ニューノーマル処方箋(第64回)
ランサムウエアがビジネス化。「RaaS」の脅威
<目次>
・データは暗号化しないが、脅迫はする
・「データを使えなくするぞ」ではなく「データを公開するぞ」と脅迫
・脅迫材料が少ない方が効く場合もある
・そのノーウエアランサム、実はハッタリかもしれない
データは暗号化しないが、脅迫はする
「ランサムウエア」(Ransomware)といえば、パソコンなどの端末に保存されているデータを不正に暗号化し、使用できない状態にした上、データ復号と引き換えに金銭を要求するという、悪意のあるソフトウエアです。データを人質に身代金(Ransom)を要求することから、その名が付けられました。
データが暗号化されると、企業や団体は日々の仕事や業務ができなくなります。例えばある病院では、ランサムウエアによる攻撃を受けたことで、院内の電子カルテシステムやバックアップデータが暗号化され、救急や新規患者の受け入れや手術ができなくなり、カルテも紙に切り替えざるを得ない事態に追い込まれました。システム全体の復旧には数カ月を要しました。
2024年には、ある動画サイトを運営する企業がランサムウエアの攻撃を受け、同社が保有する約20万人の個人情報が漏えいしたと発表しました。一部では、同社はデータ復号のために身代金を支払ったものの、データは復旧されなかったと報じられています。
このように、ランサムウエアによるデータの暗号化は、攻撃者が身代金を得るための重要な要素といえます。最近ではデータを暗号化せずに身代金を要求する「ノーウエアランサム」という手口も増えているようです。
「データを使えなくするぞ」ではなく「データを公開するぞ」と脅迫
ノーウエアランサムとは、企業や団体が持つ機密データを盗み出し、「身代金を支払わなければ、本来は公開してはいけないデータを公開するぞ」と脅迫し、身代金を要求するサイバー攻撃のことです。データの暗号化は行わず、あくまでもデータの強制公開を材料に、身代金を求める点が特徴です。
これと似た手口に「二重恐喝(Double Extortion)」があります。二重恐喝では、攻撃者側はデータを暗号化した上で、企業・団体に「データを復号してほしければ身代金を払え。払わないとデータを公開するぞ」と二重の要求を突きつけます。つまりノーウエアランサムは、二重恐喝のデータ暗号化の部分を省いた恐喝と言えます。
警察庁のデータによると、ランサムウエアによる犯行手口は二重恐喝が多いものの、2023年頃からはノーウエアランサムも増えており、2023年度上半期は9件、同年度下半期は21件、2024年度上半期は14件発生しています。
ランサムウエアとノーウエアランサムの被害報告件数の推移(警察庁「マルウェア『ランサムウェア』の脅威と対策(脅威編)」より引用)
脅迫材料が少ない方が効く場合もある
攻撃者側は、なぜわざわざノーウエアランサムという、二重恐喝よりも脅迫材料が少ない手口を使うのでしょうか? 企業に身代金を支払わせるのであれば、「暗号化するぞ」「データを強制公開するぞ」という2つの材料があった方が、恐喝が成功する確率は一見高そうに見えます。
IPA(独立行政法人 情報処理推進機構)が2024年7月に発表した「情報セキュリティ白書2024」という資料によると、脅迫材料が少ないノーウエアランサムは、攻撃者にとって都合が良い場合もあるようです。
例えば、窃取したデータの暗号化を行わなければ、従来よりも少ない労力で攻撃を仕掛けられるという点も、攻撃者側のメリットの1つです。場合によっては、盗んだ事実がなくても盗んだと言い張って身代金を要求できます。
さらに、被害が発覚しづらいという点も、攻撃者側に有利に働きます。ノーウエアランサムはデータの暗号化が行われないため、企業や団体がデータを閲覧できなくなったり、システム障害が発生したりすることは基本的にありません。そのため、脅迫を受けた企業や団体は、自組織のブランドや信頼を守るために脅迫を受けた事実を公表せず、黙って身代金を支払い、穏便に解決しようと考えてしまう恐れもあると言います。
そのノーウエアランサム、実はハッタリかもしれない
ノーウエアランサムの脅迫を受けると、データが攻撃者側の手に渡っている以上、強制的に公開されることを防ぐ手だてはないのが実情です。たとえ身代金を支払っても、窃取されたデータの公開が取り下げられたり、消去されたりする保証はありません。そもそもデータが盗まれないよう、不正アクセスをさせない対策が求められます。
警察庁ではランサムウエアの被害を防ぐために、VPN機器などネットワーク機器の脆弱性が悪用されないよう最新の状態に更新することや、ユーザーに付与するアクセス権限を最小化すること、ウイルス対策ソフトを導入すること、不審なメールはクリックしないことなどを呼びかけています。加えて、サイバー犯罪の被害に遭った際には、最寄りの警察署や都道府県警察本部のサイバー犯罪相談窓口に連絡するよう訴えています。
攻撃者から脅迫を受けても、実はハッタリで本当はデータが盗まれていないケースも起こり得ます。
2024年10月、大学共同利用機関法人情報・システム研究機構は、国際ハッカー集団からデータを窃取したと脅迫を受けたものの、実際にはシステムへの不正侵入、システム内部の改ざん、データ消失は検出されておらず、攻撃者が窃取したと主張するデータは、もともと誰でも無料でダウンロードできる公開データだったと報告しています。
ビジネスシーンで日々大量のデータを扱うことが当たり前になった現代、「会社の機密情報を公開するぞ」とノーウエアランサムの脅迫を受けることは、たとえランサムウエア対策が万全だったり、その脅迫がうそだったりしても、企業や団体が受ける衝撃は大きいはずです。しかし調査の結果、脅迫が虚偽であると証明できれば、自社のランサムウエア対策やデータ管理が正しくできている証明になるでしょう。
【TP】
あわせて読みたい記事
連載バックナンバー
ニューノーマル処方箋
- 第65回 暗号化しない新たなサイバー攻撃「ノーウエアランサム」とは 2025.05.09
- 第64回 ランサムウエアがビジネス化。「RaaS」の脅威 2025.05.02
- 第63回 セキュリティ機器の"抜け穴"は「ASM」で塞げる 2025.05.02
- 第62回 2019年から日本を狙いサイバー攻撃を続ける「MirrorFace」の脅威 2025.04.30
- 第61回 新人教育の定番「OJT教育」を効果的に実施する方法とは 2025.04.25
- 第60回 「セキュリティが速度を犠牲にする」は、過去の話? 2025.04.25
- 第58回 1本の電話が大きなリスクに!? 実は怖い迷惑電話とその対策 2025.02.07
- 第57回 ビジネスケアラーが増加中。企業がすべき支援とは 2024.07.31
- 第56回 エコカーを導入すると、補助金がもらえる!? 2024.07.31
- 第55回 AIの「禁止事項」とは何か?AI事業者ガイドラインを読む 2024.07.31
- 第54回 トラックの運賃が上がる?国土交通省が「標準的運賃」を改定 2024.07.30
- 第53回 雇用調整助成金の新制度は「リスキリング」が重要 2024.07.30
- 第52回 文章生成AIの理想的な使用法とは?東京都がガイドラインを公開 2024.07.30
- 第51回 パスワードがなくても認証できる!「パスキー」とは 2024.07.30
- 第50回 若者世代は特に不調!?従業員のメンタルヘルスは大丈夫? 2024.07.24
- 第49回 小規模事業者に限定した補助金を受給する方法 2024.07.24
- 第48回 インボイスにも対応「IT導入補助金2024」を解説 2024.07.12
- 第47回 なぜだまされる?「特殊詐欺」を食い止める方法 2024.07.10
- 第46回 IPAが警告「遠隔操作ソフト」を使った詐欺の防ぎ方 2024.07.10
- 第45回 オフィスソフトは「買い切り型/クラウド型」どっちを選ぶ? 2024.06.28
- 第44回 医療機関を狙ったサイバー攻撃が増加中。どう防げば良いのか? 2024.06.28
- 第43回 自動車産業がサイバー攻撃に狙われている!?どう防ぐ? 2024.06.28
- 第42回 中堅企業も対象に。2024年度の「賃上げ税制」とは 2024.03.28
- 第41回 生成AIで作った文章・画像は、著作権法に違反していないのか? 2024.03.28
- 第40回 偽のセキュリティ画面に要注意!サポート詐欺の解決法 2024.03.28
- 第39回 ついに解禁 「Wi-Fi 7」は何が優れているのか? 2024.03.25
- 第38回 介護離職が増加中。仕事と介護を両立する方法とは 2024.02.27
- 第37回 「賃上げ」につながる価格交渉とは?公取委が公開 2024.02.27
- 第36回 非正規労働者の正社員化をサポートする助成金が拡充 2024.02.27
- 第35回 被害拡大中「フィッシング詐欺」の防ぎ方 2024.02.27
- 第34回 すべての通信を信用しない「ゼロトラスト」とは何なのか 2024.01.30
- 第33回 12月から社用車にもアルコールチェッカーが必須に! 2024.01.29
- 第32回 極地でも高速通信「スターリンク」の可能性 2024.01.26
- 第31回 IoTがサイバー攻撃を招く!?「ボットネット」の恐怖 2024.01.26
- 第30回 中小企業はどうやって価格交渉をすれば良いのか? 2024.01.25
- 第29回 「労働条件明示」のルールが変更。何が変わるのか? 2024.01.24
- 第28回 高齢化社会に適したビジネスとは?「2025年問題」を考える 2024.01.23
- 第27回 ゼロデイ攻撃はどう防ぐ? 2024.01.22
- 第26回 「スマート工場」でセキュリティ事故を防ぐためにはどうすれば良いか? 2024.01.19
- 第25回 2024年問題はどうすれば解決できるのか?厚生労働省が特設サイトを公開 2024.01.19
- 第24回 “事務作業の負担軽減”が新たな付加価値を生む 2023.09.20
- 第23回 製造業成長請負人が語る"デジタルな土壌"の作り方 2023.06.07
- 第22回 「ディフェンス重視」が、生き残る企業の条件になる 2023.03.30
- 第21回 「幻の日本酒」が安定供給できた裏にデータ活用あり 2023.03.30
- 第20回 可視化と分析でさらなる業務変革へ ビジネスプロセス改善の最新手法「プロセスマイニング」を解説 2023.03.30
- 第19回 バブル期京都でDX実現!24時間稼働の無人工場 2023.03.30
- 第18回 離職率が40%→10%に!一役買ったオンボーディング 2023.03.30
- 第17回 SaaSを使いこなして業務効率化、投資対効果を上げるクラウドサービスの選定・導入ガイド 2022.03.29
- 第16回 予防&万が一の速やかなデータ復旧で業務を止めない! ランサムウエアの被害を防ぐバックアップ6つのポイント 2022.03.29
- 第15回 シミュレーションの常識が劇的に変わる。リアルを超再現した「デジタルツイン」で一歩先行くビジネスを 2022.03.29
- 第14回 政府主導のプロジェクト例も解説、「農業DX構想」が描く農業の未来 2022.03.29
- 第13回 コロナ禍でも売り上げ30%増。地方工務店が進めたDX 2022.03.16
- 第12回 着物DXで経営を立て直した博多織五代目の「勝算」 2022.03.15
- 第11回 ドローン「免許制」で何が変わる?第一人者が解説 2022.03.15
- 第10回 年4億円コスト削減を達成した地方製造業のIoT活用術 2022.03.14
- 第9回 「小売業再建のプロ」が語る、利益率UPのヒント 2022.03.14
- 第8回 中小企業こそDXに向く。町工場・今野製作所の挑戦 2021.12.20
- 第7回 製造業がめざすべきDXのアプローチと未来の姿|「つながる工場」が変革へのカギに 2021.08.26
- 第6回 ワークマンを支える「Excel経営」とは?土屋専務に聞く 2021.08.25
- 第5回 日本版ワーケーション成功の合言葉は「ワクワク感」 2021.07.14
- 第4回 リスク対策のプロに聞く「儲かるBCP」とは 2021.03.10
- 第3回 その対策は効果ナシ! セキュリティの常識を検証する 2021.02.19
- 第2回 日本に必要なのは「問題児」。APU出口学長が語る 2021.01.20
- 第1回 成果が出るテレワーク、出ないテレワークの違いとは 2020.11.10