IT時事ネタキーワード「これが気になる!」(第80回) ランサムウエア最近の潮流。手口の変化

脅威・サイバー攻撃 IT・テクノロジー

公開日:2021.08.04

 セキュリティに関するニュースを定期的に見ていると、不正アクセスで顧客情報が流出したとか、ランサムウエア攻撃で身代金を要求されたとか、業務が何日間停止したとか、流出したデータがリークサイトに公開されたとか、企業関連のニュースが絶えない。

 仕事や生活にITが欠かせない今の我々にはぞっとする話だ。Webページやサービスが使えない、物流やインフラが止まるほか、個人情報の漏えい、アカウント乗っ取り、クレジットカードの不正使用で大きな被害を受けることも。

 そうした中で最近よく聞くのがランサムウエアだ。おさらいすると、端末内およびネットワーク接続された共有フォルダなどに保管されたファイルを暗号化、または画面ロックなどで操作不能にするウイルスの総称。データの復旧と引き換えに身代金を要求する脅迫メッセージを表示することから、「ransom」(身代金)と「software」(ソフトウエア)を組み合わせてそう呼ばれる。

 従来のランサムウエア攻撃は明確な標的を定めず、ウイルスに感染させるファイルを添付したメールをばらまいたり、悪意あるWebサイトへ誘導したりして、不特定多数へ広く攻撃を行い、支払いに応じる被害者から身代金を得る戦略だった。

変わってきたランサムウエアの傾向。ターゲットを定める「標的型」

 時間や手段を問わず目的達成に向け、特定の組織に特化して継続的に行う攻撃を「標的型サイバー攻撃」と呼ぶ。ランサムウエア攻撃も、不特定多数への攻撃から標的型にシフトしつつある。

 実は、ランサムウエア攻撃の件数は世界的には減少傾向にある。2021年1~3月のランサムウエアの検出数が、2020年9~12月と比較して27.0ポイント減少している(ESETサイバーセキュリティ脅威レポートより)。最近の攻撃は、ターゲットの企業・組織に身代金を支払わざるを得ない状況を巧妙に作り上げ、より確実にかつ高額な身代金を得ようとしている。1件1件が大型化、件数は減少という事態を招いたと思われる。

 標的を定めたランサムウエア攻撃の傾向には「人手による攻撃」(human-operated ransomware attacks)と「二重の脅迫」(double extortion)という2つの特徴がある。人手による攻撃は、手間や人数をかけてより確実に状況を作り高額な金銭を要求する。効率化のため、ネットワークへの侵入を行う者、ランサムウエアを提供する者、身代金を要求する者、という具合に分業や組織化も進む。

 人手によるランサムウエア攻撃でよく使われるのが「標的型メール」だ。特定企業の社員をターゲットに偽メールを送り、添付ファイルを開かせてマルウエアに感染させて侵入のきっかけを作る。言語を駆使し時流の話題を取り入れるほか、情報収集のためにアドレス帳やメールデータをあらかじめ盗み出すケースもあるという。なおコロナ下では、テレワークや社内ネットワークで使うVPN装置の脆弱性を悪用して侵入する事例も増加。こうした複雑かつ巧妙な作業は、人手なくしては行えない。

 一方、二重の脅迫とはランサムウエアで暗号化されたデータ復旧のための身代金要求に加え、さらなる身代金を払わないと窃取したデータを公開すると二重に脅迫する攻撃方法だ。2019年末ごろから確認され、最近の攻撃の定番となってきている。実際に窃取したデータが公開される事例も頻繁に発生。従来、ランサムウエア攻撃対策として、データのバックアップが推奨されてきたが、攻撃者はデータの窃取と公開という、新たな脅迫手段を取り入れたといわれる。

標的型ランサムウエアの被害事例と手口は

 2021年4月、大和ハウス工業の子会社でフィットネスクラブ事業を手掛けるスポーツクラブNASは、店舗で運用していた会員管理システムが使用不能となった。確認したところ、サーバー内のデータの暗号化が判明した。暗号化されたデータを復旧する復号ツールの購入が必要とのメッセージも送られてきた。

 サーバーに保管されていた個人情報は15万人あまりに上る。ただし、攻撃者のメッセージには情報を窃取した記載がなく、その後も身代金要求などの脅迫行為はなかった。サーバー上の情報が公開された事実もなく、二重の脅迫はされずに済んだ。

 6月に被害を受けた富士フイルム、日本空港給油も、サーバーの暗号化と復号ツールの購入を促すメッセージの受領のみで、データ窃取による脅迫行為は受けていないという。

 クラウドストライクによる2020年度版「CrowdStrikeグローバルセキュリティ意識調査」によれば、日本でランサムウエアの被害にあった組織のうち、32%が身代金の支払いを選び、組織が支払った身代金の平均額は117万ドル(約1億2300万円)に上る。また、回答者の42%は攻撃者との交渉を試みている。

 国内で人手・二重脅迫の攻撃に遭い、話題になったのはカプコンだ。2020年11月に社内システムの障害を確認。障害の原因がランサムウエアによるファイルの暗号化であることが判明した。被害を受けた端末に「Ragnar Locker」を名乗る脅迫メッセージが残されていた。Ragnar Lockerはロシアを拠点とする技術力の高い犯罪集団で、マルウエア対策ツールなどの防御システムをかいくぐり、大企業に攻撃を仕掛けることで有名だ。社内ネットワークへの不正侵入の入り口は、北米現地法人所有の予備の旧型VPN装置だったという。

 その後、流出が確認された情報に加え、流出した可能性のある情報の範囲について調査、11月16日に「不正アクセスによる情報流出に関するお知らせとお詫び」を公表した。なお、Ragnar Lockerが示した回答期限(11月8日)以降も、カプコンから窃取したらしき情報が公開されている。カプコンは身代金の要求に応じなかったと思われる。

身代金支払いは避けるのが原則

 標的型のランサムウエア攻撃は世界中で相次ぎ、中には身代金を支払って、被害拡大を防いだ事例もある。ただし、身代金は攻撃者の資金源となる。攻撃者が犯罪を続けるモチベーションにもつながり、その後も金銭を要求されない保証もないため「支払うべきではない」のが原則だ。

 ネットワークへの侵入対策には、インターネットからアクセス可能なサーバーや機器、プロトコルやサービス、組織外からアクセスできる対象や範囲を最小限にとどめる。より強固な認証方式の採用やアクセスログの監視も有効だ。脆弱性対策として、OSやソフトウエア、ネットワーク機器のファームウエアを最新に保つのは基本。標的型メール対策として、従業員の啓発・訓練およびセキュリティ装置の導入も行うとよい。

 機器に置かれた重要なデータは、定期的にバックアップを行う。バックアップ時のみ媒体を接続、媒体はオフラインで保存するのが基本。なお、バックアップが正しく取れているか、確実に元に戻せるかもチェック。トラブルの際の対応手順をマニュアル化、テストも行っておく。

 情報窃取対策としては、IRM(業務で使用する文書ファイルなどを暗号化、閲覧や編集などを管理・制限、操作履歴を記録する)の導入、ネットワークのセグメント化(ネットワークを分割し、重要なデータやシステムを分散させる)などがある。

 万一攻撃を受けた場合の対応手順を整理して、備えておくのもよい。状況の把握、通報、侵入経路や影響範囲の特定、ウイルスやバックドアの根絶、業務の縮小や停止、顧客・取引先への対応など手順は多岐にわたる。組織内にCSIRT(コンピューターセキュリティインシデントに関する報告を受け取り、調査・対応を行うチーム)を構築する、難しい場合はアウトソーシングもお勧めだ。

 サイバー攻撃から企業・組織を守る基礎知識は経済産業省の「サイバーセキュリティ経営ガイドライン」で押さえておきたい。ランサムウエア対策の基本はJPCERT/CCの「ランサムウエア対策特設サイト」、新タイプのランサムウエア対策は、IPAの「事業継続を脅かす新たなランサムウェア攻撃について」が参考になる。

 どんな企業・組織でもパソコン、サーバーなどのIT機器およびネットワークを利用している限りサイバー攻撃の対象となり得る。万一インシデントが起きてしまったときには、落ち着いて速やかに対応する。そのためには普段から「何が起きたらどうする」をまとめ、打ち合わせやマニュアル化、対応チームの組織、相談先の確保などで対策しておこう。

執筆=青木 恵美

長野県松本市在住。独学で始めたDTPがきっかけでIT関連の執筆を始める。書籍は「Windows手取り足取りトラブル解決」「自分流ブログ入門」など数十冊。Web媒体はBiz Clip、日経XTECHなど。XTECHの「信州ITラプソディ」は、10年以上にわたって長期連載された人気コラム(バックナンバーあり)。紙媒体は日経PC21、日経パソコン、日本経済新聞など。現在は、日経PC21「青木恵美のIT生活羅針盤」、Biz Clip「IT時事ネタキーワード これが気になる!」「知って得する!話題のトレンドワード」を好評連載中。

【TP】

あわせて読みたい記事

「脅威・サイバー攻撃」カテゴリーから探す

連載バックナンバー

IT時事ネタキーワード「これが気になる!」

もっと見る

カテゴリー 一覧