コラム/トピック

ランサムウェアの脅威。
もはや安全な場所は何処にもないのだろうか

ランサムウェアの脅威。もはや安全な場所は何処にもないのだろうか

新型コロナウィルス「COVID-19」は、世界中に瞬く間に拡大し、私たちの働き方を一変させました。オフィスへ出勤してそこで仕事をするという形態から、場所に囚われずに仕事をするというテレワークも一気に広がりました。オープンなネットワークであるインターネットには誰でも接続することが可能です。当然悪意を持った人間もそれを利用することができます。メールを利用した標的型攻撃は、攻撃者にとっては、便利なインフラを逆手に取った大変効率の良いビジネスなのです。

はじめに

新型コロナウィルス「COVID-19」は、世界中に瞬く間に拡大し、私たちの働き方を一変させました。オフィスへ出勤してそこで仕事をするという形態から、場所に囚われずに仕事をするというテレワークも一気に広がりました。まさにDX(デジタルトランスフォーメーション)が加速し始めたと感じている方もいらっしゃると思います。DXとは業務をIT化することが目的ではなく、ITを活用して企業の競争上の優位性を確保することです。私達はITを活用しながら働き方改革を実践し、業務効率を上げるべく日々取り組んでいます。そのITを活用するための基礎となるインフラの一つがインターネットです。
このインターネットが世界中に張り巡らされていることによって、テレワークをはじめ、時と場所を選ばずに世界中のデータにアクセスしたり、メールやチャットを利用してお互いに連絡を取ったりすることが可能になっています。
ある意味オープンなネットワークであるインターネットには誰でも接続することが可能です。当然悪意を持った人間もそれを利用することができます。メールを利用した標的型攻撃は、攻撃者にとっては、便利なインフラを逆手に取った大変効率の良いビジネスなのです。

不特定多数からピンポイントへ

不特定多数からピンポイントへ

メールにマルウェア(ウィルス)を添付して一斉に送信するばらまき型のサイバー攻撃は、そのマルウェアの持つワーム機能で一気に感染させる手法を取りました。ワーム機能で一気に感染する端末を増やしてボット化させ、それらを自在に使ってサイバー攻撃を仕掛けたりするためです。2002年頃から登場したマルウェアのAgobotなどがそれにあたります。ところが(スパムメールなどを利用するなどして)不特定多数に送信されるメールを利用したばらまき方法から、送信するメールの本文を工夫して添付したマルウェアをより高い確率でクリックさせるようにした標的型攻撃メールによるサイバー攻撃が、マルウェア感染のリスクをより高め、そして発見しにくくしました。

ランサムウェアによるサイバー攻撃

1989年に登場したAIDS Trojanは最初のランサムウェアとして知られていますが、それ以降たくさんのランサムウェアが発見されました。ランサムウェアの当初の攻撃対象は一般の個人でしたが、2015年頃から多くの身代金を期待できる大企業へと攻撃対象が変わっていきました。(参照:ウィキペディア https://ja.wikipedia.org/wiki/ランサムウェア)その中でもランサムウェアという呼称を広く知らしめたのはWannaCryです。WannaCryはさらに多くの民間企業はもちろんのこと、公共機関や国家に対する脅威と呼ばれるほどになりました。Windows OSの脆弱性を突いたWannaCryは2017年5月12日からサイバー攻撃を開始し、150か所の23万台以上のコンピュータに感染し、28言語で感染したコンピュータの身代金としてビットコインを要求しました。
(参照:ウィキペディア https://ja.wikipedia.org/wiki/WannaCry

いわゆるランサムウェアとは、ファイルを暗号化して、ユーザーからそのファイルへのアクセス不能にしてしまうマルウェアで、攻撃者は攻撃対象企業にマルウェアを(メールへ添付するなどして)送り込んで、ファイルを暗号化し、暗号解除との引き換えに身代金を要求してきます。ランサムウェアを使った攻撃も進歩してきており、2020年8月20日にIPA(情報処理推進機構)より出された『【注意喚起】事業継続を脅かす新たなランサムウェア攻撃について』で、従来型のランサムウェア攻撃と進歩した新たなランサムウェア攻撃との差異を紹介しています。

ランサムウェアを使った新たな攻撃の手口

今までの攻撃は、ランサムウェアのワーム機能を利用してネットワーク上のサーバ、端末に感染させ、ファイルを暗号化し、データの暗号解除との引き換えに身代金を要求してきました。ところが新たな攻撃の手口として、

ランサムウェアを使った新たな攻撃の手口
  1. 攻撃者が様々な手法を駆使して企業内のネットワークへ侵入
  2. 侵入後、機密情報が保存されている端末やサーバを探し出してランサムウェアに感染させたり、管理サーバを乗っ取って一斉に端末やサーバを感染させたりする

というように、単純にランサムウェアをばらまいて手当たり次第に暗号化していく方法からさらに巧妙になってきています。

この方法で攻撃されてしまうと、攻撃の進行を検知しにくく、気づいた時点では、すでに機密情報が完全に暗号化されているなどの大きな被害が生じている場合があります。
また、さらなる脅迫の手段として、「身代金を払わなければ、暗号化も解除しない。そして機密情報を公開する」という攻撃です(言わば恐喝ですね)。IPAではこの攻撃を「二重の脅迫」と定義して注意喚起しています。先日報道されているランサムウェアの被害にあった企業の標的型攻撃はまさにこの方法で身代金を要求されました。

ランサムウェアを使った新たな攻撃の手口

不幸にしてランサムウェアによるサイバー攻撃を受けてしまった場合は、暗号化を解除させる以外に、残念ながらそのデータを完全復帰させることは大変に困難です。もちろん、日頃からこまめにバックアップを取っておくと(RPOを短く設定したりするなどの工夫が必要です)問題が発生したタイミングから比較的近い地点のデータを復旧させることはできますが、情報の漏洩は防ぐことはできません。このようにサイバー攻撃の手口はますます巧妙になり、悪質になって来ています。

ランサムウェアに対抗するために

卑劣な方法で脅迫してくるサイバー犯罪者に対して、多くの企業・団体では当然セキュリティ対策をされていると思います。UTMを導入し、端末にはウィルススキャンソフトをインストール、Proxyシステム等で不正なサイトへのアクセスを遮断という、いわゆる入口対策、出口対策等をほぼ完璧に実施していらっしゃると思います。ところが、たった一通のメールがきっかけで大事件に発展してしまう怖さが最近のサイバー攻撃にはあります。
これはサイバー攻撃全般にいえることだとも思いますが、二重の脅迫への対策で最も重要なことは、「気付き」つまり予兆にいち早く気付き、それに対して素早く対応する。これが簡単なように見えて最も難しい、しかしながら高い効果があると思います。

ツール+人材への投資

ツール+人材への投資

では、どのようなツールを利用すればいち早く「気付く」ことができるのでしょうか。一つは“ログ管理ソリューション”です。「今更ログ?」と思われる方もいらっしゃるとは思います。しかしながら、どの「ログを定常的にチェックすればよいか」というポリシーを策定しておき、そこを定点監視することで、いち早く違いに気づくことができます。
CTCSPが取り扱っているログソリューションの一つである株式会社網屋のALogシリーズの最新バージョンは、AI機能を搭載しています。これは、普段の動きと異なる所作があったアカウントに対してAIが危険度をスコアリングしてセキュリティ管理者に報告するという機能です。セキュリティ管理者の方はこの機能によるサポートで、いち早く危険を察知する可能性が高くなります。

また同じくCTCSPで取り扱っているFlowmon Networks社のネットワーク可視化ソリューションでもセキュリティ対策を実施することができます。Flowmon Collectorのオプションとして提供されているADS(Anomaly Detection System)はFlowmon Collectorで可視化しているネットワーク配下に接続されているIP端末の普段の動きを監視します。そしてその中のIP端末が普段の動きと違う動作を行った場合、ほぼリアルタイムで管理者に対してその行為の内容を知らせる機能を有しています。

しかしながら、最も重要なことは、ツールから発せられる情報を素早く理解して危険を察知するための人材を育成していくことです。この人材の育成こそが「まさか」が起きることによって多大な損失を出してしまうリスクを大きく低減します。
いつ狙われるかわからないサイバー攻撃に対して多大な投資に踏み切れない企業・団体は多いと思います。しかしながら、攻撃者は常に標的を探して活動しています。なぜなら端末の前に座っているだけで、汗をかかずに世界中から成果を上げることができるというこんな美味しいビジネスは他にないからです。国立研究開発法人情報通信研究機構が公開しているNICTOR WEBのAtlasへアクセスしてみてください。
https://www.nicter.jp/atlas

世界中から日本に対して、どれくらいの攻撃がされているかがアニメーションでリアルタイムに見ることができます。これをご覧いただければ、脅威は見えていないだけで、実はすぐそばに存在しています。

関連ページ

ALogシリーズ
https://www.ctcsp.co.jp/products/amiya/alog/

Flowmon
https://www.ctcsp.co.jp/products/orizon/flowmon/

ページトップへ