ランサムウェア攻撃が流行していることから、当社では多額の投資を行い、最新のセキュリティ機器やアンチウイルスソフトを導入しました。十分なセキュリティ体制が構築できていると思うのですが、死角はないでしょうか?
海外では、標的企業の従業員をハッカー集団側に引き込んだうえでランサムウェア攻撃を仕掛けようとする「複合型」とも呼ぶべき攻撃手法が確認されています。
そのため、いかに最新のセキュリティ機器を導入しても、最終的には「人」がセキュリティホールとなることは避けられません。対策としては、ログを保存し、定期的に確認して不審な兆候がないかをモニタリングすることが有効ですが、従業員のプライバシーには適切に配慮する必要があります。
ランサムウェアとは
従来の手法と新しい手法(二重脅迫型)
ランサムウェアとは、「Ransom(身代金)」+「Malware(マルウェア)」から成る造語です。従来のランサムウェア攻撃手法は、端末内のデータを暗号化して利用できない状態にして、復号(復旧)の対価として身代金を要求するものでした。しかし、ここ数年は、従来型のデータ暗号化に加え、端末内のデータを窃取したうえで、データの復号および非公開の対価としても身代金を要求する手法が確認されており、そのような攻撃手法は「二重脅迫型」とも呼ばれています。
ランサムウェア攻撃(従来型・二重脅迫型)のイメージ
日本におけるランサムウェア被害
警察庁が令和5年3月16日に公表した「令和4年におけるサイバー空間をめぐる脅威の情勢等について」によれば、都道府県警察から警察庁に報告のあった企業・団体等におけるランサムウェア被害の中で、65%が二重脅迫型 1の攻撃手法によるものでした。
ランサムウェア被害の手口別報告件数
ランサムウェアの感染経路
攻撃者と内通者の「複合型」攻撃とは
ランサムウェアの感染経路はさまざまですが、近時注目されているのは、従業員が内通者となり、ハッカー集団と共謀してランサムウェア攻撃を実行する「複合型」とも呼ぶべき類型です。
たとえば、これまでに何度も日本企業を襲っているハッカー集団としてはLockBitが有名ですが、以下の図は、LockBit(2.0)に感染したPCに表示されるランサムノート(置手紙)です。
LockBit(2.0)に感染したPCに表示されたランサムノート(置手紙)
ここからは、まず、復旧を求める被害者に対して「RESTORE-MY-FILES.TXT」とのファイルを確認するよう促していることが読み取れます。加えて、下記のメッセージが記載されていることから、会社の待遇に不満を持っている従業員等から悪用可能なアカウント情報等を集めようとする意図もうかがわれます。
「Would you like to earn millions of dollars?Our company acquire access to networks of various companies, as well as insider information that can help you steal the most valuable data of any company. You can provide us accounting data for the access to any company….」(大金を稼ぎたくありませんか? 当社はさまざまな企業のネットワークへのアクセス権限や、企業の貴重な情報を窃取するうえで役立つインサイダー情報を取得しています。企業にアクセスするためのアカウント情報をご提供ください…。)
近年の海外事例・動向
海外では、ハッカー集団が内通者を勧誘すべく、標的企業の従業員に対して現実に接触を図る事例も確認されています。具体的には、2020年7月に、ロシア人のハッカーが、米ネバダ州にあるTesla社の製造工場で働く従業員を呼び出し、100万ドルの報酬と引き換えに内部ネットワークにランサムウェアを仕掛けるよう提案したという事件が発生しています。 (事件は未遂に終わっており、ロシア人のハッカーは逮捕されました)2。
そのほか、Bravura Security社が2021年12月7日から2022年1月4日にかけて北米のIT・セキュリティ企業の役員100名を対象に行った調査によれば、65%の役員が、自身ないしは自社の従業員にランサムウェア攻撃の支援を求めるアプローチがあったと回答しており、そのような回答は、2021年秋と比較して17%も増加していることが確認できます。
「自身または自社の従業員がランサムウェア攻撃の支援を求めるアプローチを受けたことがありますか?」という質問に対する回答の分布
以上のような状況を踏まえると、日本企業において複合型ランサムウェア攻撃が問題となる日もそう遠くないといえるでしょう。
複合型ランサムウェア攻撃への備え 3
ログの保管・定期確認の重要性
一般に、サイバー攻撃への事前・事後対応ではログの保管・定期確認が重要となりますが、これは複合型ランサムウェア攻撃においても同様です。
対象となるログとしては、重要情報が保管されているサーバへのアクセスログ、WindowsPCのイベントログ、EDR(Endpoint Detection and Response)等で管理されるコンピュータの操作履歴などが考えられます。
これらのログを定期的に確認して不審な兆候がないかをモニタリングすることで、外部からサイバー攻撃を仕掛けようとするハッカーの存在や、内通者の不正行為の兆候を早期に察知し、先手を打って対策することができます。
また、複合型ランサムウェア攻撃を受けた後でも、ログを保管していれば、侵入経路や影響範囲の早期見極め、円滑な事業復旧・再発防止策の実施にもつながります。加えて、ログは、内通者に対して懲戒処分・損害賠償、刑事告訴等の各種責任追及をする際の重要な証拠ともなります。
ログの保管・定期確認についてのポイント
ログの保管・定期確認していることを従業員に対して周知することで、潜在的な内通者をけん制する効果が期待できるため、わかりやすく周知することが重要です。ただし、特にログの定期確認は従業員の行動のモニタリングとしての側面も有するため、従業員のプライバシーに配慮して社内規程を策定したうえで、従業員の理解を得られるよう細心の注意を払う必要があります。
ログの保管・定期確認に関しては、別稿「従業員のログ監視」の法的留意点と実務対応のポイント」をご参照ください。
- 1 図中では「二重恐喝」と表記されていますが、表記の相違にとどまります。↩︎
- 2 詳細はTesla社のサイトを参照ください。↩︎
- 3 複合型ランサムウェア攻撃は広く見れば内部不正による情報漏えい事案と位置付けることができるため、独立行政法人情報処理推進機構(IPA)「組織における内部不正防止ガイドライン」(2022年4月改訂)等も参考になります。↩︎
最新情報をフォローする
