ランサムウェアの「身代金追跡」に有効なブロックチェーン分析ツール

進化するビジネスモデルとリモートワークへの急速なグローバルシフトは、暗号通貨の使用の増加と相まって、あらゆる業種・業態に新たなランサムウェアの脅威を生み出しています。しかし、それを放置せず、被害の甚大化に対抗しなければなりません。
本稿では、ランサムウェアの対策に有効な、ブロックチェーン分析ツールという強力な新機能について解説します。

ランサムウェアとは、コンピュータシステムや貴重なデータへのアクセスを遮断する悪質なソフトウェアの一種であり、通常、ビジネスに不可欠なプロセスを麻痺させます。サイバー犯罪者は、規模の大小にかかわらず、企業に対して暗号資産での支払いを要求し、かつてないほどの利益を得ています。しかし、ブロックチェーン分析の専門家たちは「身代金の追跡」、すなわち、不正な資金の動きを追跡するためのソリューションや新たな防御策を模索しています。例えば、米国の捜査当局は5月に心強い突破口を開き、ブロックチェーン分析の力を活用して、米国のエネルギー大手コロニアル・パイプライン社への攻撃で支払われた440万米ドルのうち230万米ドルを迅速に回収しました。

ブロックチェーン分析企業のチャイナリシス社によると、ランサムウェアに関連するアドレスは、2020年に記録的な4億600万米ドルを集めており、その後2021年5月10日時点で、少なくとも8,100万米ドルの暗号資産を強奪しています。チャイナリシス社は、企業が増加傾向にある高額なランサムウェア攻撃の報告を行わないことが多いため、実際の被害額はもっと大きいだろうと指摘しています。
従業員が在宅で仕事をしている間に、身代金要求型攻撃を含むサイバー犯罪が増加したと報告している企業は、全体の41％に上ると言われています。前述のコロニアル・パイプライン社の例を挙げると、2021年5月にランサムウェア攻撃を受けて米国内の石油・ガスの供給が停止した際、同社はネットワークのロックを解除するために440万米ドルのビットコインを支払いました。

最新のデータによると、ランサムウェアの被害者の多くは、ビジネスの中断や損害を抑えるために支払いを行っているようです。世界的な保険会社であるヒスコックスグループは「2021 Cyber Readiness Report」の中で、被害を受けた顧客の約60％が支払いを行っていると述べています。
サイバーセキュリティ企業のソフォス社が5,000社以上の組織を対象に行った調査結果によると、身代金を支払った企業のうち、平均して暗号化されたデータの65％しか復旧できておらず、29％はデータの半分しか復旧できていません。ソフォスは、調査対象となった企業の37％が過去1年間にランサムウェアの被害に遭ったと報告しており、ソフォスはこれを今日のビジネスにとって「重大な脅威」と呼んでいます。

ランサムウェアの攻撃は、ますます巧妙になっています。企業を麻痺させるためにデータを暗号化するだけでなく、最近のハッカーは身代金を要求して機密データや業務上のクリティカルなデータを「流出」させたり、盗み出したりすることが多くなっています。身代金が支払われない場合は、データが公開されます。
一方、いわゆる「コモディティマルウェア」は、低レベルのマルウェアとして業務システムの中に現れることもありますが、ターゲットにアクセスして貴重なデータを収集し、それを攻撃者と共有して恐喝を企てるように設計されています。
また、暗号資産とランサムウェアの組み合わせは、組織的な犯罪集団にとって強力なツールとなっています。現実には、ランサムウェアは犯罪者に高い投資収益率をもたらしており、暗号資産市場の流動性が急速に高まっていることで、企業に対する有利な攻撃の機会が増えています。

ブロックチェーン分析ツールは、当局や仮想通貨関連事業者、暗号資産に関連するサービスを提供する企業、コインベース（Coinbase）のような暗号資産取引所が、取引を監視し、身代金攻撃に関連する疑わしいパターンや明らかになるパターンを検出するために使用されるケースが増えています。

ビットコインは、2021年時点において、攻撃に最も使われている暗号資産であり、暗号資産の中でも最も検出しやすいと考えられているため、最終的にブロックチェーン分析ツールで悪意のある行為者が行った手順を追跡することが容易になっています。
専門家は、ビットコインが完全な匿名ではなく、「疑似的な匿名」であるという事実を利用することができます。すべての取引はパブリックなビットコインのブロックチェーン上で見ることができ、取引データには送信者や受信者の真の身元に関する情報は含まれていませんが、ビットコインのアドレスは身元を知る手がかりとなります。

ブロックチェーン分析のプロバイダーは、資金の送り手と受け手を特定するために、ブロックチェーン外の情報（「オフチェーンデータ」と呼ばれる）を集約します。これを実現するために、アナリティクスは過去のブロックチェーンデータを分析し、善玉・悪玉の行為者や技術に関する知識と組み合わせて、取引パターンを検出します。これにより、不正行為者のブロックチェーンアドレスを特定することが可能となり、不正な資金を追跡するための重要な手掛りとなります。

洗浄された暗号資産は通常、犯罪者が暗号資産を法定通貨に変換する際に、暗号取引所を経由して銀行に送られます。その過程で、犯罪者は「ミクサー」と呼ばれる非準拠の取引所を利用して自分の足跡を隠し、ビットコインを他のユーザーと混ぜて発見を困難にすることができます。また、ハッカーは、ピア・ツー・ピア（P2P）プラットフォームを利用して、他の人と暗号化資産を交換することで、当局の目を避けることができます。また、攻撃者は、不正な資金を難読化するために「ピールチェーン」パターンを使用します。基本的に、身代金の資金が通過する複数のビットコインウォレットを連鎖させて、不正に入手した暗号資産の痕跡を隠します。

典型的なアンチマネーロンダリングの技術やシステムとは一線を画すブロックチェーン分析ツールは、仮想通貨関連事業者や当局が暗号ウォレットや取引をスクリーニングして、不正な活動との関連性を確認するのに役立ちます。また、ユーザーがやり取りしているアドレスのリスクスコアを提供し、理想的には、ユーザーがリスクを特定、管理、軽減できるようにします。これにより、企業はシステムを介した不正資金の洗浄を防止したり、そのような活動を検知して当局に報告したりすることができます。

ブロックチェーンツールは、ランサムウェア攻撃の魅力を低下させる上で進歩をもたらします。冒頭で述べたように、米国の捜査当局は、コロニアル・パイプライン社への攻撃で支払われた数百万ドルを回収することに成功しました。身代金の支払いから数日以内に、ブロックチェーン分析企業のエリプティック社は、支払いを受けたビットコインウォレットを特定し、そのウォレットが3月以降にビットコインの支払いを受けていたことを確認し、支払いの大半は移動されたものの、約200万米ドルが同じ口座に残り、FBIに押収されました。

ベライゾン社の調査によると、ランサムウェアのキャンペーンの最大90％は、既知の脆弱性をターゲットにして初期アクセスを得るというものです。
また、サードパーティリスクについても注意が必要です。攻撃を受けた場合やパンデミックによるサプライチェーンの混乱の中で、サプライヤーの変更が十分な厳密さを欠いたまま迅速に行われることが多く、これが新たな脅威となっています。

このような課題は、今日の在宅勤務のトレンドに伴い、クラウドサービスの導入が大幅に増加する中で加速しています。クラウド技術やビジネスネットワークに瞬時にアクセスできるツールは、企業にとって非常に便利であると同時に、潜在的な攻撃者にとっても便利なものです。
さらに悪いことに、サービスとしてのランサムウェア（RAAS：Ransomware As A Service）は、悪意のある行為者の効率を高めています。基本的に、誰かが攻撃に使用する一連のツールをパッケージ化することで、サイバー犯罪者は侵害された組織内のデータを密かに暗号化し、身代金を要求することができます。
最終的に企業は、攻撃後に、それらがどのように発生したかを正確に把握する必要があります。企業は身代金を支払えば問題は解決すると考えがちですが、実際には攻撃者が新たな要求をしてくることがよくあります。

また、暗号資産取引所にも適切な管理体制が求められています。ハッカーが入手したビットコインが取引所に流れた場合、その取引所は、違法に入手したビットコインやその他の暗号資産を追跡し、理想的にはそれを特定するための管理とマネーロンダリング防止策を実施する必要があります。銀行や仮想通貨関連事業者も、ランサムウェア攻撃による資金がプラットフォームに流入するのを防ぐために、防御力とその能力を高める必要があります。

企業は、問題を検出し、ランサムウェアがビジネスネットワークを介して拡散するリスクを回避するために、今日の再構築された企業全体で出現している多様な攻撃手法のすべての防御を強化する必要があります。

KPMGのサイバー専門家は、さまざまな分野のクライアントと協力して、今日の脅威に立ち向かっています。ここでは、サイバーセキュリティ、サイバーリスク管理、サイバーレジリエンスを向上させるために有効な行動について紹介します。

現在のセキュリティ対策

• 企業、取引所、銀行は、今日の特定の暗号資産サービスとリスクの管理に適応したブロックチェーン分析ツールとAMLコントロール導入を検討する必要があります。
• システムやデータの損失がビジネスに与える潜在的な影響を評価し、対応するアクションプランを作成してテストを行います。
• 新型コロナウイルス感染症後の業務に対応したセキュリティ意識向上のためのトレーニングやリソースを更新します。
• ID、認証、ITシステムへのアクセス権限をチェックします。エンドポイントセキュリティ対策（EDR）機能と、ログの記録、監視できる内容を確認します。
• インシデントへの対応力とバックアップを確認し、対応について十分にテストするため、ホワイトハッカーにハッキングをさせます。

今後のセキュリティ対策

• 甚大な被害をもたらす攻撃が進化・拡散していく中で、リスクに対応するための防御策や対策の継続的な開発が必要です。銀行は、身代金要求攻撃に関連して顧客が違法な通貨を受け取ることで、リスクに直面しています。
• すべてのテクノロジーの変更にエラーがないかを評価し、リモートワーク環境に新たな脆弱性がないかを調べます。プロセスの変更や技術の革新が、「内部の脅威」のリスクをどのように高めるかを検証し、すべてのIT導入プロセスにセキュリティを組み込み、エラーや脆弱性に可能な限り早期に対処できるようにします。
• 組織に最も大きな影響を与えるシナリオに基づいて演習を行います。正確かつ包括的な評価プログラムを導入し、関連する脅威や攻撃手法に対する防御力と対応能力について定期的にテストを行います。
• クラウドサービスの導入と拡大が、セキュリティ責任の共有に関してどのような意味を持つのかを正確に理解する必要があります。

急増するランサムウェアの脅威に賢明かつ積極的に対応することは、ビジネスの継続性にとって重要であり、潜在的に破壊的な傾向が続く中、防御と対応戦略の強化は一刻を争うと言えるでしょう。

本レポートは、KPMGインターナショナルが、2021年8月に発表した「Blockchain analytics tools offer new ways to ‘follow the money’ in ransomware cases」を翻訳したものです。翻訳と英語原文間に齟齬がある場合には、当該英語原文が優先するものとします。

原文はこちらから（英語）
Blockchain analytics tools offer new ways to ‘follow the money’ in ransomware cases