何度でもよみがえる「ランサムウェア攻撃」、だから何度でも振り返ろう

1

2020年08月25日 08:31  ITmediaエンタープライズ

  • チェックする
  • つぶやく
  • 日記を書く

ITmediaエンタープライズ

写真写真

 情報処理推進機構(IPA)は2020年8月20日、注意喚起として「事業継続を脅かす新たなランサムウェア攻撃について」という文書を公開しました。もし、これを見て「なんだ、またランサムウェアの話か」と思ったのであれば、今回のコラムはまさにあなたに届けなければならないと思います。現在はかつてのランサムウェアとは異なる攻撃が多くの企業を狙っており、しかもバックアップが根本的な対策にならなくなっているためです。



【その他の画像】



●個人を狙った無差別な「ばらまき攻撃」の時代もあった



 ランサムウェアといえば、いわゆるマルウェアの一種です。出回り始めた頃は個人を標的とし、感染させたPCを不正にロックしたり、写真や音楽、動画などのファイルを勝手に暗号化したりして「データを復号したければ金を払え」と身代金を脅し取っていました。当時のサイバー犯罪者はランサムウェアを不特定多数に向けて大量にばらまき、「数を打てば当たる」という方針で攻撃をしていました。



 当時、攻撃が成立する可能性は低かったかもしれません。しかし、攻撃が成功するとPCに保存していた“思い出”と呼べるデジタルデータが消失してしまうため、これまでのマルウェアよりも悪質なものだとされてきました。有効な対策には、マルウェア対策ソリューションの導入やデータバックアップなどがありました。



 ランサムウェアは現在も私たちの世界を脅かしています。しかし攻撃の対象は個人から組織に変わりました。攻撃者は企業のシステムを狙い、さらに悪質な手法を取るようになっています。



 まず注意するべきなのは、攻撃の対象を明確に定め始めたこと。いわば「標的型ランサムウェア攻撃」が主流になっている点です。無差別に攻撃する「ばらまき型攻撃」は、ランサムウェアが出回ってすぐにセキュリティベンダーが対処します。ほぼ即座にパターンファイルが作られ、マルウェアの解析によって復号ツールも作られます。現在セキュリティベンダーは「No More Ransom」プロジェクトを立ち上げており、復号のためのツールを提供しています。



 標的型攻撃の大きな特徴は、特定の組織に対して”オーダーメイド”によるランサムウェアが存在する点です。組織のネットワークに侵入してすぐに手当たり次第暗号化するのではなく、侵入後にシステム構成における重要なサーバや事業継続に必要な重要情報が含まれるサーバを把握した上で、狙ってデータを暗号化します。これらの挙動は攻撃者による操作も可能であるため、より効率良く、より効果的な攻撃ができてしまうのです。



 勘のいい方であれば、ここまで読んで「それならバックアップで復旧できる」と思ったかもしれません。しかし、昨今のランサムウェア攻撃にはもう一つ、脅迫される可能性のある要素があるのです。



●「データを公開されたくなければ身代金を払え」



 標的型ランサムウェア攻撃でデータを暗号化されても、そのデータを諦めてバックアップから復旧すれば良い……と思ってはいけません。攻撃者は組織に侵入し、システムの内部まで把握しています。つまり、システム内の情報は「盗まれている」状態。攻撃者は「データを公開されたくなければ身代金を払え」と脅すのです。IPAは、これを「二重の脅迫」と呼んでいます。



 この攻撃の、最もやっかいな点は「ランサムウェアの被害を公表する前に、リークサイトにその情報が公開されてしまうこと」かもしれません。もし企業がランサムウェアの被害を隠ぺいしようとしても、攻撃者は特定組織から情報を盗み出したことをアピールするでしょう。IPAはレポートの中で、



窃取したデータを一度に全て公開するのではなく、データの一部を公開し、日数の経過に伴い徐々に公開範囲を広げると脅す場合もある。これは、データを窃取した事実や、データを公開することがブラフ(はったり)ではないことを示し、企業・組織に対して身代金の支払いへのプレッシャーを強く与えるための、悪質な手口である。



 と述べています。特に企業の第1報が出る前にリークサイトに企業名が掲載されてしまう場合や、企業が情報流出を否定した後に攻撃者が一部の情報を公開したような場合、利用者に与える悪印象は計り知れません。



●企業内に「インシデントの旗振り役」はいますか



 IPAのレポートでは、さまざまな標的型ランサムウェア攻撃の被害事例が掲載されています。企業内のセキュリティ担当はぜひしっかりと目を通し、ランサムウェア攻撃の知識をアップデートしておいてください。ランサムウェアによる攻撃はシステム全体に被害が及ぶ場合もあります。メールが使えなくなったりWebサイトを公開できなくなったりすると、利用者に被害状況を伝えたり注意喚起したりすることも難しくなるでしょう。さまざまな規模で障害が発生することを想定すれば、外部のSNSに窓口を用意するなどといった対策も必要かもしれません。攻撃を受けていない「平時」のうちに、想像を巡らせて対応を考えることをお勧めします。



 第1報は、外部から来る場合も内部から来る場合もあります。例えばダークウェブを監視していた外部のセキュリティアナリストが企業名を発見することもあるでしょう。特定の部署から「社内システムがおかしくなった」という報告があり、それが第1報とある場合もあり得ます。どのようなきっかけでも「適切なところに適切な情報が滞りなく流れてくること」も立派な対策の一つです。こういった「旗振り役」と「窓口」があれば、サイバー攻撃対策はかなり進んでいると考えてもいいでしょう。



 今回のドキュメントを眺めつつ、今の組織に足りない部分がないかをまず確認してみてください。参考資料も多く、日本の組織にとって非常に有用なドキュメントだと思います。


このニュースに関するつぶやき

  • いや、あのさーネット切っちゃえばいいし。ネットにも接続してないのに稼働するわけがないするとしたらアプリしかないわけ、消せばいいんだと思いますが前になかったデータを。
    • イイネ!0
    • コメント 0件

つぶやき一覧へ(1件)

ランキングIT・インターネット

前日のランキングへ

ニュース設定