2020年11月26日、NISC(内閣サイバーセキュリティセンター)から、『ランサムウェアによるサイバー攻撃について【注意喚起】』が公開されました。ランサムウェアとは、2017年に流行した「WannaCry(ワナクライ)」等に代表される身代金要求型不正プログラムのことで、感染したPCに対して一定の制限をかけて、その制限解除と引き換えに金銭を要求するマルウェアの一種です。 今年に入り、特に企業をターゲットとしたランサムウェア攻撃が急増し、身代金も高額化している傾向があることから、強い危機感が背景にあると見られます。 同注意喚起では、最近のランサムウェアの特徴のほか、予防策や感染した場合の緩和策、対応策が記されています。今回はNISCの注意喚起をベースに、最新のランサムウェア動向についてみていきたいと思います。
一般的なランサムウェアの攻撃
ランサムウェアの種類
・暗号型ランサムウェア
ファイルを開けないよう暗号化することで金銭の支払いを要求します。ファイルを復号するには、暗号化に使った鍵が必要で、この鍵と引き替えに身代金が要求されます。ロック型に比べ広く普及しています。Erebus, Bad Rabbitといった種類があります。
・ロックスクリーン型
デバイスの画面をロックして、何も操作できない状態にします。Win32/Reveton, Jisutといった種類が確認されています。画面ロック型はパソコン内のデータ自体は操作されていないので、データ復旧できる可能性は暗号化型に比べて高いと言われています。
ランサムウェアによる被害
・感染PCの有効な操作ができなくなる
・感染PC内のファイルやネットワーク共有上のファイルが暗号化され、利用できなくなる(ランサムウェアの駆除を行っても暗号化されたまま残る)
・要求された「身代金」を支払うことによる金銭的な被害
攻撃者は企業のネットワークに入り込むと、できる限り広範囲のデータを暗号化し、復号の条件として多額の身代金をビットコインの形で要求します。一度攻撃をされ、データを「人質」にとられてしまうと、高額の身代金を支払う羽目になってしまいます。
2020年最新のランサムウェアの動向
企業を狙った攻撃の増加
NISCの注意喚起では、ランサムウェアによるサイバー攻撃が国内外の様々な組織で確認されており、注意が必要であると冒頭で警告されています。
ランサムウエアによるサイバー攻撃の高度化・巧妙化、攻撃活動が活発になっており、本年度に入ってから、我が国及び関連する海外の組織でランサムウェアの感染による業務支障が多く報道されています。とりわけ、本年は新型コロナウイルス感染症拡大防止対策により、リモートアクセス環境やインターネットからアクセス可能な機器等の外部ネットワークの利用が拡大しており、こうした接続点から組織内のネットワークに侵入する事例が多く確認されています。
引用:https://www.nisc.go.jp/active/infra/pdf/ransomware20201126.pdf
ここで書かれているように、新型コロナウイルス感染症拡大防止対策としてリモートワークに踏み切った企業の外部ネットワークの利用が拡大したことを一因に、そのセキュリティの隙を突かれる形で攻撃が広がったことがうかがえます。インターネットにつながれている機器をスキャンして見つかった脆弱性を悪用されているのです。 こうしたランサムウェアによるサイバー攻撃は2019年と比較すると7倍にも上ったというデータもあります。 国内企業の半数超がランサムウェアの攻撃を直近1年間に受けており、32%が身代金を支払ったとする調査結果も「CrowdStrike」から発表されています。同社の調査によると、企業が攻撃者に支払った平均支払額は1億2300万円だったとのことです。
2段階の脅迫
従来のランサムウェアによるサイバー攻撃は、PC 等のデータを暗号化し、利用不能とさせ、復元のための身代金を要求するものでした。最近の動向としては、ファイルの暗号化による身代金の要求に加えて、暗号化前に窃取したファイルを公開すると2重で脅迫して身代金の要求を行う手法が広がりをみせています。 ランサムウェアからさらに多額の利益を引き出す目的で行われる2段階の脅迫では、データを暗号化して身代金を要求するだけでなく、要求に応じなければそのデータをインターネットにアップロードすると脅迫を受けます。マカフィーも昨年末、「2020年はランサムウェア攻撃が2段階で脅迫攻撃に進化する」と脅威予測を出していましたがその通りとなりました。 2段階脅迫では、バックアップを利用してデータを復元できたとしても、攻撃者によってデータを流出させられるという圧力がかかることになり、データが流出すると経済的損失や評判の失墜といった、深刻な影響が出る可能性があります。
人手によるランサムウェア攻撃(human-operated ransomware attacks)
最近のランサムウェア攻撃は機械的に行われるのではなく、攻撃者が組織内を十分探索した後に攻撃が実行されるため、被害規模が大きくなります。攻撃者は包括的な戦略をねり、身代金から得る金額を引き上げるため、標的と攻撃手段を慎重に選んで攻撃を仕掛けてきます。 標的型攻撃等で利用される手法を用いて、標的の組織のネットワークに侵入し、侵入後の侵害範囲拡大等を行います。そして、事業継続に関わるシステムや、機微情報等が保存されている端末やサーバを探し出してランサムウェアに感染させたり、ドメインコントローラのような管理サーバを乗っ取って、一斉に企業・組織内の端末やサーバをランサムウェアに感染させたりします。一般的に、攻撃の進行を検知しにくく、判明した時点では既に大きな被害が生じている場合があります。
RaaSのプラットフォームの流通
驚くべきことにSoftware-as-a-Service(サービスとしてのソフトウェア、SaaS)のランサムウェアバージョン、Ransomware-as-a-Service(サービスとしてのランサムウェア、RaaS)のプラットフォームが流通しています。RaaSで提供されるランサムウェアは、プログラムとしてはそれほど高度ではありませんが、ランサムウェアを「サービス」として利用できるため、スキルのない攻撃者でも攻撃を実行できてしまいます。ダークウェブ上で公開・取引されるRaaSは数千円~数万円で利用できてしまうものもあるため、結果的に攻撃者がランサムウェアを配布するハードルを下げ、ランサムウェアの被害増加傾向の一因となっていると言われています。
ランサムウェアの対策と予防
組織のネットワークと外部との接続点の堅牢性について確認
インターネットからアクセス可能な機器について、インターネット公開の必要性を確認しやみくもにネットにつなげないようにします。ネットにつなげる場合は、セキュリティパッチを迅速に適用したりVPN機器の脆弱性等にアップデートを行ったりします。
メールへの対策
不審なメールの添付ファイルを開かないのは常識ですが、実際の取引先が先に攻撃を受け、踏み台となってメールを送信してくるケースもあります。不正アクセスの入口となる可能性のあるメールサービスには、スパムフィルターを導入し、メールに添付された実行ファイルをブロックまたは隔離するといった対策も必要でしょう。
ファイルのバックアップ
業務上重要な情報は日ごろから定期的にバックアップします。またバックアップデータは、安全なクラウド上に保管します。バックアップで取得したデータをもとに、実際に復旧できることを確認しておきます。 データを窃取された場合にも備えて機密データや個人情報にアクセス制御や暗号化を実施するなど保護することが重要です。
不正アクセスを迅速に検知する
サーバ、ネットワーク機器、PC 等のログの監視を強化したり、EDR(Endpoint Detection and Response)、CDM(Continuous Diagnostics and Mitigation)等を活用して不正アクセスを迅速に検知したりするための対応策が必要です。
さいごに
ランサムウェアは、初めて登場したときから進化を続けています。今回はリモートワークを行う企業のセキュリティ対策の甘さや隙が狙われたことも、被害拡大の主要因となっています。実際多くの企業が利用するVPNはセキュリティ上の脆弱性が多く指摘されています。セキュアなテレワーク環境を実現するには、VPNではなく、『Cloudbric Remote Access Solution(クラウドブリック・リモートアクセス・ソリューション)』のように、Webアクセスの利便性を維持しながら、認証基盤のセキュリティを強化した製品で安全性を確保することも有意義な対策になり得ます。ランサムウェアによる攻撃の被害を受けた場合でも、冷静で適切な対応ができるように、組織一丸となった対処態勢を構築する必要があります。
クラウドブリックの「Remote Access Solution」の詳細情報はこちら
