IPAが毎年発表する情報セキュリティ10大脅威において、常連とも言えるのが「ランサムウェアによる被害」だ。この記事では、新たな脅威となる「ノーウェアランサム」をはじめ、多様化するランサムウェア攻撃の手法と実際に起こった国内事例を踏まえながら、MDRをはじめ、有効な対策について解説していく。
IPA「情報セキュリティ10大脅威」とは
「安全で利便性の高い”頼れるIT社会”の実現」を目指して、2004年に発足した組織がIPA(独立行政法人情報処理推進機構)だ。そのIPAが2006年以降、セキュリティ対策を啓発するためにランキング形式で発表しているのが「情報セキュリティ10大脅威(以下、10大脅威)」であり、毎年一般向けにWebサイト上で公表されている。
この10大脅威は「個人向け」と「組織向け」で構成されている。個人、組織それぞれでサイバー攻撃の動向、手法をランキング化し、脅威の概要や対策を解説することで、実際の対策に役立ててもらうことを狙っている。
このランキングは選考委員により決定しているが、ランクの上下が対策の優劣を表すものではない。しかし、ユーザーが順位の高さを危険度の高さのようにみなしがちであることを踏まえ、2024年からは個人向けではランキング形式ではなく、50音順での表記へと変更されている。
9年連続ランクインする「ランサムウェア攻撃」
IPAの10大脅威「組織向け」において、9年連続でランクインしているのがランサムウェア攻撃だ。ランサムウェアとは「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語である。ランサムウェア攻撃の被害に遭遇すると、パソコンなどデバイスに保存しているデータが不正に暗号化され、その復号のためとして身代金が要求される。
現在の系譜につながるランサムウェアの先駆け的な存在として、2013年にトロイの木馬型のマルウェアとして発見された「CryptoLocker」が知られている。このランサムウェアに感染すると、デバイス内のファイルが暗号化され、ビットコインなどでの身代金の支払いを要求された。
このCryptoLockerの登場以降、サイバー攻撃においてランサムウェアの攻撃手法が多用されるようになり、2017年に大流行を引き起こしたWannaCryをきっかけに、一般的なユーザーにも広く知れ渡ることとなった。
また、コロナ禍においては、多くの企業・組織でテレワーク環境の整備を余儀なくされたが、RDPやVPNなどを利用した業務環境における不備や脆弱性を突かれたことで、ランサムウェアがさらなる猛威を振るうこととなった。こうした経緯・背景もあり、10大脅威においてランサムウェア攻撃は毎年ランクインするに至っているのだ。
多様化するランサムウェア攻撃の手法
ランサムウェア攻撃の手法は年々、高度化・巧妙化しており、近年は「ダブルエクストーション(二重の脅迫)」、「トリプルエクストーション(三重の脅迫)」といったように、幾重にもわたって脅される手法も多く確認されている。
ダブルエクストーション
言葉のとおり、二重にわたって脅迫を行うランサムウェア攻撃がダブルエクストーションだ。窃取したデータを暗号化して復号のために身代金を要求するだけにとどまらず、そのデータをダークウェブ上に公開するといったように、二重に脅迫を行う手法を用いる。企業・組織にとって、窃取されてしまったデータが一般に公開されてしまうと、コンプライアンスの観点も含めて大きなダメージとなりかねない。そうした企業・組織のウィークポイントにつけ込んだ攻撃手法と言える。
トリプルエクストーション
ダブルエクストーションの手法に加え、DDoS攻撃を行うと脅す手法がトリプルエクストーションだ。Webサービスを提供している企業などでは、DDoS攻撃によるサーバーダウンや情報流出が生じると、事業存続に大きな影響を及ぼしかねない。サイバー攻撃者はそのような影響が生じやすい企業・組織を狙い、こうした攻撃手法も取り入れるのだ。
一方で、最近では「ノーウェアランサム」と呼ばれる、暗号化せずにファイルを盗み出し、その引き換えに身代金を要求する手法も出てきている。ランサムウェア攻撃の認知度が高まり、企業・組織における対策が進んだことで、データの暗号化を省略してデータの窃取とその公開をもって身代金を得ようとする手口だ。このように、今後も世の中の動向に応じて、ランサムウェア攻撃の手法が変化していくことは想像に難くない。
国内で発生したランサムウェア攻撃の被害事例
先述のとおり、近年国内においても、多くのランサムウェア攻撃による被害事例が生じている。以下、3つのインシデントを紹介する。
大手製薬グループ会社におけるランサムウェア被害
2023年6月、週末未明にグループ会社内の複数のサーバーが暗号化されていることが発覚。該当サーバーを社内ネットワークから隔離するなどの対策を早急に講じたものの、物流システムが被害を受けたことが確認されている。
大手文具グループ会社におけるランサムウェア被害
2023年6月、海外のグループ会社のネットワークへの侵入を手がかりに、グループ内のネットワークへと侵入。ランサムウェアを実行して不正にデータの暗号化が行われた。しかし、ログ情報からはデータ窃取の形跡は確認できず、情報流出の可能性は低いとの報告がされた。
国立大学運営組織におけるランサムウェア被害
2022年10月、アカウントの管理を担う認証サーバーが何かしらの脆弱性を突かれて不正アクセスを受けた。その結果、ランサムウェアの感染に至り、個人情報や認証情報など、約4万件分が流出した可能性があると発表された。調査を進めたところ、サーバーがブルートフォース攻撃を受けていたことが判明している。
ランサムウェア攻撃に有効なMDRとは
先述のとおり、ランサムウェア攻撃の手法は高度化・巧妙化し続けている。今後もさまざまな手口によって企業・組織が狙われることは想像に難くない。そのため、ランサムウェアの凶悪化へ対抗すべく、高度なセキュリティソリューションの導入が求められるようになっている。そこで、ランサムウェア攻撃対策は、防御だけでは防ぎきれないため、事後対策として近年注目を集めているのがMDR(Managed Detection and Response)だ。
MDRとは、事後対策のXDRなどの侵入検知ソリューションを用いて、常時監視、脅威検知、インシデントへの対応をワンストップで提供するマネージドサービスである。MDRがランサムウェア攻撃への有効な対策となり得るのには、大きく以下の3つの理由が挙げられる。
高度な攻撃手法への対応
エンドポイントだけでなくネットワークやクラウドなど幅広く領域を対象とした検知・対処をするXDRソリューション、およびマネージドサービスの高い専門性が組み合わされることで、ランサムウェアをはじめとする高度なサイバー攻撃を受けた場合であっても、その被害の抑止、最小化が期待できる。
24時間365日での常時監視、対応
ランサムウェアによる攻撃はいつ何時発生してもおかしくない。常時監視において異常を検知した際、初動対応が速やかに行われるかがその後の被害状況を左右する。そのため、運用監視をアウトソーシングすることで夜間、休日であっても即座の対応を行い、被害を最小にとどめることで、通常業務への負担も抑制できる。
インシデント発生時の対応力
インシデント発生時、企業・組織ではその対応に追われることになる。ランサムウェアによるインシデントが生じた場合、短時間の間にラテラルムーブメント(水平展開)で被害が拡大する恐れもある。マネージドサービスであるMDRは外部の専門性の高いスタッフがフォローするため、迅速かつ専門性に基づいた対応がなされる。
また、MDRではXDRといった監視ソリューションが用いられるが、EPPなどのエンドポイントを保護するソリューションと組み合わせることで、対策はより充実する。
例えば、ESET PROTECT MDRはEPPとXDRを1つのソリューションとして提供するのが特長だ。
このESET PROTECT MDR では長年、エンドポイントソリューションの提供で培ってきたESET社が、その専門性と技術力を結集したXDRソリューションを提供する。そして、同様に国内でセキュリティサービスを広く提供してきたキヤノンMJがそのソリューションを用いてマネージドサービスを担う。そのため、高い技術力を持ったソリューションを、高いサービスレベルでアウトソーシングすることが期待できるのだ。
また、ESET PROTECT MDRはEPPを包括したソリューションであり、その運用・管理を専用のコンソールで行うことから、企業・組織内の状況を可視化しやすい。セキュリティ専門人材の配置が難しくなっている昨今、こうした効率化されたコンソールは実用性が高いのではないだろうか。
昨今、悪質化を極めるランサムウェア攻撃の手法を前に、攻撃自体を完全に防ぐことは極めて困難となりつつある。攻撃を受けた際に、初動対応をいかに迅速に進めるか。そうすることで被害の最小化を目指す動きが加速している。こうした環境の変化に呼応するサービスがMDRであり、今後も多くの企業・組織で採用されていくはずだ。
