FinCENが疑わしい活動報告に関連した財務傾向分析を発行
2021年10月15日(金曜日)、FinCEN(金融犯罪捜査網)が、2021年上半期に提出された疑わしい活動報告(通称:SAR)に関連した身代金に関する財務傾向分析を発行した事が分かった。
同分析によると、米国の銀行と金融機関は、2021年1月から6月の間に提出された疑わしい活動におけるランサムウェアの支払いの疑いで5億9000万ドル(約672億円)を報告。これは、2020年全体の合計をかなり上回った数値である。OFAC(Office of Foreign Assets Control=外国資産管理局)も、仮想通貨業界が制裁関連リスクにどのように対処できるかについて、FinCEN分析と並行してガイダンスを発表している。
ランサムウェアはUSDT(United States Department of the Treasury=米国財務省)の最優先事項である。FinCENによる分析とOFACガイダンスは、9月21日に発行された直後に、ランサムウェアの支払いを促進するための潜在的な制裁リスクに関する6ページに渡って更新されたアドバイザリを発行している。
制裁を受けた、または制裁のネクサスを持っていた攻撃者に要求された支払いを行うことによって攻撃を停止するランサムウェアの被害者に対する強制措置要因を軽減することに加え、2021年9月21日(木曜日)、OFACは、仮想通貨取引所を「ランサムウェアバリアントの金融取引を促進する役割のために」指定することで、仮想通貨取引所に対する最初の制裁指定を発行した。
疑わしい活動報告とランサムウェアの動向
ランサムウェアは、ターゲットになった被害者のファイルに感染させ、データのロックを解除するために身代金が支払われるまでデータへのアクセスを制限するマルウェアの一種である。
現在、米国の重要なインフラストラクチャーに対するランサムウェア攻撃の数と重大度は増加する一方である。2021年は、コロニアルパイプラインや、米国内最大の食肉供給業者の1つであるJBSなど、注目を集めるランサムウェア攻撃が発生している。FinCENによる分析は、ランサムウェア攻撃の増加に対応し、金融機関による疑わしい活動報告から得られた脅威パターンと傾向情報を定期的に公開することをFinCENに義務付ける2020年のマネーロンダリング防止法のセクション6206に従って公開された。
FinCENは、2021年1月1日から2021年6月30日までの間に提出されたランサムウェア関連の疑わしい活動報告を調査し、傾向を分析および判断している。対象期間内に提出されたランサムウェアに関連するものとして特定された635に上る疑わしい活動報告と、458のトランザクションが発生。FinCENが4億1600万ドル(約474億円)相当の取引で487の疑わしい活動を受け取った2020年と比較すると、41%も増加している。
FinCENは、現在の傾向が続く場合、2021年に提出される疑わしい活動報告数は、過去10年間に提出された疑わしい活動報告総数より、ランサムウェア関連の取引額が高くなると予測している。ただし、この傾向は、ランサムウェア関連のインシデントの蔓延(まんえん)が毎年増加しているだけではあない。その理由に、対象金融機関によるインシデントの検出と報告の改善も反映されている可能性があり、これはランサムウェア関連報告義務の認識と、同様インシデントの報告意欲が高まる可能性がある。
身代金の要求にビットコインが最も使用されている
FinCENは、2021年の最初の6カ月間のトランザクションの疑わしい活動データで報告された、特定の脅威アクターが好むランサムウェア68種を特定している。
FinCENはさらに、ランサムウェアの支払いに最も関連する177のブロックチェーンウォレットの分析を実施し、取引所、変換可能な仮想通貨サービス、ダークネットマーケットプレイス、およびミキシングサービスへの発信BTCトランザクションで52億ドルを発見。分析によると、デジタル関連企業は、提出されたすべてのランサムウェア関連の疑わしい活動報告の63%を占めている。なかでも注目したいのが、報告されたトランザクションで最も一般的なランサムウェア関連の支払い方法にビットコイン(Bitcoin/BTC)が特定され、これまで最も好まれていた匿名性の高いモネロ(Monero/)XMR)の使用は、わずかに増加するにとどまっている。
一度も能代金の支払いが行われると、サイバー犯罪者は被害者に復号化キーを配信する。ただし、一部は交渉を次のレベルに引き上げ、支った後も追加の支払いを要求し、これに応えない場合、盗まれたデータを公開すると脅迫するなどして、要求をエスカレートさせている。犯罪者側は、匿名性が強化された仮想通貨と、オニオンルーター(Tor)によってシールドされた電子メールを含むその他の匿名化サービスの使用を強調している。
犯罪者側はウォレットアドレスの再利用を嫌う傾向
脅威アクターはウォレットアドレスの再利用を嫌う傾向にあり、外国の一元化された仮想通貨取引所が現金化のポイントとして好まれている。
“チェーンホッピング”は、資金を別のサービスまたはプラットフォームに移動する前に、少なくとも一度交換させる手法であり、ブロックチェーンの財務証跡を難読化するために使用されている。一般的なプライバシー対策として、盗難、ダークネットマーケット、その他の違法な手段で得た資金移動を隠すために使用されるミキシングサービスは、2021年に普及。分散型取引所は、違法な収益を変換するために使用される可能性が高いとFinCENはみている。
ランサムウェアは、公共、金融セクター、および企業に大きな脅威をもたらすことから、FinCENは、ランサムウェア攻撃を防止および保護を目的に、検出およびアラートシステムの強化に焦点を当てることを企業に推奨している。