二重脅迫とは
この記事は約 2 分で読めます
二重脅迫 (Double Extortion) とは、ランサムウェア攻撃においてデータの暗号化に加え、窃取したデータの公開をちらつかせて身代金を要求する手法です。 2019 年末に Maze ランサムウェアグループが初めて体系的に実行し、以降のランサムウェア攻撃の標準戦術となりました。従来の「暗号化して復号鍵を売る」モデルでは、バックアップから復旧されると攻撃者の収益がゼロになるため、データ公開という第 2 の脅迫軸を加えることで身代金支払いの圧力を飛躍的に高めた手法です。
二重脅迫の攻撃フロー
注目すべきは、暗号化の前にデータ窃取が完了している点です。攻撃者はネットワーク内に数日から数週間潜伏し、価値の高いデータを特定・外部に転送してから暗号化を実行します。つまり、暗号化を検知した時点ではデータ漏洩は既に完了しています。
Maze から始まった脅迫の進化
2019 年 11 月、 Maze グループは米国のセキュリティ企業 Allied Universal から窃取したデータの一部を公開し、身代金の支払いを迫りました。これが二重脅迫の最初の大規模事例です。 Maze は専用のリークサイト (データ漏洩サイト) を開設し、交渉に応じない被害者のデータを段階的に公開するモデルを確立しました。
この手法の「成功」を見た他のグループが次々と模倣し、 2020 年以降は REvil、 Conti、 LockBit、 BlackCat (ALPHV) など主要なランサムウェアグループのほぼ全てが二重脅迫を標準戦術として採用しています。
三重脅迫への進化
二重脅迫をさらに発展させた「三重脅迫」も確認されています。
データの暗号化。復号鍵と引き換えに身代金を要求する。従来型ランサムウェアの基本手法。
窃取データの公開。リークサイトでの段階的公開や、メディア・規制当局への通報をちらつかせる。
被害者の取引先・顧客への直接連絡、または DDoS 攻撃の併用。被害者の事業継続を多方面から圧迫する。
バックアップだけでは対策不十分な理由
従来のランサムウェア対策では「定期的なバックアップがあれば復旧できる」が定説でした。しかし二重脅迫では、バックアップから復旧してもデータ漏洩の脅威は消えません。攻撃者は既にデータのコピーを保持しており、身代金を支払わなければ公開すると脅迫します。
| 対策 | 暗号化への効果 | データ漏洩への効果 |
|---|---|---|
| オフラインバックアップ | 有効 (復旧可能) | 無効 (漏洩は防げない) |
| ネットワーク分離 | 被害範囲を限定 | 横展開を抑制し窃取量を削減 |
| 保存データの暗号化 | 効果なし | 窃取されても解読困難 |
| DLP (データ損失防止) | 効果なし | 外部への大量データ転送を検知・遮断 |
| ゼロトラスト | 横展開を抑制 | 最小権限でアクセス可能データを限定 |
データ漏洩サイト (Leak Site) の実態
攻撃グループは Tor ネットワーク上にリークサイトを運営し、交渉に応じない被害者のデータを段階的に公開します。まず企業名と窃取データの一部 (スクリーンショットやファイルリスト) を掲載し、カウントダウンタイマーで全データ公開までの期限を表示します。これは被害者への心理的圧力であると同時に、他の潜在的被害者への「見せしめ」でもあります。公開されたデータは競合他社、犯罪者、国家機関など誰でもダウンロードでき、データ侵害の二次被害が拡大します。
包括的な対策アプローチ
機密データを特定・分類し、保存時の暗号化を徹底する。窃取されても暗号化されていれば攻撃者は内容を読めず、脅迫の材料にならない。
大量のデータが外部に転送される異常な通信パターンを検知する。 SIEM やネットワーク DLP で外部送信量を監視し、閾値を超えた場合にアラートを発報する。
ネットワーク内部であっても全てのアクセスを検証する。攻撃者が侵入しても横展開を困難にし、アクセス可能なデータの範囲を最小限に抑える。
二重脅迫への対策は、保存データの暗号化とゼロトラストを組み合わせた多層防御が基本です。ランサムウェア対策、データ侵害対応、バックアップ入門もあわせて参照してください。ランサムウェア対策の関連書籍 (Amazon)で最新の防御戦略を学ぶことを推奨します。
この記事は役に立ちましたか?