近年、世界的な規模でランサムウェアの脅威が広まっている。ランサムウェアは闇ビジネスとして高度に発達し、仕組み化されつつもある。そのため、標的も大企業だけにとどまらない。この記事では、ますます悪質化し、広がり続けるランサムウェアの脅威とその対策について解説する。
コロナ禍で広がるランサムウェアの脅威
ランサムウェアとは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語である。身代金の要求を目的とした悪意のあるプログラムで、マルウェアの一種と定義できる。2017年、世界的に猛威を振るった「WannaCry」はランサムウェアの脅威を世に知らしめた。それ以降、WannaCryの亜種をはじめ、より感染力を増したEmotet経由での攻撃など、ランサムウェアによる被害はとどまることを知らない。
IPA(独立行政法人情報処理推進機構)が発表している「情報セキュリティ10大脅威 2021」においても、ランサムウェアは組織部門で1位の脅威となっている。2020年における世界のランサムウェアの被害額は200億ドル近くに及んだとも言われており、コロナ禍におけるリモートワークの手段として導入が進んだ、VPNの周辺機器を狙ったランサムウェアの被害も発生している。
そもそもマルウェアとは?
先述のとおり、ランサムウェアはマルウェアの一種として考えられる。そもそもマルウェアとは、不正かつ有害な操作を行うソフトウェアやプログラムの総称だ。個人情報の詐取やなりすまし、金銭の窃取や犯罪行為の踏み台化などを目的にして開発・作成される。以下、代表的なマルウェアの種類を改めて紹介する。
1)ランサムウェア
身代金の要求を目的として作成されるマルウェア。感染したコンピューターやそのコンピューターに接続したストレージ内のデータが意図せず暗号化される。復号と引き換えに身代金を要求されるが、要求に応えたとしてもデータを復旧できるという保証はない。
2)トロイの木馬
ギリシャ神話におけるトロイの木馬の名を冠したマルウェアの一種。一見、有益なソフトウェアに見せかけるなどしてパソコンに侵入し、裏でデータを不正に窃取、あるいはほかのマルウェアをダウンロードして攻撃のほう助を行う。
3)ワーム
ワームは特定のファイルに仕組まれるのではなく、独立して動作することで増殖するマルウェアだ。ワームに感染するとパソコンの動作が重くなるなど、さまざまな悪影響をもたらす。最近では、暗号資産(仮想通貨)のマイニングを目的として不正使用されるケースもある。
4)バックドア
バックドアとは本来、不正な操作を行うための通信口を設ける行為を指すが、バックドア型のマルウェアをバックドアと呼ぶことがある。バックドアに感染することで、さらなる別のマルウェアへの感染やパソコン内の動作状況などのデータをC&Cサーバーへ転送するといった不正を働く。
5)スパイウェア
スパイウェアは端末内にある情報を盗み取り、その情報を攻撃者へ不正に送信するマルウェアのこと。IDやパスワードなどの認証情報やクレジットカードをはじめとした決済情報が漏えいしてしまうと、なりすましや金銭的な被害に発展する危険性がある。
6)キーロガー
端末のキーボード入力の状態を監視・記録し、パスワードなどの情報を不正に窃取するマルウェア。
最近では、これらのマルウェアは単体で使用されるというよりも、複数を組み合わせて攻撃に用いられるケースが多い。
ランサムウェアの感染経路と分類
ランサムウェアの主な感染経路はWebサイトやメールだが、広告やSNS、SMSなどを経由させるものも存在する。近年、その手法は巧妙化の一途をたどり、複数の手法や段階を踏んで感染に至らせるような悪質なものが増加している。例えば、添付ファイル開封後にダウンローダーが起動するもの、Webサイト経由でJavaScriptなどを用いて感染させるもの、あるいは「EternalBlue」と呼ばれる脆弱性に代表される、OSやミドルウェアなどの脆弱性を狙うものなどが挙げられる。
コロナ禍においては、RDP(リモートデスクトッププロトコル)の脆弱性を突いたとも言われている「Nefilim」などのランサムウェアが確認されるなど、ランサムウェアの攻撃手法も多様化してきている。以下、ランサムウェアの手法ごとに整理して紹介する。
1)ばらまき型ランサムウェア
不特定多数にばらまき型メールなどを送りつけることで感染させ、そこから増殖させていくタイプのもの。迷惑メールのようなアプローチに近いと言える。2017年に大流行した「WannaCry」は、ばらまき型ランサムウェアに該当する。
2)標的型ランサムウェア
「人手を介したランサムウェア攻撃」や「システム侵入型ランサム」とも呼ばれる。特定の組織に狙いを定め、その企業のネットワークへ侵入し、ネットワーク経由で感染させる。国内ゲーム会社を狙った「Ragnar Locker」などが標的型ランサムウェアに該当する。
3)二重の脅迫 (ダブルエクストーション)
データを暗号化しての脅迫にとどまらず、取引が成立しない場合、そのデータを全世界に公開するという二重に脅迫する行為で、「ダブルエクストーション」とも呼ばれる。犯罪グループは公開のための場をダークウェブ上に設置するなど、通常のランサムウェアより悪質性が高い。「Maze」、「Netwalker」、上述の「Ragnar Locker」などが該当する。さらに最近では、取引に応じるまでDDoS攻撃を続けるなど、三重、四重に脅迫を重ねるケースも増えている。
4)RaaS(ラース)
RaaS(ラース)とは「Ransomware as a Service」の頭文字を取ったもの。ランサムウェアはそのためのエコシステムが構築されるなど、闇ビジネスとして確立しつつある。具体的には、ランサムウェア攻撃を仕掛けるための仕組みを提供する犯罪者集団と、それを利用し実際の攻撃を行う協力者が存在し、身代金で得た収益を分配するという仕組みだ。後述する石油パイプラインを狙ったDarkSideなどは、このRaaSを提供する犯罪者集団の1つである。
ランサムウェアの被害事例
ランサムウェアの脅威は世界的に拡大している。以下、被害事例を3つ紹介していく。
1)DarkSideによる石油パイプラインへの攻撃
2020年5月、米国の石油パイプライン大手がランサムウェアの犯罪者集団DarkSideによる攻撃を受けた。この攻撃で犯罪者集団は同社の旧型VPNのパスワード認証を狙い、ネットワークへ侵入。わずか2時間足らずで100GB以上のデータを盗み、身代金と情報公開という二重の脅迫が行われた。パイプラインの操業に大きな影響を与えたために、同社は約4億8,000万円の身代金を支払っている。その後、当局の捜査によって約半分の2億5,000万円は取り返すことができたとされる。
2)Ragnar Lockerによる国内大手ゲーム会社への攻撃
2020年11月、国内の大手ゲーム会社がランサムウェア「Ragnar Locker」に感染した。この攻撃では同社のVPN装置の脆弱性を突き、社内ネットワークへ不正侵入。その後、ランサムウェアを拡散させたとされる。この攻撃で約15,000人分の個人情報が漏えいしたことが発覚している。
3)EKANS(SNAKE)による国内大手自動車メーカーへの攻撃
2020年6月、国内大手自動車メーカーがランサムウェア「EKANS(SNAKE)」に感染。同社ではこの攻撃によって世界的なシステム障害が発生し、工場の生産や出荷などに大きな影響を与えた。この攻撃で使われた「EKANS」は、同社を狙うためにカスタマイズされたランサムウェアだったとされている。
ランサムウェアへの対策
近年のランサムウェアは仕組み化され、その標的も規模の大小に関係なく広がりつつある。先に紹介した事例は大企業ばかりだが、規模を問わずあらゆる企業が対策を求められる。代表的なランサムウェアへの対策として、以下5つを紹介する。
1)セキュリティソフトの導入
セキュリティソフトの導入はもはや基本的な対策だが、その重要性を再認識したい。セキュリティソフトには不審なメールのフィルタリングや危険なWebサイトへのアクセスを遮断する機能が備わっている。また、メモリーやパソコンのUEFI上の不審な動作やランサムウェアと疑われる挙動なども検出してブロックする。いわゆるエンドポイントと呼ばれる領域を総合的に保護することにより、安全性が高まる。
2)OSやアプリケーションのアップデート
ランサムウェアはOSやアプリケーションの脆弱性を狙って感染させるタイプのものもある。ランサムウェアに限ったことではないが、ソフトウェアを常に最新の状態に保つことはセキュリティ上、重要な対策の1つと認識してほしい。
3)怪しいメールやURLなどへの注意喚起・啓蒙
標的型ランサムウェアに代表されるように、ランサムウェア攻撃は非常に高度化しており、ユーザーの心理的な弱点を突くソーシャルエンジニアリングの手法も頻繁に用いられる。そのため、従業員に対して不審なメールは開封しない、安易にメール文面内のURLをクリックしないといった教育を施すことも必要だ。
4)データのバックアップ
ランサムウェアはデータを暗号化し、身代金を要求してくる。万一、ランサムウェアに感染してしまった場合に備え、データのバックアップは必ず行っておくべきだ。ただし感染した際に、バックアップシステムがネットワークに接続されていると、そのシステム自体も暗号化されてしまう可能性がある。物理的に異なる端末や媒体に保存する、あるいは異なるネットワーク上にバックアップさせるようにしたい。
5)パスワードポリシーの徹底や多要素認証の導入
先述した石油パイプラインの事例では、古いVPN機器の認証がパスワード認証のみであったことから、総当たり攻撃を受けて侵入を許してしまったとされる。パスワード設定そのものを強固なものとするのはもちろんだが、多要素認証の導入をはじめ、認証の仕組みを強化することもランサムウェア対策として有効だ。
ランサムウェア攻撃は今後も継続される前提で対策を
標的型やRaaSなど収益を上げるための犯罪行為として凶悪さを増すランサムウェア。犯罪者集団の中にはSodinokibi(別名REvil)のように、日本企業をターゲットにしているものもある。警察庁が2021年9月に発表した資料によると、国内のランサムウェア被害報告件数は、2020年下半期の21件から、2021年上半期には61件と約3倍に増加した。先の事例のように、国内企業への被害も相次いでいる。至極当たり前のことだが、被害に遭ってしまった後に後悔しても遅い。
OSやソフトウェアのアップデートをはじめ、従業員に対するセキュリティ教育の一層の充実、そしてバックアップ取得の徹底など、ランサムウェアへの基本的な対策を講じることが第一歩だ。そして、必要に応じてセキュリティソフトなどのツールを活用し、組織全体の防御力を高めること。ランサムウェアの被害は、金銭的なものばかりではなく、企業としての信頼失墜などにもつながる。事業継続の観点からも、企業規模を問わず、より積極的な取り組みが求められている。
