“信頼の再構築”の受け皿ともなっています。
ここで重要なのは、これらの脅威グループが従来のような“ギャング”ではないという点です。むしろ、SpotifyやApple Musicのように、ユーザーが一時的に利用する「サービス」として機能しているのです。
クリスティーズへのランサムウェア攻撃とは?
2023年に注目を集めた劇場型キャンペーンは、RansomHubのブランド力を一気に押し上げた事例です。これは、視覚的にインパクトのあるリークページと、多層的な脅迫メッセージを組み合わせた“演出型”の脅迫手法であり、単なる技術的攻撃にとどまらず、「恐怖」と「注目」を戦略的に設計したものでした。
このキャンペーンでは、被害企業のロゴを大胆に使用したり、従業員の個人情報をほのめかす文脈で公開するなど、情報戦の側面が強調されました。また、サイバー犯罪フォーラムでもそのスタイルが模倣され、一種の"トレンド"となった点でも重要です。RansomHubはこのような攻撃手法のブランディングを通じて、単なる脅威集団から“演出のうまいプロバイダー”へと進化したと言えるでしょう。
詳細:Christie’s Hit With a Class Action Lawsuit Weeks After Its Data Was Hacked
バイナリは氷山の一角:見逃されがちな“前段階”
「バイナリを止める」とは、具体的には以下のような対応を指します。
- アンチウイルスやEDRでランサムウェアの実行ファイルをブロックすること
- マルウェアのシグネチャ検知によるリアルタイム防御
- サンドボックスで実行挙動を検査し、危険性があれば遮断すること
一見すると合理的ですが、これは攻撃が「バイナリの実行から始まる」ことを前提にした対策です。
未だに「バイナリさえ止めればランサムウェアは防げる」と考える組織が多く存在します。しかし、バイナリが動く前に、すでに攻撃者はドメイン認証情報を取得し、EDRやXDRのバイパスに成功しているケースが大半です。必要なのは“行動ベース”の監視と可視化です。
ドメイン認証とEDRバイパスが招いた侵害
事例1:BlackByteランサムウェアによるドメイン認証情報の悪用
Microsoftによると、BlackByteランサムウェアの攻撃者は、バイナリ内にハードコードされたドメイン管理者の認証情報を利用して、ネットワーク全体にランサムウェアを展開しました。この攻撃では、PsExecを使用してネットワーク内の他のシステムにランサムウェアを展開し、EDRの検出を回避しました。
事例2:MedusaランサムウェアによるEDRバイパス
ReliaQuestによると、Medusaランサムウェアの攻撃者は、VPNアカウントの認証情報を悪用してネットワークに侵入し、NTDSのダンプを通じて追加の認証情報を取得しました。その後、RDPを使用してラテラルムーブメントを行い、EDRをバイパスするために脆弱なドライバーをインストールしました。
事例3:AkiraランサムウェアによるEDR回避のためのウェブカメラの悪用
S-RMによると、Akiraランサムウェアの攻撃者は、EDRによってWindowsシステムでの暗号化が阻止された後、セキュリティ対策が施されていないLinuxベースのウェブカメラを利用してネットワーク上のファイルを暗号化しました。この手法により、EDRの検出を回避しました。
ランサムウェアブランドの急増とスピンアウト構造
2024年1月時点で確認されていたランサムウェアブランドは約50種。それが今では200種以上にまで増加しています。その背景には、大手グループからのスピンアウトと、攻撃者の”起業家的”マインドが見え隠れします。
暗号化の限界とデータ恐喝へのシフト
暗号化の高度化が進む一方で、本来は“データを復号可能にする”はずのマルウェアが、設計ミスや操作ミスによって、復号できず、データが完全に破壊されてしまう「ワイパー化」(wipe)も増加しています。結果として、多くの攻撃者は暗号化を捨て、データを盗み、それを脅迫材料とする「データ恐喝」モデルへと移行しつつあります。
データ恐喝モデルの適用事例
2023年後半に確認された医療系サービスプロバイダーへの攻撃事例では、攻撃者はランサムウェアを展開せず、患者データおよび内部文書の大量窃取にとどめ、暗号化処理を一切行いませんでした。彼らはその後、被害組織に対し「支払わなければ特定患者の診療記録を漏洩させる」と脅迫。さらに、プライバシー法違反による法的罰金の可能性を示唆し、企業内部のリーク対応チームを分断しようとする心理戦も仕掛けていました。
このように、暗号化を経ずに恐喝だけを行う“純粋なデータ恐喝”は、組織のガバナンスの隙間を突く新しいビジネスモデルとなっています。
Change Healthcareへの攻撃
2024年2月、米国の医療関連企業Change Healthcareがランサムウェア攻撃を受け、約1.9億人分の個人情報が窃取されました。攻撃者は、窃取したデータを販売すると脅迫し、身代金を要求しました。この攻撃では、データの暗号化よりも恐喝に重点が置かれていました。
詳細: Change Healthcare Responding to Cyberattack
法規制強化と脅迫戦術の高度化
プライバシー法や罰金制度の強化により、リークリスクは企業にとって死活問題です。この構造を逆手に取り、「支払わなければ制裁が来る」と脅迫する手法も出現しています。
近年、各国で個人情報保護法(GDPRやCCPAなど)やデータ漏洩に対する罰金制度が強化されています。たとえばEUのGDPRでは、重大な違反に対して年間売上高の4%または2,000万ユーロのいずれか高い方が罰金として科される可能性があり、これは大企業にとっても非常に大きなリスクです。
アジア地域でも、日本の改正個人情報保護法や韓国のPIPAなどにより、情報漏洩に対する報告義務と制裁措置が厳格化されています。米国では州ごとに異なるが、カリフォルニア州のCCPA/CPRAでは消費者のデータ使用に対する訴訟リスクが顕在化しており、組織にとってデータ漏洩が「レピュテーションリスク」だけでなく「法的・経済的リスク」として定量化されるようになりました。
このような規制の厳格化により、攻撃者は「データ漏洩=法的罰則」という構図を逆手にとって脅迫するようになっており、金銭的被害だけでなく、経営判断やブランド価値にも大きな影響を与えています。
なぜ犯罪者を信用するのか?
最も伝えたいのは、「一度支払ったら終わりではない」ということです。彼らは戻ってきます。それが彼らのビジネスモデルであり、交渉の対象にはなりえないのです。
生成AIとサイバー犯罪:同じスタートラインに立つプレイヤーたち
ChatGPTの登場以降、私たちは“サイバーAIレース”に放り込まれました。政府も、企業も、ハッカーも、犯罪者も、誰もが同じスタートラインに立っています。
今、フィッシングメールの自動生成やマルウェアコードの作成補助など、生成AIは犯罪側にも“使えるツール”として認識され始めています。ただし、それが「ゲームチェンジャー」になっているかといえば、現時点ではそうではありません。
AIは主にポイントソリューションとして使われており、即効性のある分野(例:フィッシング、脆弱性スキャナの作成、サンドボックス回避)で活用されています。
生成AIのサイバー攻撃分野への実装事例
フィッシングメールの自動生成:あるフォーラムで観測された事例では、ChatGPT APIを使って特定企業の従業員を対象とした業務メールを装い、完璧な文法で書かれたフィッシングメールが大量生成されていました。これにより従来の機械翻訳的な“怪しい日本語”が排除され、検知が困難になっています。
脆弱性スキャナの開発補助:オープンソースのLLMを使って、CVEの仕様を基にPoCコードを半自動で生成するツールがGitHub上で共有された事例もあります。これにより、技術的リテラシーの低い攻撃者でも、比較的簡単に既知脆弱性を検出・攻撃する環境が整いつつあります。
サンドボックス回避スクリプトの生成:生成AIに「短時間しか実行されないマルウェアを生成せよ」といったプロンプトを与え、動作環境を検出して“停止”する機能付きマルウェアのコードが生成された事例もあります。これはサンドボックス型EDRに対する認識回避策として用いられました。
クローズドモデル vs オープンソース
OpenAIやGeminiといった企業モデルは強力ですが厳しく監視されているのに対し、オープンソースモデルは犯罪者にとって“自由な実験場”となっています。
音声偽造、選挙妨害、偽情報の拡散……これらのリスクはむしろオープンなモデルから生まれる可能性が高いのです。
結論:これは「レース」だ
これは終わりなきレースです。10kmか、ハーフマラソンか、フルマラソンかさえ分からない。しかも、誰がどこまで走っているかも見えない。
だからこそ重要なのは、政府・企業・社会がどう連携し、共に走り抜くことができるかどうかです。
John Fokker 氏の講演は、その示唆に満ちていました。
私たちは、生成AI・サイバー犯罪・脅威インテリジェンスという三位一体の戦場に、今、立っています。
