身代金を支払えばいい、ではない
なお、身代金の支払いについては慎重な判断が求められます。支払ったとしてもデータが戻る保証はなく、流出の防止も確実ではありません。むしろ攻撃者を利する結果になる可能性も指摘されています。利用中のセキュリティソフトのサポート窓口や、警察機関などに相談することも重要です(参考:ランサムウェア被害防止対策|警察庁Webサイト)。
ランサムウェア対策は、単一の製品で解決できるものではありません。多要素認証、脆弱性管理、ネットワーク設計、バックアップ、そして運用体制といった複数の対策を組み合わせて初めて、現実的な防御力が生まれます。
攻撃者は常に“弱いところ”を狙ってきます。だからこそ企業には、「侵入されても止められる」「被害を広げない」体制を整えることが、これまで以上に求められています。
ここまで見てきた通り、ランサムウェアの脅威は年々複雑化しており、「なんとなく知っている」だけでは十分とはいえない状況になっています。実際の攻撃手法や対策の考え方をもう一歩深く理解するためには、現場視点で整理された情報に触れることが欠かせません。そこで今回は、セキュリティリテラシーをさらに高めるための参考として、具体的な事例や実践的な対策をわかりやすく解説したブログ記事を紹介します。
今回紹介するのは、総合セキュリティソフトを提供するマカフィーの「McAfee Blog」の記事、「ランサムウェアとは?最近の主な手口やセキュリティ対策を紹介」です。
※以下はMcAfee Blogの転載となります。
ランサムウェアとは?最近の主な手口やセキュリティ対策を紹介:McAfee Blog
ほんの少し前まではランサムウェアを含むサイバー犯罪は遠い世界の話だと思っていましたが近年、日本企業をターゲットとしたランサムウェア攻撃に関するニュースが世間を賑わしています。特に最近は規模を問わず、医療機関や建設会社、自動車メーカーなど様々な業種の企業が相次いでランサムウェア攻撃のターゲットとされており、私達の生活にも身近に迫っているといえます。ひとたびランサムウェア攻撃による被害を受けてしまうと、復旧するまでに数百万円から数千万円もの費用が発生したり、被害に遭う前の状態まで復旧できないというケースも起きていることから、今やランサムウェア攻撃は深刻な社会問題の1つとなってます。
そんなランサムウェアですが、常に手口は進化しており、なかでもここ数年の巧妙化には目を見張るものがあります。今回は、ランサムウェアの進化に対応するためにも、国内の被害事例を紹介するとともに最新の手口を紹介しながら、セキュリティ対策を講じる際のポイントを紹介します。
ランサムウェアとは?
ランサムウェアは、マルウェアの一種です。主にソフトウェアを悪用して身代金を要求するという特徴から、身代金を意味するランサム(Ransom)とソフトウェア(Software)を繋げた造語であるランサムウェアと呼ばれるようになりました。
他のサイバー犯罪と同じように2010年代前半から仮想通貨の普及によって一気に増加しました。その手口は誘拐犯と同じで、感染すると利用者のシステムを制限し、解除する見返りとして犯人に対して身代金を支払わなければいけなくなります。具体的には企業のシステムやサーバー、お使いのデバイスが主なターゲットとされ、それらにロックをかけて制御不能にさせてユーザーが使用できなくさせます。
ランサムウェアによる被害の主な感染経路としては、ウェブサイト、メールや添付ファイル、VPN機器、ファイルのダウンロード、USBメモリなど外付けHDDなどがあり、最近はリモートワークが増えてきていることからオフィス外から会社の機密情報にアクセスする際に狙われる傾向があります。もし、ランサムウェアに感染した場合は身代金や修復費用などの金銭的被害はもちろんのこと、システム上の被害、業務上の被害、情報流出による社会的信用の失墜などの被害が想定されます。
当初は主に不特定多数の個人をターゲットとしたばらまき型でしたが、10年程前からはより大きな金額を得るために大企業や組織を狙う標的型に変化し、世界中で猛威を振るっています。日本国内では2014〜2015年頃から被害が報告されるようになり、ここ5年で本格的に被害が拡大しています。
最近のランサムウェアの手口
ランサムウェアは、時間の経過とともにどんどん新しい手口が生み出され、把握するのにもひと苦労といえます。以下では、最近のランサムウェアの主な手口をまとめました。
窃取した情報で脅迫する
従来のランサムウェアの手口は、システムやデバイスを暗号化することで制御不能にし、身代金を受け取るスタイルが常套手段でしたが、最近は窃取した情報をオンライン上で暴露すると脅迫して身代金を奪う手口を使った事件がいくつか起きています。
窃取した情報の販売
ダークウェブ上で摂取した機密情報を販売すると脅す手口が確認されています。機密情報を窃取した犯罪者は、別の犯罪組織に転売することで自分達の露出を最小限に抑えながら大きな利益を得ることができます。
特定のプラットフォーム
最近、大手オンラインサービスと比べて、セキュリティ面が不十分な特定の業務や用途に特化したプラットフォームが狙われています。一般的にあまり知られていない特定の業務に関するシステムはセキュリティ対策が最新ではなく、古い状態のまま使用されていることが珍しくなく、サイバー犯罪者の恰好のターゲットとなるのです。
二重脅迫
2019年頃から増加しているのが二重恐喝(ダブルエクストーション)という手口です。これは従来のランサムウェアの手口であるシステムやデバイスの暗号化による身代金の要求と、機密情報を外部やオンライン上に暴露するという2つの脅迫を組みわせて行なう手口で、これは受け取る金額を上げるためという側面もありますが、被害企業への圧力を強めて身代金を支払う可能性をより高めるために実行しているといわれています。
犯罪の分業化
サイバー犯罪の中でもより効率的に犯罪を行なうための方法が求められています。最近は利益目的でランサムウェアの開発のみを請け負う手法であるRaaS(Ransomware as a Service)が増えています。これはシステムへの侵入から身代金の受け取りまで一連の全てをサイバー犯罪達だけで行なうよりも、侵入経路を探し出すことに優れた別の犯罪者に依頼することによって無駄な手間を省くことができるというわけです。
日本国内で起きたランサムウェア攻撃による被害
警察庁が発表した「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、日本国内における企業・団体等におけるランサムウェアの被害の報告件数は、2022年以降大幅に増加しています。最近のランサムウェア攻撃の傾向として上記で紹介した二重恐喝による手口が増えており、身代金の被害に加えて情報漏洩のリスクも抱えてしまうことがわかっています。また、報告された事件のほとんどが暗号資産を対価として要求しています。以下では、近年日本国内で発生したランサムウェア攻撃による大規模な事件例をまとめました。
自動車メーカーにてシステム障害、国内外で工場9つが停止
2020年6月、大手自動車メーカーHONDAがランサムウェア攻撃を受けたのが原因で国内外9つの工場が停止しました。被害は、工場の生産や出荷が一時止まってしまったほか、本社などで働く従業員のパソコンが使用不可能になるなどネットワークシステムにも障害が発生しました。この事件では、社内ネットワークを管理している中枢サーバーのセキュリティ設定を勝手に変更されてしまったことで外部との通信も遮断され、あらゆるデータが暗号化されてしまいました。国内外の工場全てが復旧するまでに数日を要しました。
大手ゲームソフトメーカーで最大39万件の個人情報が漏洩
2020年11月、大手ゲームソフトメーカーのカプコンでランサムウェア攻撃によってサーバーが暗号化されてしまい、最大39万件の個人情報が漏洩する可能性がある事件が発生しました。ランサムウェア攻撃の影響で社内のメールやファイルサーバーなどが利用できなくなり、一時的に業務停止にまで追い込まれてしまい、さらには顧客情報をはじめとする様々な情報が流出したことがわかっています。犯人は身代金1100万ドルを要求しましたが、カプコン側は支払いを拒否したため、盗まれた情報の一部がダークウェブ上に漏洩しました。
約130万件のデータを人質に身代金を要求
2021年4月、鹿島建設の海外グループ会社が、「REvil」と呼ばれるハッカー集団にランサムウェア攻撃を受けて約130万件のデータを人質に取られてしまい、引き換えに身代金を要求されました。犯人側は、秘密保持契約書や労働契約書、メール、連絡先情報など盗んだ情報の一部をダークウェブ上に公開し、期限までに身代金を支払わないと情報を売却するなどと脅されました。
病院のシステムを狙った攻撃
2021年10月、徳島県内の病院がランサムウェア攻撃を受けて診療業務が妨害される事件が起きました。電子カルテを管理するシステムが攻撃を受けたことで患者約85000人分の電子カルテが閲覧できなくなり、患者が診察を受けられなくなるなど現場は大混乱に陥りました。原因は、VPNの脆弱性を放置したままにしているなどセキュリティ面の運用を怠っていたことが主な理由で、元の状態を取り戻すまでに約2ヶ月かかりました。
その後、この事件は身代金の支払いの有無など解決方法を巡って様々な論争が起こりました。そして、地方の中小企業がランサムウェア攻撃の標的となったことで、日本国内でもランサムウェアが注目されるきっかけとなった事件といえます。
被害に遭わないための基本と最新の対策
ランサムウェアの手口は年々巧妙化していますが、普段から基本的なセキュリティ対策を講じておくことで被害を最小限に防ぐことは可能です。以下では、各企業がオンライン上で実行できる基本的なセキュリティ対策をまとめました。
各スタッフへの周知
企業の各スタッフが普段利用するシステムやデバイス、回線などのインフラの管理をもう一度見直してみましょう。特にリモートワークで使用する際のデバイスやシステムのパスワードなどの認証情報は、サイバー攻撃の標的となりやすいので、脆弱性を悪用されないためにも複雑なパスワードの利用やOSやアプリは最新版に更新することなどをしっかりと各スタッフに徹底周知することが重要です。
アクセス権の限定化
アクセス権限が盗まれてしまうと大事件になりかねないので、各スタッフに社内システムへのアクセス権限を割り振る際は、必要最低限に留めておくことをおすすめします。また、デバイスからのアクセス権限を限定化することで複数のデバイスへの感染速度を遅らせることができます。
バックアップは社内ネットワークから完全に隔離する
データのバックアップを取っておくことはサイバーセキュリティの基本といえます。しかし、ランサムウェアによっては感染したデバイスやサーバーと繋がっているファイルを暗号化してしまう可能性があるので、社内ネットワークから物理的に完全に隔離することが重要です。そうしておくことで仮に被害に遭った場合でもすぐに復旧できる可能性が高まります。
最新の手口を知る
ランサムウェアなどの被害を防ぐためにも普段から最新の手口を含むセキュリティ対策を各スタッフと共有しておくことが重要です。サイバーセキュリティに対する各スタッフの意識が高くなることが会社のセキュリティ面の向上に繋がります。
セキュリティ対策ソフトの導入
ランサムウェアなどのサイバー攻撃を防ぐための手っ取り早い対策として有効なのがセキュリティ対策ソフトの導入です。最新のソフトの多くはウイルス対策を含む様々なセキュリティ対策機能を兼ね備えている場合がほとんどです。オンラインセキュリティ業界の中でも信頼性の高いマカフィーが提供しているマカフィー+では、悪意のあるハッカーをブロックするファイアウォールや危険なサイトかどうかを事前に判別してくれるウェブ保護機能など数多くの優れたセキュリティ対策機能を提供しているので最適なソフトといえるでしょう。
優れたVPNを利用
最近の日本国内のランサムウェア攻撃の傾向として、VPNの脆弱性を狙ったサイバー攻撃が増加しているため、VPN機器における認証やパスワードの見直しはもちろんのこと、優れたVPNの利用が推奨されています。マカフィーが提供している総合型セキュリティ対策ソフトであるマカフィー+では、VPNを含むたくさんの優れたセキュリティ対策サービスを提供していることから非常に有効的なセキュリティ対策といえます。
まとめ
今回は最新のランサムウェア攻撃の手口や日本国内での被害事例を紹介してきました。ランサムウェア攻撃を含むサイバー攻撃の手口は日々、巧妙化しており、完全に防ぐことは非常に難しいといえます。しかし、今回紹介した基本的な対策を各企業が実施することで、被害を最小限に抑えることができます。特に現在、リモートワークを実施している企業の場合、サイバーセキュリティの向上は必要不可欠といえます。この先も私達がインターネットを利用していくためにも、上記で紹介したオンライン上の脅威やセキュリティに関して学ぶことは避けては通れません。オンラインセキュリティは今後生きていく上で最も重要な知識の1つとなるでしょう。
■関連サイト
本記事はアフィリエイトプログラムによる収益を得ている場合があります
