「ランサムウェアの多様化」「サイバー戦争」など、セキュリティ企業の2017年予測を読む
2017年の脅威はこうなる!11社予測まとめ《ランサムウェアほか編》
2017年01月19日 07時00分更新
本稿第1回では、2017年に予測されるIoT関連のセキュリティ脅威動向についてまとめた。今回はランサムウェアやサイバー戦争など、そのほかに予測されているセキュリティ脅威について見ていこう。
本稿で参照したレポート一覧(リンク)●
マカフィー(インテル セキュリティ)/シマンテック/トレンドマイクロ/カスペルスキー/ファイア・アイ/パロアルトネットワークス/フォーティネット/EMC RSA事業本部/チェック・ポイント・ソフトウェア・テクノロジーズ/ジュニパーネットワークス/ウォッチガードキーワード「ランサムウェア」:攻撃の量は減少、しかし脅威はより増大?
昨年2016年は、ランサムウェアが猛威をふるった年だった。特に、これまではあまり標的にされていなかった日本が積極的にターゲットにされた年だったと言える。
たとえばカスペルスキーのレポート「2016年 脅威の統計概要」によると、同社セキュリティ製品で昨年1年間(2015年11月~2016年10月)に検知された暗号化型ランサムウェアの亜種は5万4000種以上にも上った。そして、ランサムウェア攻撃を受けたユーザーの割合が最も高かった国は日本(国内の同社製品ユーザーのうち4.46%)だったという。
新たに検出された暗号化型ランサムウェアの亜種の数(2015年11月~2016年10月)(出典:カスペルスキー)
暗号化型ランサムウェア攻撃の地理的分布(攻撃を受けたユーザーの割合)(出典:カスペルスキー)
加えてカスペルスキーでは、マルウェアコードの欠陥、脅迫文の間違いなどから「実力の低い」攻撃者が増加したことも指摘している。これまでほかの詐欺行為を専門としてきた犯罪者たちが、簡単に儲かるランサムウェア犯罪市場に“新規参入”してきたわけだ。
ちなみにEMC RSA事業本部(RSA)のレポートによると、1件あたりの身代金要求額は平均で300ドル程度だという。
昨年のランサムウェア被害、1件当たりの身代金額は平均300ドル程度(出典:RSA)
さて、こうしたランサムウェアの猛威は2017年も続くのだろうか。
マカフィー(インテル セキュリティ)では、2017年のランサムウェア攻撃の量は「減少していく」と予測している。セキュリティ業界と各国の捜査当局が協力を図り、脅威を迅速に検出して封じ込め、犯罪者を摘発する動きが強まっているからだ。
「「No More Ransom!」のような〔セキュリティ業界の〕イニシアチブや新しいランサムウェア対策技術、取り締まりの継続により、2017年の年末にはランサムウェアの量が減少し、勢いが衰えることが予測されます」(マカフィー)
「No More Ransom!」(www.nomoreransom.org)では、犯罪者への身代金支払いをやめさせるため、数種類のランサムウェアに対する暗号解除ツールを提供している
ただし、これはあくまでも「量」が減るという予測であり、今年中にランサムウェアの脅威が過ぎ去ると考えるのは早計だ。同じレポートの中でマカフィー自身も、モバイルデバイスやIoTシステムを狙うランサムウェアはむしろ増加し、引き続き大きな脅威であることに変わりはないことを説明している。
またフォーティネットでは、ランサムウェア攻撃はターゲットを「有名人、政治家、大規模企業など」に絞り込むようになると予測し、次のようにコメントしている。
「これまでのランサムウェアの脅威はただの入り口にすぎませんでした」(フォーティネット)
犯罪ビジネスを効率化するため、ランサムウェアの攻撃手口は「多様化」する
ベンダー各社の予測を総合すると、2017年はランサムウェアの技術が高度化し、攻撃手口が「多様化」していく1年になる。その狙いを端的に言えば、1回の攻撃によって「より稼げる」手法を模索することだ。
たとえばトレンドマイクロでは、ランサムウェア攻撃がより「凶悪化」すると予測している。具体的には、単にターゲットのデータを暗号化して身代金を要求するのではなく、情報を盗み出し転売したうえで暗号化することで、二重に金銭を儲けようとする攻撃が増えるという。
「サイバー犯罪者はまず、窃取した機密情報をアンダーグラウンドで販売します。その後、ランサムウェアを利用してサーバのデータを人質に金銭を要求します。これによって、サイバー犯罪者は一度の攻撃で二回利益を得ることができます」(トレンドマイクロ)
またウォッチガードは、攻撃技術の高度化によって、自己増殖機能を備えるワーム型のランサムウェア(ランサムワーム)が登場することを予測している。標的型メール攻撃を通じて、ターゲットの企業/組織内で一気に感染が拡大するという最悪の事態も予想される。
「ランサムウェアが自己複製を無限に繰り返してネットワーク全体に感染が拡散するような状況は想像したくありませんが〔……〕ランサムワームが登場して大混乱するのは時間の問題です」(ウォッチガード)
今年は自己増殖能力を備えた“ランサムワーム”が出現するかもしれない(出典:ウォッチガード)
シマンテックとチェック・ポイント・ソフトウェア・テクノロジーズでは、企業のクラウド利用が進んでおり、重要なデータもそこに保存されていることから、クラウドが新たなターゲットになると予測している。企業をターゲットにすれば高額な身代金の支払いが期待でき、その一方でクラウドの防御技術はまだ未成熟だからだ。
「クラウドベースのストレージやサービスへの大きいシフトが進んでいることから、クラウドは攻撃者にとって儲けの大きい標的になりつつあります。〔……〕クラウドが〔ランサムウェアに〕攻撃されれば、被害額は何百万ドルにも及び、重要なデータも失われます」(シマンテック)
前述のとおり、これまでのランサムウェア攻撃においては、1件あたりの身代金額が平均300ドル程度と少額だった(もちろん例外もあるだろうが)。今後、攻撃者が戦略的にターゲットを絞り込み、大企業や重要データ/システムを狙うようになることで、巨額の身代金が要求されるケースも増えるはずだ。
なおカスペルスキーでは、「実力の低い攻撃者」が増えることによって、「身代金の支払いでファイルが〔元のデータ/システムが〕戻ってくる」という従来の「被害者と攻撃者間の奇妙な信頼関係」が崩壊すると予測している。
「これによって高度なスキルを持つ大規模な犯罪グループが攻撃を止める可能性は低いのですが、ランサムウェアの拡大に対抗する諸機関が、標的になった人に身代金の支払いをアドバイスするという発想を捨てるきっかけになるでしょう」(カスペルスキー)
