警察庁発表の「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」の報告内容を見ても、今なおランサムウェア攻撃の被害は高水準で推移している。この記事では、高度化・多様化するランサムウェア攻撃の感染経路、手法を踏まえながら、実際に被害に遭遇した場合の対応について解説していく。
あらためて「ランサムウェア」とは?
ランサムウェアとは「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせて作られた造語である。ファイルを不正に暗号化、あるいはデバイス自体にロックをかけてしまうことで利用不可な状況に追い込み、その復号や解除を取引材料として金銭を要求する。
2010年代の中頃からランサムウェアは猛威を振るいはじめ、2017年に大流行となったWannaCryがメディアなどで報道されたことで、多くの人が知ることとなったサイバー攻撃の手法の1つだ。IPAが毎年公表する「情報セキュリティ10大脅威(組織)」では、初出の2016年以降、10年連続でランクイン、5年連続で1位になるなど、その脅威は今や広く知れ渡る存在となっている。
近年、ランサムウェアを用いた攻撃は巧妙化しており、窃取したデータを一般に公開するといったように二重に脅迫を行うダブルエクストーション、さらにはDDoS攻撃を行うとの追加の脅しをかけるトリプルエクストーションなど、多重脅迫を用いることで、企業・組織が金銭の支払いに応じざるを得ない状況に追い込むケースが増えている。
加えて、ランサムウェア攻撃の手口が広がっている背景には、RaaS(Ransomware as a Service)の存在もある。こうしたサービスがダークウェブ上などで流通したことで、攻撃ツールの開発ができなくても、攻撃を行うことが容易となり、その裾野が広がってしまったのだ。
ほかにも、ノーウェアランサムと呼ばれる、データの暗号化すら行わず、データを盗み出してその公開を取引条件に金銭を要求する手口も広がりを見せている。攻撃者がデータを暗号化する場合、データ量に応じた時間を要することになる。 しかし、この手口の場合、暗号化を行わないため、速やかな攻撃が可能となる。昨今のランサムウェア攻撃対策を見越した上での手口であり、今後もこのように対策の進化に応じて手口も変化していくことが見込まれる。
ランサムウェアの感染経路
ランサムウェアはマルウェアの一種であり、感染経路もマルウェア同様にメールの添付ファイル、Webサイト、ソフトウェアやハードウェアの脆弱性を突くなどして、デバイスへの侵入を試みる。主要な感染経路は以下のとおりだ。
メール
迷惑メールのようなばらまき型メールに、添付されたファイルにランサムウェアを潜ませる方法や本文中のリンクをクリックさせて不正サイトへ誘導する手法は依然として多く見られる。実在している会社を騙る送信者名や件名を受信者の興味をひくように偽装することで開封を促し、さらに添付ファイルの実行やリンクのクリックにつなげる。最近は、送信者のメールアドレスや組織名、氏名を詐称する手口もより巧妙となっている。
Webサイト
昨今のWebサイトはユーザーにとって利便性が高くなっているが、そうした恩恵を支えている技術が悪用されることでランサムウェア感染のリスクともなっている。攻撃者は正規サイトを装ったWebサイトにさまざまな仕掛けを組み込み、ユーザーにランサムウェアが潜むファイルのダウンロード、実行を促すのだ。
ソフトウェア
昨今のセキュリティ事情もあり、近年のソフトウェアは頻繁にセキュリティアップデートが行われることが少なくない。そうしたアップデートを煩わしいと感じて、対応しない場合は脆弱性を放置することになり、リスクにつながりかねない。攻撃者のマルウェア、ランサムウェアの開発サイクルは日増しに高速化しており、脆弱性への対応に時間が空いてしまうと、感染の危険性が高まるため注意が必要だ。
ネットワーク、ハードウェア
攻撃者にとって、一度内部のネットワークに侵入さえできてしまえば、接続されているデバイスにランサムウェアを感染させるためのあらゆる手法を試行できる状況となる。また、コロナ禍で広がったテレワークに乗じて、リモートデスクトップやVPN機器の脆弱性につけ込み、ランサムウェア感染に至った事例も数多く確認された。
不正な広告(マルバタイジング)
インターネット上の広告手法としてアドネットワークが一般化するにつれ、不正な広告が紛れ込む余地も大きくなっている。その結果、広告からのリンク先として正規なものに偽装した不正なサイトへと誘導し、そのサイト上のリンクをクリックすることでランサムウェア、マルウェアに感染させるようなケースも起こっている。
攻撃者にとって、ランサムウェア感染に至らせれば、大きな収入源を得られることになる。そのため、取り得るあらゆる手法を用いて攻撃を試みるのだ。対応策を検討する際には、局所的な対応にとどめず、あらゆる経路が狙われているという前提に立つことが重要だ。
ランサムウェアに感染するとどうなる?
データの暗号化を行わないノーウェアランサムを除き、ランサムウェア攻撃ではデータの暗号化を行う。そのため、被害に遭ってしまうと、データ自体が暗号化されて使えない状況が発生する。あるいはデバイス自体がロックされてしまうことで、利用できない状況に陥る。
加えて、データの暗号化で利用不能とするだけでなく、リークサイト上に公開すると脅す、さらにはDDoS攻撃を絡めた脅しをも行う、といった手口が確認されているのは先述のとおりだ。企業・組織としては、事業の継続性、あるいは企業自体の信頼性が損なわれると判断して、支払いに応じざるを得なくなる。
感染に至ると、攻撃者から取引を呼びかけるメッセージが送り付けられることになる。攻撃者は心理的なかく乱をはじめ、あらゆる手口を用いて取引を優位に進めようとする。そのため、感染が疑われる場合、まずは冷静に対処することが重要となる。参考までに、ランサムウェア感染が疑われるケースでは、以下のような兆候が見られる場合がある。
身代金要求メッセージの表示
先述のWannaCryでは、身代金を要求する赤い画面がメディアなどを通して大きな話題となった。このように、ランサムウェアに感染すると、攻撃者から取引を要求するメッセージが何かしらの形で提示されることになる。
データ、ファイルの異変
攻撃者によって暗号化されたデータを開く際、ファイルが暗号化されているとのアラートが表示される場合がある。
パフォーマンスの低下
攻撃者が暗号化プロセスを実行している段階では、パソコンのパフォーマンスが低下する可能性も考えられる。また、攻撃者が外部へファイルを送信する段階でネットワークの帯域が圧迫されるなど、パフォーマンスに異変が生じることもある。
ランサムウェア感染が疑われる場合の対処
先述のような兆候が生じた場合、どのように対処するのがよいのだろうか。5つのステップで時系列順にて解説する。
1)感染が疑われるデバイスの隔離
攻撃者は1台のデバイスに侵入して攻撃を広げていく。そのため、感染が疑われるデバイスを速やかにネットワークから隔離することが重要だ。また、感染していないデバイスであっても、念のためネットワークから隔離しておくと安全だ。
2)専任部門、専門家への相談、報告
情報システム部門をはじめ、セキュリティを担当する専任者が設置されている企業・組織では、まずは担当部門へ報告を行い、従前に策定されている緊急時の対応を進めることになる。そのような組織が社内に設置されていない場合は上長に相談することになる。また、MDR(Managed Detection and Response)などセキュリティのマネージドサービスを利用している場合は、提供ベンダーへ速やかに連絡して、その後の対応について指示を仰ぐことになる。
3)すべてのデバイスに対するセキュリティスキャンの実行
感染しているデバイスは1台だけとは限らず、そのほかのデバイスにも感染が及んでいる可能性がある。したがって、社内ネットワークにあるデバイスをセキュリティソフトでスキャンするようにしたい。ただし、このタイミングでネットワークに接続することで感染が広まってしまう可能性もある。自らの判断で対応を早まらず、専門家、専任担当部門、あるいは上長の指示に従うことが重要だ。
4)バックアップの確認
過去に取得しているバックアップがどの時点のものであるかを確認する。タイムラグが生じている場合、その差分を回復するための方法の模索、あるいはその差分を前提にした復旧計画を検討することになる。
5)警察への相談
昨今のサイバー犯罪の広がりもあり、全国の警察署に設置されているサイバー犯罪相談窓口(警察庁Webサイト)にて相談を受け付けている。対処が落ち着いたタイミングを見計らって相談するとよいだろう。
ランサムウェア攻撃に遭遇した場合、攻撃者の取引に応じないことが肝要だ。取引に応じてしまうことで、さらなる攻撃を助長する可能性があるからだ。そのためにも、バックアップを含め、日頃から対策を講じておくことが重要となる。
ランサムウェア感染を防ぐための対策は?
極論だが、巧妙化するランサムウェア攻撃を完全に防ぐ方法は存在しない。しかし、被害に遭うリスクを最小化するための対策は存在する。そうした前提に立ち、自社で適切な対策を講じ、そのアップデートをしていくことが望ましい。以下、主な対策を紹介していく。
1)ソフトウェア、ハードウェアなどの脆弱性の解消
デジタル全盛時代を迎え、今や企業・組織では多くのデジタルデバイスを活用している。そうした状況に応じて脆弱性が生じ得る範囲も広がりを見せており、一例ではWebブラウザーのプラグインなども該当する。こうした脆弱性を、個別に洗い出して脆弱性の解消を目指すのが脆弱性診断だ。また、システムへの侵入を試みて脆弱性のテストを行うのがペネトレーションテストだ。ホワイトハッカーが攻撃者さながらの手法を用いて診断を行うことで、社内システムに潜むリスクを洗い出す。
また、社内のシステム環境は昨今複雑化・多様化しており、思わぬところに脆弱性が生じる可能性がある。そのため、配置されるデバイスそれぞれを適切に管理することが求められる。例えば、ESET PROTECTソリューションに搭載されている脆弱性・パッチ管理(VAPM)機能を利用することで、最新の修正プログラムが適用されたOSやアプリケーションの状態を維持できるため、マルウェア感染のリスクを低減させることが可能だ。
2)定期的なバックアップの取得
ランサムウェア攻撃に遭遇すると、ファイルが暗号化されてしまい、それ以降の利用ができなくなる。そのため、日頃から高い頻度でバックアップを取得しておくことで、復旧時の差分が少なくなり、事業継続への影響は最小に抑制できる。ただし、バックアップを取得するだけでなく、復旧時にそのバックアップが適切に利用できるかも従前に確認しておくことが重要だ。また、復旧プロセスも事前に策定し、定期的に確認しておくのが望ましい。
3)基本的なセキュリティ対応の徹底
ソフトウェア、システムの脆弱性だけでなく、攻撃者はターゲットの弱みにつけ込むことで攻撃の成功確率を高めようとする。複雑かつ桁数の多い強固なパスワードを使う、二段階認証を設定する、といった不正ログイン対策をはじめ、怪しいメールを開かない、不審なリンクは検索エンジン経由であってもクリックしないといった基本的な対策も徹底するようにしたい。
4)セキュリティソフトの導入
サイバー攻撃の手口が巧妙化したこともあり、マルウェアという言葉を目にする機会は多くないかもしれない。しかし、重ね重ねとなるが、ランサムウェアもマルウェアの一部であり、マルウェアは今なお、さまざまな攻撃の起点となっている。例えば、ESET PROTECT Advancedにはフィッシング対策やファイアウォールといったネットワーク保護など、ランサムウェアをはじめとするサイバー攻撃の被害を防ぐ機能も充実している。
今や多くの企業・組織においてセキュリティソフトの導入は常識となりつつあるが、仮に導入していないようであれば、速やかな導入が求められる。
5)従業員のセキュリティ教育
ランサムウェア攻撃では、関係者になりすまして従業員を騙して侵入を試みるようなケースもある。また、フィッシングサイトを仕掛けて、アカウント情報を詐取することでランサムウェア攻撃に悪用するといった手口もある。攻撃者の手口は時間の経過とともに巧妙化の一途を辿っており、ランサムウェア攻撃をはじめ、今後もさまざまな手口が生み出されることは想像に難くない。
セキュリティ対策のツールを導入するだけでなく、従業員に対する教育や訓練を定期的に実施し、セキュリティ意識を向上させることで、ヒューマンエラーを起点とした攻撃を未然に防ぐことが何よりも重要かつ強固な対策となる。サイバー攻撃の手口は技術の進化や環境の変化に応じて、常に変わっている。その前提を改めて認識して、対策や心構えをアップデートしていくことで被害遭遇の最小化につなげてほしい。
