The Reality of Ransomware Attacks in Agriculture - Global Ag Tech Initiative

https://www.globalagtechinitiative.com

この分野の企業がランサムウェア攻撃を受けると、食品生産やサプライチェーンに大きな影響を与える可能性がある。食料供給が脅かされ、消費者や社会に甚大な被害が出かねない。

レポートでは金銭が主な動機とされているが、一部の攻撃者は意図的に重要インフラを狙う可能性もある。食料生産の中枢システムが攻撃されれば、深刻な事態に発展するリスクがある。

食品・農業分野の中小企業では、ITシステムが古く対策が十分でないケースが多い。ランサムウェア対策への投資が遅れがちなのが実情だ。

ランサムウェア攻撃から得られる収益が年々増加しており、サイバー犯罪集団にとってこの手口はリスクが低く魅力的になっている。

ランサムウェアは年々進化しており、単なるデータ暗号化だけでなく、データ流出、サプライチェーン攻撃など手口が多様化している。

このように、食品・農業分野ではランサムウェア対策が重要な課題となっており、ISACを中心に業界全体での対応が求められているのが現状です。

• 中小企業の脆弱性: 食品・農業分野には中小企業が多く、ITシステムの更新やセキュリティ対策への投資が遅れているケースが多い。これが攻撃者にとって格好の標的となる。
• サプライチェーンの複雑さ: 食品生産から流通まで、サプライチェーンが複雑に絡み合っているため、一か所でも攻撃を受けると広範囲に影響が波及する可能性がある。
• データの重要性: 農業データや顧客情報など、重要なデータが盗難や漏洩の被害に遭うと、事業継続や信頼に大きなダメージを受ける。

• セキュリティ意識の向上: 従業員へのセキュリティ教育や訓練を徹底し、フィッシング詐欺や不正アクセスへの対策を強化する。
• システムの更新と脆弱性対策: OSやソフトウェアを常に最新の状態に保ち、脆弱性を解消する。
• バックアップの徹底: 重要なデータは定期的にバックアップを取り、安全な場所に保管する。
• インシデント対応計画の策定: 攻撃を受けた場合に備え、迅速な対応と復旧のための計画を策定しておく。
• 情報共有と連携: Food and Ag-ISACなどの情報共有組織に参加し、最新の脅威情報や対策情報を収集する。

• 中小企業向け支援策: セキュリティ対策への資金援助や技術支援など、中小企業が対策を強化できるような支援策が必要。
• 情報共有プラットフォームの構築: 業界全体で脅威情報や対策情報を共有できるプラットフォームを構築し、連携を強化する。
• 国際的な協力: ランサムウェア攻撃は国境を越えて行われるため、国際的な協力体制を構築し、犯罪者の摘発や被害の防止に努める。

• 標的型攻撃の増加: 特定の企業や組織を狙った、より巧妙な攻撃が増加している。攻撃者は事前に情報を収集し、脆弱性を探して攻撃を仕掛けてくる。
• サプライチェーン攻撃: 取引先や関連企業を足掛かりにして、最終的な標的を狙う攻撃が増えている。サプライチェーン全体でのセキュリティ対策が重要となる。
• ランサムウェア as a Service (RaaS): ランサムウェアをサービスとして提供する犯罪組織が登場し、技術力のない者でも簡単に攻撃を実行できるようになっている。

• ゼロトラストセキュリティ: ネットワーク内部も外部も信頼せず、常に認証とアクセス制御を行うことで、不正アクセスを防ぐ。
• エンドポイントセキュリティ: PCやサーバーなど、端末のセキュリティ対策を強化し、マルウェア感染や不正操作を防ぐ。
• ネットワークセグメンテーション: ネットワークを分割することで、被害の範囲を最小限に抑える。
• 侵入検知・防御システム (IDS/IPS): 不正な通信や攻撃を検知し、防御する。

• データのバックアップと復旧: ランサムウェア攻撃を受けても、速やかにデータを復旧できるように、バックアップ体制を整えておく。
• 代替手段の確保: システムが停止した場合でも、事業を継続できるような代替手段を確保しておく。
• コミュニケーション計画: 攻撃を受けた場合の、社内外への情報発信や対応手順を明確にしておく。

• 情報共有の促進: 攻撃の手口や対策情報を業界内で共有し、相互に協力して脅威に対抗する。
• セキュリティ基準の策定: 食品・農業分野におけるセキュリティ基準を策定し、業界全体でのセキュリティレベルの向上を図る。
• 人材育成: セキュリティ専門家の育成や、セキュリティ意識の高い人材の確保に努める。

RaaS (Ransomware as a Service) は、技術力のない者でもランサムウェア攻撃を容易に実行できるよう、マルウェアやインフラを提供するサービスです。

• LockBit: 現在最も活発な RaaS の一つで、多くの攻撃で使用されています。暗号化の速さや二重恐喝の手法で知られています。
• Conti: 以前は非常に活発でしたが、2022年に活動を停止したとされています。しかし、そのコードやメンバーは他の RaaS に移行している可能性があります。
• REvil (Sodinokibi): こちらも以前は活発でしたが、2021年に当局の取り締まりを受け、活動を停止しました。
• DarkSide: 2021年に Colonial Pipeline への攻撃で知られる RaaS です。その後、活動を停止したとされています。
• BlackCat (ALPHV): 比較的新しい RaaS ですが、急速に勢力を拡大しています。高度な機能とカスタマイズ性で知られています。

1. 巧妙化する攻撃手法

   RaaSプロバイダーは、より巧妙で効果的なランサムウェアを開発・提供することで、高い身代金収入を狙っています。二重恐喝(データ暗号化と情報漏洩の脅し)、高度な不正プログラムの利用、標的型攻撃の実施など、手口が進化しています。

2. 攻撃グループの増加と分散化

   RaaSの普及により、多数の攻撃グループが参入しやすくなりました。さらに、大手グループが解体・分散した結果、小規模グループが増えています。これにより、攻撃の追跡や対応が難しくなっています。

3. 収益分配モデルの確立

   RaaSプロバイダーと実行者は、身代金収入を一定の比率で分配する収益分配モデルを採用しています。実行者は少ない初期投資で攻撃を行え、プロバイダーは安定した収入を得られるため、Win-Winの関係が成り立っています。

4. ランサムウェア開発の簡素化

   RaaSプロバイダーは、ランサムウェアの開発・配布を簡素化したサービスを提供しています。マルウェア開発キット、C2サーバーのレンタル、支払い受領システムなどのインフラが一括で提供されます。

5. ダークウェブ上での活動

   RaaSはダークウェブ上で運営され、関係者間の通信や取引が行われています。ダークウェブの匿名性の高さが、攻撃者の活動を助長しています。

RaaSの供給側、つまりランサムウェア開発者やプロバイダーを特定し、対処することは極めて困難です。ダークウェブ上で匿名化された活動であり、国を超えた捜査が必要となるためです。

攻撃を実行する需要側の対策は、従来のセキュリティ対策に留まります。RaaSでは新しい脆弱性が常に利用されるため、対症療法的な対策には限界があります。

身代金の支払いが暗号資産で行われることが多く、マネーロンダリングを経て現金化されます。このルートを遮断することは技術的に極めて困難です。

1. 国際連携の課題

   RaaSの取り締まりには、各国の法執行機関による国際連携が不可欠ですが、法制度の違いや情報共有の問題から、十分な連携が取れていません。

• 高度なランサムウェア対策ソリューション(EDR、NTA、SIEM等との連携など)
• サービス提供国やホスト企業への法的規制の強化
• 国際的な捜査・法執行機関の連携体制の構築
• 暗号資産の追跡や収益ルート遮断に資する技術の開発