ホーム > mixiニュース > IT・インターネット > IT総合 > ランサムウェア+標的型攻撃=? 新たな攻撃、被害は数百万ドル

ランサムウェア+標的型攻撃=? 新たな攻撃、被害は数百万ドル

0

2019年03月12日 07:12  ITmedia NEWS

  • チェックする
  • つぶやく
  • 日記を書く

ITmedia NEWS

写真写真はイメージです
写真はイメージです

 ランサムウェアというと、2017年に登場して国内外に大きな被害を与えた「WannaCry」のように、脆弱性が存在するPCやIT機器を無差別に襲うもの、というイメージが強いと思います。しかし、インターネットイニシアティブ(IIJ)のセキュリティ情報統括室室長、根岸征史氏によると、ちょっと違うタイプにも注意が必要です。



【2人のイラン人が起訴された】



 それは「標的型ランサムウェア」です。日本ではあまり報道されていませんが、海外ではこの2〜3年、じわじわと被害が広がっています。根岸氏は2月8日に行われた「本当に自社を守れるセキュリティ対策2019」と題するセミナーの中でその傾向を紹介しました。



●無差別ではなくターゲットを絞るランサムウェア



 ランサムウェアがどんなものかは、多くの方がご存じでしょう。メールやWebを介して広範囲に感染し、PCをロックしたり、データを暗号化したりして、「元の状態に戻してほしければ金銭を支払え」と身代金を要求してくるマルウェアの総称で、前述のWannaCryが代表例です。それ以前に流行していたオンラインバンクを狙ったトロイの木馬同様、被害者から金銭、特にビットコインなどの仮想通貨の形で巻き上げるのが主目的とみられています。



 標的型攻撃も、サイバーセキュリティの領域では以前から知られてきた手法です。数年前に発生した日本年金機構や三菱重工業に対する攻撃が典型例ですが、特定の組織や企業を狙い、従業員の端末をマルウェアに感染させ、ある程度の時間をかけて侵害範囲を拡大してひそかに機密情報を盗み出します。盗み出した情報がサイバー世界・現実世界の闇市場で売買されることもあるでしょうが、どちらかといえば「サイバースパイ」的な活動と見なされてきました。



 根岸氏が注目している標的型ランサムウェアは、特定のターゲットにメールなど何らかの手法で侵入するところまでは標的型攻撃と似ています。けれど「最終目的が違い、情報窃取ではなく『お金』」(根岸氏)という点が第一の違いです。



 第二の違いは感染範囲です。「いわゆるランサムウェアは、無差別にバラまかれる場合が多いが、標的型ランサムウェアはある特定の企業を狙い、その中でできるだけ多くのPCをランサムウェアに感染させ、多くの金銭を巻き上げようとする」と根岸氏は説明しました。



●海外で相次ぐ被害、被害は数百万ドル規模に



 この標的型ランサムウェア、海外では既にいくつか被害が出ています。



 2〜3年前から活動しているのが「Samsam」です。リモートアクセスにリモートデスクトッププロトコル(RDP)を用いている企業は少なくないでしょうが、Samsamは、弱いパスワードが設定されているRDPを悪用して侵入し、内部で感染を広げた上で身代金を要求してきます。18年1月にSamsamに感染してしまった米インディアナ州のHancock Regional Hospitalでは医療業務の継続を重視し、4BTCを攻撃者に支払うことを決断しました。



 他にも、米アトランタ市のようにSamsamによる被害は相次ぎ、被害額は合計で600万ドル(約6億7000万円)に上るとされています。18年11月末になって米司法省は、Samsamに関連して2人のイラン人を起訴し、ひとまず活動は沈静化した模様です。



 しかし、同じ手法を踏襲した標的型ランサムウェアは他にも登場しています。



 例えば、18年8月に登場した「Ryuk」は、これまでに705.80BTC(時価総額にして、約370万ドル)もの身代金を受け取ったと米CrowdStrikeが報告しています。18年12月末にはロサンゼルスタイムスがRyukに感染。共通の新聞製作システムを利用している複数のメディアが、新聞印刷・配送が遅れるといった影響を受けました。



 「複数の攻撃者がこういった狙いで標的型ランサムウェア攻撃を行っており、実際に被害が出てしまっている。狙われるのは、お金を支払う可能性が高く、かつ対策の脇がちょっと甘そうな医療組織や自治体、学校といった組織だ」(根岸氏)



 標的型ランサムウェアには、バラまき型ランサムウェアに比べていくつか嫌らしい点があります。まず、ランサムウェア対策としてバックアップが提唱されていることを見越し、PCやサーバ本体だけでなくバックアップデータも暗号化・破壊の対象にしていることです。



 また、要求額の設定にも嫌らしさがあります。規模にもよりますが、企業・組織のシステムの復旧には数千万から数億という多額のコストがかかります。例えば、Samsamに感染したアトランタ市の場合は、脅しに屈することはありませんでしたが、一からシステムを復旧するのに約260万ドルという費用と時間を要したといいます。標的型ランサムウェアはそうした被害者の足元を見て、システム復旧ほどは高くないけれど、個人をターゲットにしたランサムウェアに比べればずっと高額な額、日本円で数百万円程度を要求してくるのです。



 現在は主に海外での被害が報告されていますが、いつ日本にこの波がきてもおかしくはないでしょう。



●基本的な対策の徹底と事業継続の観点からの検討を



 ちょっと脅すような表現になってしまいましたが、ランサムウェアにしても標的型攻撃にしても、よくよく手法を見ていくとそれほど「高度」だったり「巧妙」だったりするわけではありません。今まで提唱されてきた基本的なセキュリティ対策――例えば、資産を洗い出して脆弱性を修正するとか、デフォルトのままのパスワードや簡単なパスワードは利用しないとか、不必要なサービスを動かさないとか――基本的な事柄を実施していればむやみにおびえなくてもいいはずです。



 ただ、どうしても抜けや漏れはあるでしょう。特にITシステムだけでなく、企業のあちこちに導入され始めた組み込み機器やIoT機器も含めると、全てに対策していくには時間も労力も必要になるでしょう。



 根岸氏は講演の中で、「事業継続」という観点を盛り込んで対策を検討することを呼び掛けていました。仮にランサムウェア、あるいはシステムを破壊するようなマルウェアに感染したとしても、重要な事業やサービスを継続できるようにすることを最終目的に置き、そこから逆算して復旧計画を検討することが重要だというわけです。



 Ryukのようにバックアップを破壊するランサムウェアもありますが、それでも万一に備えてバックアップを取得することは大切です。加えて、「取得したバックアップから、きちんとリカバリーを行いシステムを復旧できるかも確認すべきだ。肝心な時、バックアップがあってもうまく戻せないことも多い」と根岸氏は述べ、守るべきシステムを本当に守っていくための仕組みや手順を確認することが大切だとしました。



 残念ながら標的型ランサムウェアに感染してしまったHancock Regional Hospitalや米アトランタ市では、一部の業務をペンと紙を用いる手作業に置き換えたそうです。どうしても守らなければいけない事業がある場合は、こうしたアナログな手段も含めた代替策を検討しておくのも一つの手ではないでしょうか。


    あなたにおすすめ

    ニュース設定