キヤノンMJ/サイバーセキュリティ情報局
ランサムウェアの種類と特徴、実例を踏まえた対策について解説
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「進化するランサムウェアの手口、被害を防ぐためにしておきたい7つのこと」を再編集したものです。
今や、多くの企業にとってサイバー攻撃は対岸の火事ではない状況にある。特に、ランサムウェアと呼ばれるタイプのマルウェアを用いる攻撃は、被害金額も大きくなりやすいことから見過ごせない脅威となっている。この記事ではランサムウェアの種類と特徴、そして実例を踏まえた対策について解説する。
凶暴性を増すランサムウェアとは
ランサムウェアとは、データを暗号化して、その復号と引き換えに身代金を要求するマルウェアのことだ。近年、被害が増加し続けており、IPAの「情報セキュリティ10大脅威」では、組織向けの脅威として、2021年、2022年と続けて1位となっている。
米国サイバーセキュリティベンチャーズ社の調査では、2021年の世界の被害額はおよそ200億ドル(およそ2兆1000億円)とされ、2031年には2650億ドル(およそ28兆円)に達すると見込まれている。ランサムウェアとして確認されているマルウェアには、以下のような種類がある。
1) CryptoLocker
2013年に被害が確認されたランサムウェア。主な感染経路はメール。暗号化だけでなく、端末内のオンラインバンキングの認証情報も窃取する。
2) Petya
2016年に活動が見られたランサムウェア。パソコンのMFT(マスターファイルテーブル)を暗号化し、最終的には端末の起動そのものをできなくする。
3) WannaCry
2017年に世界中で猛威を振るったランサムウェア。端末内の179種類の拡張子を対象にファイルを暗号化する。ビットコインで身代金の支払いを要求する点が特徴的で、ランサムウェアという存在が世界に認知されるきっかけとなった。
4) LockBit
2019年に発見されたランサムウェア。別名「ABCDランサムウェア」。暗号化する際のファイル拡張子が由来となっている。特徴は拡散性で、自立型の拡散機能を搭載している。
5) Conti
2020年5月に発見されたランサムウェア。WindowsのすべてのOSのバージョンが攻撃対象とされた。MacやLinux、Androidには影響がないとされる。RaaSとして提供されている点が特徴で、ロシアに活動拠点を置くとされるハッカー集団が開発している。
6) Qlocker
2021年に発見されたランサムウェアで、QNAP社製NASの脆弱性を突いて侵入する。乗っ取ったNAS上で圧縮・解凍ソフトを使い暗号化を行なう。
改めて振り返る「WannaCry」の危険性とは?
https://eset-info.canon-its.jp/malware_info/special/detail/201110.html
近年のランサムウェアの特徴
近年、ランサムウェアの攻撃手法は巧妙化している。ランサムウェアの特徴的な攻撃手法について、それぞれを以下に解説する。
1) 多重脅迫型
ファイルを暗号化するだけでなく、幾重にもわたって脅迫するランサムウェア攻撃。窃取した情報の公開、DDoS攻撃、被害者のステークホルダーへの連絡、などといった脅迫が行なわれる。
2) 標的型
ばらまき型のランサムウェアではなく、特定の企業・組織を狙ったランサムウェア攻撃。攻撃の前にターゲットとなる企業を入念に調べ上げ、侵入経路を見つけ出す。また、専用のランサムウェアを開発する場合もある。
3) RaaS
RaaSとは「Ransomware as a Service」の略。ランサムウェア攻撃に必要なプログラムなどをサービスとして提供するもの。ランサムウェア攻撃は高度に分業化、ビジネス化されており、RaaSによって攻撃ノウハウを持たないハッカーでもランサムウェア攻撃が可能なエコシステムが成り立っている。
4) サプライチェーン攻撃
特定のサプライチェーン上にある、セキュリティ対策が脆弱な企業を狙い、そこを侵入口として、最終目的となる対象へ攻撃を行なう。近年、大企業や行政機関ではセキュリティ対策が堅牢になっていることから、こうした攻撃が増加傾向にある。
ランサムウェアとは?過去の事例から求められるセキュリティ対策とは?
https://eset-info.canon-its.jp/malware_info/special/detail/211216.html
被害が深刻化する「侵入型ランサムウェア攻撃」
ランサムウェア攻撃は大きく、「ばらまき型」と「侵入型」に分けられる。ばらまき型のターゲットは基本的にエンドポイント、すなわちパソコンやタブレットなどの端末だ。当初はこの「ばらまき型」のランサムウェア攻撃が多くを占め、先述の「WannaCry」で多くの人がその存在を知ることとなった。
ばらまき型の被害は感染した端末の「権限」に大きく依存する。機密情報へのアクセス権限を持つ端末が感染した場合、被害が増大する傾向にある。
一方で、近年の企業・組織では社内研修などを通じて、ランサムウェアの被害を防ぐためのリテラシーも高まりつつある。そのため、攻撃者は一層巧妙な手法を採用することで、攻撃の成功率を高めようと目論む。それがすなわち侵入型ランサムウェア攻撃だ。
侵入型ランサムウェア攻撃は、サーバーやネットワークの脆弱性を狙うことで侵入の糸口を探ろうとする。主に狙われがちなのは、リモートワークで使用されるVPNやRDPの脆弱性だ。コロナ禍でリモートワークが急速に普及して以降、その傾向は顕著となっている。
侵入型ランサムウェア攻撃は、システムへの侵入・拡散を通じて重要情報のあるファイルサーバーなどへのアクセスを試みる。そのため、一度攻撃を受けると、機密情報や重要システムへのアクセスを許してしまい、被害が深刻化するリスクが高い。
侵入型ランサムウェア攻撃の被害事例
侵入型ランサムウェアの被害事例を以下に紹介する。
1) 米国の最大のパイプライン
2020年5月、米国最大のパイプライン運営企業がランサムウェア攻撃の被害に遭遇。DarkSideと呼ばれる犯罪グループによる犯行で、同社は身代金と情報公開という二重の脅迫を受け、結果的におよそ4億8000万円の身代金を支払っている。このケースでは、同社のVPNのパスワード認証が狙われたとされている。
2) 国内大手ゲーム会社
2020年11月、日本国内の大手ゲーム会社がランサムウェア攻撃を受け、約15,000人の個人情報が漏えいするという事態が発生。犯罪グループ「Ragnar Locker」が盗み出したとされるデータを公開して身代金を要求した。この件では、同社の旧型VPNの脆弱性が突かれ、社内ネットワークへの侵入を許したことが要因とされている。
3) 国内の大手病院
2022年6月、国内の病院がランサムウェア攻撃の被害に遭い、電子カルテなどの院内システムが大きな影響を受けるに至った。ランサムウェアLockBit 2.0による攻撃と想定されているが、侵入経路は不明とされる。近年は、企業だけでなく病院や重要なインフラを担う事業者などが狙われることも増えている。
重要性を増す「ゼロトラスト・セキュリティ」の考え方
「ゼロトラスト」とは、2010年に米国の調査会社フォレスト・リサーチ社が提唱した「すべての通信を信頼せず、常に監視する」という前提に立つセキュリティの概念だ。これまで、組織のネットワークを内部と外部に分け、それぞれでセキュリティ対策を講じるというのが一般的だった。組織内部の通信も含めて、「すべての通信を信頼しない」前提でセキュリティ対策を講じる考えがゼロトラストだ。
ランサムウェアの被害が拡大した要因のひとつとして、コロナ禍で進んだ社内外で業務を行なう、ハイブリットワークの普及が挙げられる。自宅など組織外でのリモートワークが一般化したことは、攻撃者にとっては侵入方法の選択肢が増えたとも言える。先述したVPNやRDPの脆弱性が狙われるだけでなく、クラウド上のデータなども狙われるのだ。
こうした時代の流れによる変化に応じて、セキュリティの考え方も変わっていく必要がある。ゼロトラストはまさに、こうした働き方の変化を見越した考え方となっている。
ゼロトラスト・セキュリティ・モデルはクラウド時代の最適解となるのか?
https://eset-info.canon-its.jp/malware_info/special/detail/220825.html
ランサムウェアの被害を防ぐための対策
ランサムウェアの被害を予防するための基本的な対策について、改めて以下に整理していく。
1) セキュリティソフトの導入
ウイルス対策ソフト、セキュリティソフトの導入は必須の対策と言える。導入し、バージョンを最新に保つことで、フィッシングメールや不正なWebサイトを経由したランサムウェアの感染リスクを低減できる。
2) OSやソフトウェア、ファームウェア等の最新化
OSやソフトウェア、またファームウェアは常に最新に保つことも基本中の基本だ。脆弱性は発覚するや否や、攻撃の糸口として悪用される。脆弱性を突くマルウェアの開発サイクルも高速化していることから、セキュリティアップデートは迅速に適用することが重要だ。
3) 多要素認証の導入
パスワードだけでなく、生体認証や物理トークンなどを用いた多要素認証を導入することで、認証が突破されるリスクは低減する。ランサムウェアでは認証を突破し、不正アクセスでランサムウェア感染に至らせるケースも確認されているため、認証を強化することは重要度が高い。
4) 定期的なバックアップ
万一の感染時に備え、企業・組織内の端末、サーバーなどのデータは定期的にバックアップを取得しておくことだ。また、バックアップデータはネットワークから切り離されたところに保存しておくことで、ランサムウェアによる暗号化の被害に遭うリスクは抑えられる。
5) 機密情報の暗号化
感染時のデータ窃取後、その公開を行なうと脅す二重の脅迫に対抗するためには、データを暗号化しておくことだ。すべてのデータとはいかなくとも、機密性の高いデータだけでも暗号化しておくことで、脅迫の材料とされた場合も適切に対応することが可能となる。
6) 外部接続機器の利用制限
ランサムウェアに感染したUSBメモリーなどの外部ストレージを介して、ランサムウェアが拡散するリスクがある。そのため、従業員の外部接続機器については禁止するか、適切なルールを定める。
7) ファイル操作ログの監視
情報窃取のリスクを抑制するため、ファイル操作ログを監視する。加えて、ファイルサーバーへのアクセス権限を適切に設定することで、感染端末によるファイル操作のリスクも低減できる。
また、企業・組織の状況に応じたセキュリティポリシーも、リモートワークという働き方を前提に、検討・変更する必要もあるだろう。そのための参考として、米国NISTが提供するフレームワークを活用するのも一考だ。国内向けに、IPAが翻訳版をウェブサイト上にて公開している。
なお、NISTではランサムウェアに関するフレームワークも提供している。その拡張版が2022年夏にはリリースされる見込みとされているため、そちらもぜひ参考にしてほしい。
NISTが定めるサイバーセキュリティフレームワークとは?
https://eset-info.canon-its.jp/malware_info/special/detail/210325.html
時代の変化に応じた対策を
ランサムウェアは凶暴さを増し、その被害は拡大の一途を辿っている。サイバー攻撃が闇ビジネスとしての地位を確立したこともあり、今後もこの勢いはさらに加速することが見込まれる。
ランサムウェアによる攻撃の被害に遭遇しないためにも、情報収集は継続的に行なうようにしたい。また、この記事でも紹介したように、攻撃手法の変化によって、防御側の概念、そして対策も変わる。今後、どういった対策を講じるべきかを攻撃に先んじて検討し、実行に移すことが何よりも重要なことだ。
壊滅的なサイバー攻撃から従業員を守るため、2022年に検討すべきこと
https://eset-info.canon-its.jp/malware_info/special/detail/220308.html