• セキュリティ情報
  • 2020.11.27

あなたのデータが人質に!ランサムウェアの恐怖

先日、大手ゲーム会社がランサムウェアによる攻撃を受けて情報漏洩が発生したとのニュースが話題になりました。ここでは、今、猛威を振るっているランサムウェアについて、その挙動と対策をまとめます。

ランサムウェアとは

IPA「ランサムウェア対策特設ページ」[1]には、以下のように紹介されています。
ランサムウェアとは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語です。
感染したパソコンに特定の制限をかけ、その制限の解除と引き換えに金銭を要求する挙動から、このような不正プログラムをランサムウェアと呼んでいます。([1] 「はじめに」)
昨今主流になっているランサムウェアは、重要なデータを暗号化して可用性を奪うものが多いです。その後、「データを復号してほしければ金銭を支払え」「金銭を支払わない場合はデータを公開する」といった内容の脅迫文が送られてきます。データを人質に取り、身代金を要求する手法から、「ランサム(身代金)ウェア」と呼ばれているのです。
暗号化されたデータを復旧することは困難であるため、企業活動を継続するために金銭を支払わざるを得ないケースもでてきています。英ソフォス社の調査[2]では、データを暗号化された組織の26%が身代金を支払うことでデータを取り戻し、さらにデータを暗号化された組織の1%は身代金を支払ったにもかかわらずデータを回収できなかったとされています。
同調査[2]によると、日本は調査対象26か国中最もランサムウェアによる攻撃が成功する割合が高く(2か国は回答者数が少ないため除外)、実に95%の攻撃がデータの暗号化に成功しているようです。このことから、日本でのランサムウェア対策はまだまだ進んでいないと言えるでしょう。

侵入経路

一般的なマルウェアの侵入経路と同様に、ウェブサイトやメールから感染することが多いようです。従来は、マルウェアを添付したばらまき型のメールや、悪意のあるWebサイトを公開することで感染を広げていました。しかし、最近では標的型攻撃の手法を用いて、複合的に攻撃を仕掛けてくる例が多く、サイバー攻撃に対する総合的な対策が必要となります。IPA「事業継続を脅かす新たなランサムウェア攻撃について」[3]では、「人手によるランサムウェア攻撃」として以下のように紹介されています。
ウイルスを添付したメールを機械的にばらまくような手口と異なり、諜報活動を目的とする「標的型サイバー攻撃」と同様の方法、すなわち、攻撃者自身が様々な攻撃手法を駆使して、企業・組織のネットワークへひそかに侵入し、侵入後の侵害範囲拡大等を行います。([3] p.1)
ソーシャルエンジニアリングを悪用して、社内のアカウントを乗っ取ったり、実在する取引先の情報を入手し、取引先を偽ってメールを送信してくる事例もあるようです。
[2]の調査では、ランサムウェアの攻撃テクニックについてまとめています。メール経由からリモートデスクトップまで、多岐にわたっていることがわかります。
ランサムウェアが組織に侵入した方法 インシデント数 インシデントの
割合
悪意のあるリンクを含むファイルのダウンロード/メール経由 741 29%
サーバーへのリモート攻撃を介して 543 21%
悪意のある添付ファイルが添付されたメール経由 401 16%
間違ったパブリッククラウドのインスタンスの設定 233 9%
リモート デスクトップ プロトコル (RDP) を使用 221 9%
当社の組織と連携するサプライヤーを経由 218 9%
USB/Removable Media Driveを使用 172 7%
その他 0 0%
不明 9 0%
合計 2538 100%
図1 ランサムウェア攻撃のテクニック ([2]p.16「ランサムウェア攻撃のテクニック」参考
なお、実際の攻撃手法については、ATT&CK[4]というデータベースにまとめられています。ここでは、攻撃目的毎に使用される攻撃手法がまとめられていて、その技術や対策を知ることができます。

被害

前述のように、従来はメールやWebサイトを用いた「ばらまき型」の攻撃であり、不特定多数に攻撃を行い身代金を支払う被害者から金銭を得ようというものが主流でした。このタイプの攻撃では、個人・企業のデータが暗号化され利用できなくなる、PCやスマートフォンがロックされるといった影響があります。
従来型の攻撃は無くなったわけではなく継続して対策が必要ですが、最近の「標的型」攻撃では、重要な情報を持っている企業や公的機関を標的に攻撃が行われます。こちらの方が攻撃コストが高いように思われますが、得られる金銭が大きく、重要な情報を対象にしているため身代金を得られる可能性も高いため、こちらが主流となってきています。さらに、「二重の脅迫」[3]と言って、身代金を支払わなければ重要な情報を公開すると脅迫され、実際に情報を公開される事例も確認されているようです。
「二重の脅迫」(海外では double extortion17等と呼ばれる)とは、ランサムウェアにより暗号化したデータを復旧するための身代金要求に加え、暗号化する前にデータを窃取しておき、支払わなければデータを公開する等と二重に脅迫する攻撃方法である。この攻撃方法は 2019 年末頃から確認されており、身代金の支払いに応じなかった企業・組織について、攻撃者によって窃取されたデータがインターネット上で公開された複数の事例が確認されている。([3] p.6)
ランサムウェアの中には、自らを複製して他の端末に感染を広げる「ワーム」の機能をもつものも出現しており、これが影響範囲を広げる一因になっています。
[2]の調査では、ランサムウェア攻撃からの平均復旧コストは世界平均で761,106米ドルとされています。これは8億円近くにもなる金額であり(2020年11月19日)、大きな被害が出ていることがわかります。
ランサムウェアのターゲットになるデータは、クラウド上にあるものの方がより狙われているようです。このことから、クラウド上のデータであってもバックアップを取っておく必要があることが示唆されます。

対策

従来の「ばらまき型」の攻撃への対策として、不審なメールを開封しない、信用できないWebサイトを開かないといった対策が有効になります。
一方、最近の「標的型」の攻撃では、様々な手法を複合的に用いて攻撃を仕掛けてきます。前述のように、攻撃手法は多岐にわたっているため、弱点を作らない対策が必要です。実在する取引先を偽ってマルウェアを添付したメールを送信してくる、或いは取引先の端末やアカウントを乗っ取り、メールを送信してくるといったことも考えられます。そうした攻撃には、ソーシャルエンジニアリング対策も含めた総合的な対策が必要になります。
攻撃によりデータが暗号化された場合に備えて、データのバックアップを取ることも有効な対策です。[2]の調査によると、56%の事例で、バックアップによりデータを復元することができたとされています。しかし、前述のように、最近の攻撃ではデータの暗号化により可用性を奪う攻撃にとどまらず、身代金が支払われない場合に機密データを公開される事例も発生しているので、未然に攻撃を防ぐことが重要です。
ランサムウェア対策については、「事業継続を脅かす新たなランサムウェア攻撃について」[3]の第5章にまとめられています。

まとめ

近年猛威を振るっているランサムウェアについてまとめました。ランサムウェアによってデータの可用性が奪われ、事業の継続が不可能になるケースも発生しています。仮にデータを復旧できたとしても、そのためのコストは莫大であり、また攻撃を受けたことで企業イメージが下がるので、今後の事業継続に深刻な影響を及ぼすことが予想されます。そのような事態に陥らないために、ランサムウェア対策特設ページ[1]の情報や、攻撃手法についてまとめた[4]などを参考にしつつ、自社のセキュリティ強化に検討してみてはいかがでしょうか。

参考文献

[1]ランサムウェア対策特設ページ:IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/anshin/ransom_tokusetsu.html
[2]ソフォス社「ランサムウェアの現状2020年版」
https://www.sophos.com/ja-jp/medialibrary/Gated-Assets/white-papers/sophos-the-state-of-ransomware-2020-wp.pdf
[3]独立行政法人情報処理推進機構 セキュリティセンター「事業継続を脅かす新たなランサムウェア攻撃について」
https://www.ipa.go.jp/files/000084974.pdf
[4]ATT&CK
https://attack.mitre.org/
[5]JPCERT/CC「ランサムウエア対策特設サイト」
https://www.jpcert.or.jp/magazine/security/nomore-ransom.html