ランサムウェア対策の前線を知る ~鎮静化しない理由と防御の潮流は?~ | |
---|---|
作成日時 22/11/24 (14:06) | View 4661 |
市民生活にも打撃
情報セキュリティに馴染みがない人でも、「ランサムウェア」という言葉は聞いたことがあるのではないでしょうか。ランサムウェア(Ransomware)は、企業・団体のシステムに不正アクセスしてデータを暗号化し、暗号を解除するためのキーと引き換えに、身代金(Ransom)を要求するサイバー攻撃です。
2022年10月、大阪府の高度救命緊急センターに指定されている医療施設がこの攻撃を受け、テレビや一般紙でも大きく報じられました。この他にも、2021年10月末の徳島県つるぎ町の拠点病院、2022年1月には東京の大学病院、春日井市のリハビリテーション施設など、地域の重要な医療機関がランサムウェアに感染し、一部の手術と外来診療が停止するなど、市民生活にも影響が出ています。
被害は医療施設に限りません。ここ数カ月の間にも、自動車部品やゼネコン、アニメーション制作、製菓、ファッション販売などの分野で、誰もが名を知る企業の業務が一時的に停止するなど、深刻な被害が毎週のように伝えられています。
急増する被害にG7も動く
警察庁の広報資料「令和3年におけるサイバー空間をめぐる脅威の情勢等について」でも、ランサムウェアを最大級の脅威として採り上げています。資料によると、警察庁に届いた被害件数は146件。この数字は警察庁まで上がった報告の数ですから、水面下のインシデントまで含めると、はるかに多くの攻撃と被害が発生しているはずです。このグラフからは、件数よりも令和2年の下期あたりから急速に勢いを増している実態を読み取るべきでしょう。
ランサムウェア被害の報告件数の推移
出典:警察庁「令和3年におけるサイバー空間をめぐる脅威の情勢等について」
米国の調査機関が発表したレポートでは、被害を受けた企業が支払った身代金の平均額は、2021年は前年比80%増に達していました。また米国のセキュリティ企業が日本の組織を対象に行った調査では、過去12カ月以内にランサムウェアの被害を受けたのは61%という結果も出ています(グローバル平均は66%)。調査対象は、調査を行った企業の目が届く範囲としても、軽視できないデータです。
ここ1~2年のランサムウェアの隆盛は世界的な傾向です。2021年末にはG7各国の安全保障担当大臣などが参加する「ランサムウェアに関する臨時上級実務者フォーラム」が開かれるなど、今や国家レベルの喫緊の課題と言えます。
国際的な防御体制が敷かれ、各国のIT分野の調査機関、セキュリティ企業、一般企業も最大級の警戒をしているにも関わらず、ランサムウェアの勢いは止められません。その要因は、まず犯罪者にとって実利が得やすいというこの攻撃の特性、そしてもう一つは、ここ1~2年ほどの間に急速に攻撃力が高まった点が挙げられます。
手口の85%は「二重脅迫型」
ランサムウェアに対しては、データのバックアップが有効な時期がありましたが、攻撃者はバックアップを探し出して同時に暗号化してしまうため、今はその効果も限定的です。手口も「二重脅迫型」や「暴露型」と呼ばれる形に進化。データを暗号化すると同時に、機密情報を公開すると脅し、組織が高額の身代金を支払わなければならないように仕向けるのです。前述した警察庁の調査では、手口を確認できたうち85%が二重脅迫型でした。
ランサムウェアの手口と要求された身代金の支払い方法
出典:警察庁「令和3年におけるサイバー空間をめぐる脅威の情勢等について」
以前のランサムウェアは、無差別に攻撃する「ばら蒔き型」でしたが、今は特定の企業・団体の内情と情報システムを調べ上げ、支払いに応じそうな組織を吟味する「標的型」に進化しています。企業グループや製品の供給網に狙いを定め、人員と予算の関係から比較的隙ができやすい中小企業に侵入し、ここを足場に本丸のメーカーなどに攻撃を拡散していく「サプライチェーン攻撃」の手法も採り入れています。
サプライチェーンの弱点を利用した攻撃のイメージ
出典:IPA(情報処理推進機構)
攻撃の「分業化」も進みました。この犯罪を成就するには、企業システムに不正侵入するための認証情報の窃取、プログラムの用意、内部の探索とデータの暗号化、そして身代金の取り立てなど、いくつかの作業が必要ですが、闇サイトの「ダークウェブ」上には、それぞれの実行犯を募ってマッチングしたサービス「RaaS(Ransomware as a Service)」もあって、これを使えばそれほど高度なスキルを持たない者でも、ランサムウェア攻撃に参入できるようになったのです。
鉄則は“ぼや”で消し止める
攻撃手法が進化したと言っても、ランサムウェアもマルウェアの一種ですから、特別な対策が存在するわけではありません。一般的なセキュリティ対策、具体的には、システムへの侵入を防ぐため“IDとパスワードなど認証情報を厳重に管理”、“ランサムウェアに対応したウイルス対策ソフトの導入”、“サーバーなどの脆弱性の修正”、“重要データのバックアップ”、そして“社内への研修と啓発”を続けるなど、基本がそのまま通用します。
しかし、相応の対策をしているはずの大手企業でも被害を免れていない状況を見ると、これだけでは十分とは言えないことは明らかです。2022年に欧州の開発拠点がランサムウェアの攻撃を受けた日本の自動車部品メーカーは、数カ月前に南米の工場に侵入されて被害が発生し、全社的に警戒を高めている中でのインシデントでした。
こうした事実を加味すると、基本的なセキュリティ対策に加えて、先鋭化した攻撃の侵入を100%阻止するのは困難という現実を直視し、それに則した対応も必要と言えます。具体的な手法として、侵入の痕跡やシステムの変更をいち早く検知し、不審な動きを止めると同時に、被害を最小限に止めるためのツールも普及しつつあります。
つまり、もし仮に火災のリスクが迫ったとしても、“ぼや”の段階でいち早く気づき、初期消火することで攻撃の拡散を防ぐ手法です。不正侵入した犯罪者は、セキュリティ対策ソフトの無効化、管理者権限の窃取、バックアップの探索などの作業を経て、ファイルの暗号化にかかります。侵入から暗号化までは、数日から長いときは数週間かけていますので、早期検知は極めて重要なのです。
もう一つの有効打は“攻撃者の視点に立つ”
ランサムウェア対策の前線では、予防を強化する組織も増えてきました。攻撃者と同じ視点に立って、自社やサプライチェーンの弱点を探し、先回りして手を打つという考え方の導入です。
例えば、国内の建築分野の大手企業は、「脅威インテリジェンス」というサービスを利用して、自社とグループ企業への侵入につながるような情報が、インターネットに流出していないか常に監視しています。
脅威インテリジェンスは、セキュリティリスクの検知や被害防止に活用できる情報を配信するサービスです。脆弱性などの一般的なリスクに関する情報に加えて、あらかじめ登録した社名やIPアドレスなどの情報を元に、ダークウェブのような闇サイトも対象に、自社のセキュリティを脅かすような情報を自動収集できます。
リークされたアカウントの存在を探索するイメージ
Dark Tracer
公開情報からリスクを検知
予防におけるもう一つのキーワードが「OSINT(Open Source Intelligence:オシント)」です。直訳すると「公開された情報を利用したインテリジェンス」。断片的なデータを含め、一般公開された情報を分析し、新たな知見を得て安全対策に生かすための技法です。もともとは国家安全保障や軍事における情報収集と諜報活動で使われていた手法ですが、最近は情報セキュリティの分野でも重視されるようになってきました。
攻撃者も公開情報を足掛かりに、企業システムへの侵入を試みます。公開情報の一例として、企業名とドメイン名、IPアドレス、公式ページのURL、サポート窓口のメールアドレス、拠点の電話番号、登記簿に載った役員名、製品マニュアル、PR目的の文書などがありますが、公式サイトに実装しているサーバーソフト、常用しているクラウドサービスなども、特に収集が難しい情報ではないため、公開情報の一部と考えていいでしょう。
意図せぬ公開によるリスクを排除
サーバーのOSやアプリケーション以外にも、外部から確認できる情報は少なくありません。例えば、ドメイン名を指定すると、その配下に登録されているメールアドレスを検索するツールもあります。攻撃者にとっては、標的の内情を調べ上げて攻撃を仕掛ける「標的型攻撃」の起点になるデータを採取するツールとして利用できるでしょう。
システムのもう少し内側に入ったところでは、IPアドレスとドメイン名を対応づけるDNSの設定内容を示す「DNSレコード」も、DNSサーバーを設置する企業の情報として公開されます。ここにテレワークでもよく使われるVPN(仮想的な専用回線)のURLも記載され、その存在が見えるケースがあります。もちろん、VPNは認証システムでガードされていますから、内部に入ることはできません。しかし、VPN機器やソフトのバージョンが古い場合は脆弱性が残っていることがあり、脆弱性を悪用されて簡単な操作でアクセスを許してしまいます。
VPNに不正アクセスするためのIDとパスワードは、企業の公式SNSや交流サイトからメールアドレスを割り出し、アカウントとパスワードを推測する方法もあるでしょう。漏えいしたメールアドレスとパスワードの組合せは、ダークウェブでも高値がつく人気商品の一つです。
攻撃者はこの瞬間にも、公開情報を足場にサプライチェーンを隈なく探索しているはずです。守る側も攻撃者の視点に立ち、外部から入手できる情報の見直しが必要です。公開する必要がないデータは削除、必要な情報はそこからシステムに残る脆弱性が知られてしまうことはないか、あるいはクラウドサービスの設定ミスなどで、企業ネットワークの管理画面が意図しない形でインターネットから見えるようになっていないかなどの点を入念にチェックしてください。
先鋭化したランサムウェアには、セキュリティ対策の基本の忠実な実践に加えて、脅威インテリジェンスとOSINTを活用した攻撃側の視点に立ったガードが不可欠なのです。