「NO MORE RANSOM!」ますます凶悪化するランサムウェアにどう対抗すべきか?

この記事をシェア

年々巧妙化、凶悪化しているランサムウェア攻撃。その対抗策はもはや、組織を横断して行う必要性があるほど深刻化しており、2016年から「No More Ransom」と呼ばれるプロジェクトも官民連携で取り組みが進められている。この記事では、この「No More Ransom」プロジェクトの概要と、ランサムウェアの最新事情について解説する。

「NO MORE RANSOM!」ますます凶悪化するランサムウェアにどう対抗すべきか?

ランサムウェアとは

ランサムウェアとは、身代金を意味する「Ransom」と「Software」を組み合わせた造語である。その名のとおり、ユーザーのデータを人質にとり、身代金を要求するマルウェアのことだ。ランサムウェアの代表格として知られるのは、2017年に大流行した「WannaCry」だろう。当時、150カ国、23万台以上のパソコンが感染したことに加え、象徴的な赤い脅迫画面のインパクトもあり、ランサムウェアの脅威が世界中に知れわたることとなった。

WannaCry以降、ランサムウェアによる攻撃は巧妙化・凶悪化の一途を辿っている。また、世界的にもランサムウェアによる被害は膨らむ一方だ。調査機関やセキュリティ事業者が発表する脅威レポートなどでも、ここ数年ランサムウェアは上位の常連となりつつある。そして、その脅威は日本国内においても同様だ。昨年も製造業のサプライチェーンを狙った攻撃や、病院などが攻撃され社会インフラにも大きな影響を及ぼした。

進化し凶悪化するランサムウェア

ランサムウェアの起源は古く、その存在が初めて確認されたのは1980年代に生み出された「AIDS Trojan」だとされる。しかし、現在に続くランサムウェアと呼ばれる攻撃手法が確立したのは2000年代半ばだ。

その後、2010年代半ばまでは、無差別にランサムウェアを送り付けるばらまき型が主流であった。2010年代後半からは、標的型攻撃(侵入型ランサムウェア)が増加。さらに、「RaaS(Ransomware as a Service)」と呼ばれるビジネスモデルが登場し、マルウェアに関するスキル・ノウハウを持たない攻撃者であっても、ランサムウェア攻撃が可能となったことから、被害はますます拡大していった。

2019年末頃から曝露型、または二重脅迫型と呼ばれる、より凶悪化したランサムウェアが登場。二重脅迫型のランサムウェアは、不正に暗号化した情報を復号させるための身代金を要求するだけでなく、その支払いに応じない場合、盗んだ機密情報を公開するとして二重に脅迫し、金銭を要求する。

この二重脅迫型の手法は、ダブルエクストーションとも呼ばれる。警察庁が定期的に発表しているサイバー攻撃の被害状況を示す調査資料、「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、令和4年上半期の国内のランサムウェア被害は114件で、令和3年上半期の61件に比べてほぼ倍増している。また、警察が手口を確認できた81件のうち、ダブルエクストーションの手口によるものは53件であり、実に65%をダブルエクストーションが占めている。

2022年6月、ランサムウェアグループであるLockBitがカナダのセキュリティ企業に対して行った攻撃では、ダブルエクストーションに加えて、支払いに応じない場合はさらにDDoS攻撃を仕掛けるという三重の脅迫を行った。このように、ランサムウェアは日々進化を続け、その攻撃手法も凶悪化している。

「No More Ransom」プロジェクトとは

こうしたランサムウェアの脅威に対抗するためには、世界の国々が連携した情報共有、取り組みが求められる。そこで2016年から官民連携で始まったプロジェクトが「No More Ransom」だ。No More Ransomプロジェクトは、欧州刑事機構やセキュリティ会社などが中心となって立ち上げたプロジェクトであり、ESET社もパートナーとして加わっている。

No More Ransomプロジェクトでは、ランサムウェアによって暗号化されてしまったファイルを復号するツール、ランサムウェア対策に関する情報などが頻繁に公開されている。2021年8月時点で、No More Ransomプロジェクトに参加している組織は官民合わせて170以上に及ぶ。また、提供されている復号ツールは121種類で、151種類のランサムウェアファミリーに有効である。

このNo More Ransomプロジェクトによって、9億ドル超の金銭被害を未然に防ぐことができたとされる。No More Ransomプロジェクトの提供ツールを利用することで、ランサムウェアに感染した場合でも身代金を支払うことなく、暗号化された情報を復号できる可能性が高まっているのだ。

しかし、一度盗み出されてしまったデータが攻撃者によって公開されてしまうことは抑止できない。すなわち、増加傾向にあるダブルエクストーション型のランサムウェアに対しては確固たる手立てがないのが実情だ。

ランサムウェアの脅威から企業を守るには

ランサムウェアによって盗み出されたデータが公開されてしまうと、その情報漏えいによる直接的な損失をはじめ、顧客や取引先、関係者へ被害が派生するなど、直接、間接を問わず、企業が被る損失は甚大なものになる。その結果、企業の信頼が失墜し、中長期的な経営にも大きな影響を及ぼしかねない。

そうしたランサムウェアの脅威から企業を守るには、従前からの対策を徹底することが重要となる。盗み出されないための対策を講じるだけでなく、データを盗まれた場合でも、そのデータがダブルエクストーションなどで悪用されないような対策が必要だ。そのために有効な対策の代表が暗号化である。以下に、マルウェアの被害を抑制するための対策と、万一被害を受けても損害を最小限に抑えるための対策を紹介する。

1)被害を抑制するための対策

・セキュリティソフトの導入
ランサムウェアはさまざまな手段でシステムに侵入しようとするが、統合セキュリティソフトを導入することで、既知のランサムウェアはもちろん、怪しい動きをするソフトウェアの攻撃からシステムを守ることができる。

・OSやソフトウェアのアップデート
ランサムウェアはOSやWebブラウザーなどの脆弱性を突いて侵入することが多い。OSやソフトウェアを常に最新版へアップデートすることにより、既知の脆弱性を塞ぐことができる。

・多要素認証の導入
ランサムウェアは、VPN機器をはじめ、IDとパスワードだけで認証を行っている機器を狙って侵入することも少なくない。IDとパスワードだけでは、ブルートフォース攻撃や辞書攻撃などで突破されたり、ダークウェブで出回っているアカウント情報を悪用して侵入されたりすることもある。そのため、IDとパスワード以外に生体認証やSMS認証などを組み合わせる多要素認証を導入することで、侵入されるリスクを低減することが可能だ。

・外部接続機器の利用制限
USBメモリー経由でランサムウェアに感染したという事例も少なくない。USBメモリーや外付けHDDなどの外部接続機器の利用を制限しておけば、ランサムウェアの感染経路の1つを遮断できる。

・ファイル操作ログの監視
ランサムウェアに感染するとファイルの暗号化が行われるが、ファイル操作ログをリアルタイムで監視することで、ランサムウェアと疑われるアクセスパターンを検知し、すぐに対処することが可能となる。

2)被害遭遇を見据えた対策

・機密情報の暗号化
外部に漏れては困る重要な機密情報を暗号化しておけば、仮にランサムウェアに感染して外部に漏えいした場合であっても、中身の解読が非常に困難なため、情報漏えいに至る可能性を低減できる。

・定期的なバックアップ
定期的にバックアップを行っておくことで、万一ランサムウェアに感染してファイルが暗号化されてしまったとしても、バックアップから元データを復元することが可能となる。ランサムウェアに感染した場合を見据え、被害を最小限に抑制するためには、「機密情報の暗号化+定期的なバックアップ」が基本的な対策となるだろう。

・BCP対策の策定
ランサムウェア対策に限定されないが、サイバー攻撃や天災などによって企業が大きなダメージ・損害を受けた場合に備え、BCP対策を策定しておくことが重要だ。速やかに事業復旧の道筋を立てるためにも、事前に被害を想定してリスクの洗い出しから対策の選定など、計画にまとめておきたい。

・ネットワークのマイクロセグメント化
ネットワークをマイクロセグメント化することにより、万一ネットワークに侵入された場合でも、攻撃者によるラテラルムーブメント(水平展開)を防ぐことができ、被害を最小限に抑止することができる。

さらに、XDRやゼロトラストセキュリティなど、次世代型のセキュリティソリューションを導入することで備えが強固となる。

ただし、こうしたランサムウェアへの対策を適切に講じたとしても、従業員のランサムウェアに関するリテラシーが低いままであれば、ランサムウェアによる被害は抑えきれないだろう。セキュリティ対策全般に言えることだが、セキュリティの基礎知識を固めた上で、定期的かつ適切な対策に関する知識、備えをアップデートしていくことが求められている。

この記事をシェア

ランサムウェアのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!