Optimizing Your Security

ご契約様専用ページ

ID / パスワードをお忘れの方は こちら
※メーラが立ち上がります

※メーラが自動で立ち上がらない方は、
g-security@group.isid.co.jp 宛てに
契約中のソリューション名(SecurityScorecard/KnowBe4)と
お客様情報をご連絡お願いいたします。

凶悪化するランサムウエア

  • #セキュリティ

「ばらまき型」から「標的型」への変化によって求められる対策とは?

PCに感染すると、データファイルを暗号化して使えなくして、その復旧に対価を要求するランサムウエア。近年、話題となるマルウエア(悪意を持って作られたソフトウエア)の多くがこのランサムエアです。ランサム(Ransom)とは、英語で「身代金」を意味します。つまり、データを「人質」がわりにして、「身代金」を要求することから、この名前がつけられました。

その多くが、犯罪組織などによる資金稼ぎが目的と言われていますが、一方で、対価を支払っても復旧されないケースも少なくなく、単純に業務妨害や混乱を意図したサイバー攻撃の道具として使用される場合もあります。2017年に猛威を振るったワナクライやノット・ペチャといったマルウエアは、ランサムウエアに分類されてはいるものの、支払いを行っても復旧されず、ノット・ペチャに至っては、そもそも復旧出来ない仕組みであることが、ウイルス対策ベンダーの解析で判明しています。いずれのマルウエアも、コンピュータ以外の機器、たとえばATMやサイネージといったWindowsをOSとして使っている機器にも感染を広げ、様々な業務が影響を受けました。これらは、サービス妨害を意図したサイバー攻撃であるとも考えられます。背後に国家機関がいるとの分析もあり、大きな脅威となっています。

従来、ランサムウエアは、迷惑メール(スパム)などを介して大量にばらまき、少額の「身代金」を大量に集める形が主流でした。しかし、最近では、特定の企業を狙って送りつけ、その内部で拡散させて多額の対価を要求するケースが増加しています。マルウエアそのものも、それに対応して、自己拡散、感染能力が強化されるなど変化しつつあります。リモートアクセスを目的にインターネットにリモートデスクトップ接続を公開していた中小企業が、そこから侵入され、ランサムウエアを埋め込まれたケースも多発しています。さらに、データの暗号化だけでなく、データを外部に持ち出す機能も実装されており、持ち出したデータを公開すると脅して、支払いを促すような動きも増加しつつあります。最近では、日本のゲーム関連企業がこうした攻撃を受け、一部の情報をインターネット上に暴露される事態となっています。

こうした傾向を考えると、ランサムウエアによる「サイバー攻撃」は、不特定多数を狙った「ばらまき型」から、特定の対象を狙った「標的型」に変化しつつあると言えるでしょう。これに伴い、送り込みに使われるメールなども、いわゆる標的型攻撃に使用されるようなメール、つまり取引や業務連絡を装った内容に変化しています。従来、標的型攻撃は機密情報の窃取を目的としたものが大半でしたが、これに加えて、業務妨害や金銭目的の攻撃も、今後増加すると考えられます。特に、コロナ下でテレワークが一般化した現在、自宅などで働く社員を標的に、業務連絡やシステムメンテナンス連絡などを装ったメールによる攻撃も増加しています。
上の図は、「標的型ランサムウエア攻撃」を行う主体と対象を整理したものです。従来、「標的型」攻撃の多くが、高度な機密情報を狙ったもので、いわゆるAPT(高度かつ継続的な脅威)と呼ばれる、国家機関等の関与が疑われる主体によるものでした。これら、従来型の標的型攻撃にも、妨害や、陽動・攪乱、証拠隠滅などを狙って(場合によっては外貨獲得手段として)ランサムウエアが使われる可能性がありますが、こうした攻撃の対象は重要インフラや防衛関連産業、国家機関といったものが中心でした。しかし、これに加えて、犯罪者や犯罪組織が攻撃主体に加わることで、対象はすべての企業組織に広がりつつあります。それは、目的が「金銭」だからです。企業を狙ったランサムウエア攻撃は、いわゆる「標的型」攻撃と、使われる手法も類似しており、同時に情報の探索や窃取というような行為も並行して行われる可能性があり、一般の企業においても、こうした手法への備えが必要となっています。
企業がこうした攻撃に備えるには、従来からのウイルス対策、脆弱性対策、適切なパスワードの管理やアクセス制御などに加えて、標的型攻撃のメールを社員が開かないよう、訓練や啓発を強化することが必要です。最近、こうした標的型攻撃メールに対する訓練が広く行われるようになっていますが、単に訓練で開封率を調べるだけでは、十分な対策になりません。簡単に判別できるようなメールでは、訓練の効果が低く、判断が難しいメールをいきなり使えば、疑心暗鬼を招いて業務に影響がでてしまいます。社員がこうした攻撃の目的や特徴についての理解を深め、適切な判断や対処、もしくは報告が出来るようにするための教育・啓発プログラムとセットで実施しないと、逆効果になってしまう危険があります。こうした教育や啓発は、不審メールについてのみならず、様々なセキュリティ上の脅威を理解し、自分のこととして捉えるための総合的な教育、意識作りを目的とする必要があります。難しい内容は必要なく、どのような行動がどのようなリスクに繋がるのか、それを避けるにはどうすればいいかと自分の頭で考えること、組織的に対処を行うことなどの意識付けが重要となります。

サイバー攻撃は、今後さらに高度化していくでしょう。企業において全ての社員がその最前線に立っているという意識付けを行うことが、今、強く求められているのです。

(2021年5月25日更新)

【対談記事】最大の脆弱性「人」をどう改革する? 働き方の変化で問い直されるセキュリティ

関連記事