この記事のポイント
- ランサムウェア攻撃は高度化・複雑化しており、その被害の範囲(国)や件数は増大傾向にある
- ネットワーク機器への攻撃をきっかけに内部侵入されてランサムウェアに感染するケースが多い
- 暗号化されたデータが盗まれたデータのすべてであるとは限らない
- 脆弱性対応は、すでに侵入されていた可能性を考慮し、パッチの適用とあわせてID・パスワードのリセットなどを検討することが大切
- ランサムウェア被害が自社には関係ないと考えている担当者・経営者は、“無関心” なだけであって “無関係” なわけではない
米国ではランサムウェア被害件数が急増していない理由
まずは、ランサムウェアに関する近年の動向について教えてください。
辻氏:
私は2020年4月頃から、暴露型(二重脅迫型)ランサムウェアの攻撃者グループが情報を暴露する場の1つとして用いる「リークサイト」を監視しているのですが、当初に比べてグループが増えてきているのが気になります。また、リーク件数の多い主なグループによる攻撃に絞ると、下図のとおり、2021年に85か国だった被害組織の所在国は2022年には94か国となり、年間の被害件数を見ると1,522件から1,862件に増えています。これらはすべて身代金を支払わなかったケースなので、実質的にはより多くの被害が出ていると考えられます。
ただし、いちばんのボリュームゾーンである米国の直近の被害件数にはあまり変化がありません。この理由としては、近年はこれまであまり攻撃されてこなかった国・地域が対象になってきているというのもありますが、米国ならではの事情も関係していると考えられます。理由はいくつかあると考えているのですが最も大きな要因として挙げられるのは保険でしょう。身代金を保険金でまかなう組織が多いことを受けて、保険の掛け金が上がり、現在ではバックアップをしっかり取り、EDR(Endpoint Detection and Response)などのセキュリティ製品が導入されていなければ更新や新規加入が困難になっています。それがセキュリティレベルの底上げをすることとなり、身代金が支払われにくくなったという結果を招いたと考えられます。
ランサムウェアに関する、米国ならではの事情とはどのようなものでしょうか。
北條氏:
世界各国でサイバーセキュリティ強化に向けた取組みが見られますが、米国では2021年にサイバーセキュリティに関する大統領令が発出されるなど法制度の整備の動きが活発化しており、企業としても対応を求められています。ランサムウェア対策も、既存の枠組みに加え、新たな枠組みによる対策が進められようとしています。
既存の枠組みとして、たとえば米国では、米国人および米国法人、米国内に所在する日本人および日本法人が、米国財務省外国資産管理局(OFAC:Office of Foreign Assets Control)の制裁対象となっている組織へ米ドル建等の米国接点を有する取引としてランサムウェアの身代金を支払った場合に法的責任を問われるおそれがあり、米国内に拠点のない日本企業等、米国接点がなくとも、セカンダリーサンクション(二次的制裁)の制裁措置の一環として、米国における取引が規制されるおそれがあります。また、制裁対象として暗号資産の交換所や犯行グループの口座情報の指定が増加しており、身代金を支払うには事前にOFACに問い合わせをすることが求められます。
新たな枠組みとしては、重要インフラ事業者に対して、ランサムウェア被害を含む一定のサイバーインシデントの発生およびランサムウェアの犯行グループに身代金を支払った場合に連邦政府に報告することを義務づける法案の策定に向けた動きが進んでいます。
さらに、ノースカロライナ州やフロリダ州では、州法によって、地方自治体などの公的機関がランサムウェアの身代金の支払いに税金(公金)を用いることを禁止する法案が成立しており、ほかのニューヨーク州等でも規制しようという流れも出てきています。
ほかにも、ランサムウェアに特化したものではありませんが、数年前から企業等がサイバーセキュリティに関する脅威情報(Cyber Threat Indicator)を提供しやすくするために、免責事項を規定して推奨する法律が施行されているなど、非常に多くのサイバーセキュリティに関する施策が見られます。
辻氏:
先に触れたとおり、サイバー保険もポイントの1つです。日本以外の国の中には、ランサムウェア被害にあった際の身代金の支払いが補償されるサイバー保険があり、多くの企業がこれに加入しています。このように保険金で身代金を支払えるようになっている国は狙われやすいのも事実で、侵入先のネットワークから保険証券を見つけて、その組織の支払い能力を見極めたうえで金額を交渉してくる攻撃者もいるほどです。
ただし最近では、ランサムウェアの被害件数が増えてきたことで保険料が上がり、企業が加入しづらい状況になりつつあります。1年更新の契約になっている保険が多いのも特徴です。これにより保険会社としては、契約更新の条件を厳しくするという対応も可能になります。事実、EDRの導入やバックアップ環境の整備などセキュリティ対策を適切に行っていない場合、新たに保険に入れない、または更新できないというケースも出てきています。
北條氏:
サイバー保険に加入する条件や更新時の条件が厳しくなったり、新規契約を受け付けなくなったりしている保険会社もありますね。保険金が払われすぎてしまって保険会社が儲からないほど多くの被害が出ている状況ともいえます。
辻氏:
このように、身代金の支払いを禁じるような法制度の整備に加え、サイバー保険の加入・更新のハードルの高まりによって、米国企業はセキュリティ対策により力を入れて取り組むようになり、結果としてランサムウェアの攻撃者に対する向かい風になっているというわけです。
盗まれたデータの量を推測するための4つの指標
昨今のランサムウェア攻撃の傾向や特徴があれば教えてください。
辻氏:
ランサムウェア攻撃における初期の感染経路としては、たとえば、①メールに記載あるいは添付されたURLをクリックさせて感染させる「ばらまき型」や、②手動による攻撃で企業・組織のネットワークに侵入する「ネットワーク侵入型」があります。
特に②ネットワーク侵入型は、身代金の要求額を含めた被害金額が大きくなる傾向にあります。攻撃者は、VPNやリモートデスクトップなどから手動でターゲット組織のネットワークに侵入した後、ファイルやデータを暗号化したりシステムを利用不能にしたりすることに加え、盗んだ情報を公開すると脅す二重脅迫を行うことも少なくありません。最悪の場合、システムやデータを復旧できないようバックアップを潰しにかかってくる例もあります。
このほかの感染経路として、③それ以前に感染したマルウェアがランサムウェアを呼び込む可能性もあります。海外のレポートでは「precursor malware(プリカーサーマルウェア)」と書かれていることが多く、先遣部隊のようなものと捉えていただくとよいと思います。このprecursor malwareの脅威は、これが次なる攻撃を呼ぶ“入り口”になってしまう点にあります。Qakbot(別名Qbot)や、国内で攻撃が増えては減りを繰り返しているEmotet(エモテット)などがprecursor malwareの代表例です。
被害拡大を防ぐために、企業として知っておくべきことはありますか。
北條氏:
昨今は、ネットワーク機器に対する攻撃から社内に侵入してランサムウェアに感染する例が多く見受けられます。社内ネットワークへ侵入した攻撃者は、データを窃取した後にデータを暗号化して使えなくするランサムウェアを仕掛けるのですが、データを抜き取って外部に転送するには相応の時間が必要になります。盗みたいデータ量は数百GB〜数TBに上るため、転送時間は相当かかることもあります。侵入された企業・組織は、暗号化されてはじめて攻撃を受けていることに気づくわけですが、実際には、それよりも前の段階でデータが盗まれていると考えたほうがよいでしょう。
また、窃取されたデータと暗号化されたデータの関係性は不明であることにも注意が必要です。つまり、暗号化されたデータが盗まれたデータであるとは限らないわけであり、盗まれたデータは痕跡から把握する必要があります。これがランサムウェア被害発覚後の対応を難しくする要因の1つです。
ただし、データ転送には相当な時間がかかるため、侵入されてから暗号化されるまでの期間が短ければ短いほど、盗まれたデータは少ないと推測できます。以下の4点を捉えることによって、どのくらいの量のデータが盗まれたのかという推測はある程度できます。
- いつ侵入されたのか
- どのようにデータが転送されたのか(圧縮された形跡があるかなど)
- 特定の送信先への通信量はどのぐらいなのか
- 暗号化された時期はいつなのか
パッチを当てていれば安心とは言い切れない
ネットワーク機器の侵害に対してはどのように考えていけばよいでしょうか。
辻氏:
VPNなどのネットワーク機器の脆弱性を悪用してネットワークへ侵入されるケースは非常に多いです。たとえば、徳島県つるぎ町立半田病院や大阪急性期・総合医療センターのランサムウェア被害事例では、これらの医療機関あるいはその関係事業者のVPN機器の脆弱性を突かれて攻撃を受けました。
まずは、ネットワーク機器や端末の脆弱性を放置しないことが第一です。ただ、開示された脆弱性情報に対応する、いわゆるパッチを当てていれば大丈夫とも言い切れません。脆弱性が確認されてから対策のためのセキュリティパッチが公開されるまでの間や、パッチが公開されてから企業が適用するまでの間に、すでにその脆弱性が悪用されている可能性があるからです。そこで攻撃者にシステムのIDやパスワードなどの認証情報を盗まれてしまっていると、セキュリティパッチを適用した後にも侵入を許してしまうことになります。攻撃者からすると、正面玄関から入れるような状態ですね。
セキュリティパッチを適用するだけの対策にとどまっている企業も多いのではないでしょうか。
北條氏:
そうでしょうね。ですが、パッチを当てて脆弱性対策をしていたのにもかかわらず侵入されてしまった事例はあります。これは、辻さんが説明するように、脆弱性を攻撃してネットワーク内に侵入し、システムの認証情報が盗まれてしまっていたために、その後にパッチを当てて脆弱性をなくしたとしても、当該認証情報を使って侵入されてしまいます。たとえば、脆弱性のあるVPN機器が攻撃されてVPN機器の管理用ID・パスワードが盗まれてしまい、その後、当該VPN機器にパッチを適用したとしても、当該VPN機器の管理用ID・パスワードを使って侵入できてしまうため、パッチ適用の効果はありません。
辻氏:
こうした認証情報などを売買している人たちがいることにも注意が必要です。ランサムウェア攻撃を行うためのツールを提供するRaaS(Ransomware as a Service)のエコシステムの中には、ランサムウェアの開発・保守を行う「オペレーター」、標的とする企業・組織のネットワークに侵入して重要なデータを探す能力が高い「アフィリエイト(Affiliate)」、ネットワークへ侵入するための認証情報を提供する「イニシャルアクセスブローカー(Initial Access Broker:IAB)」と呼ばれる人たちがいます。イニシャルアクセスプローカーは仕入れた侵入方法をアフィリエイトに売り、これを購入したアフィリエイトは、オペレーターから提供を受けたランサムウェアで標的ネットワークに攻撃をするという役割分担となっています。
つまり、イニシャルアクセスブローカーは買い手がつくまで盗んだ情報を保持しているので、盗まれてすぐに企業・組織のネットワークへ侵入されるとは限りません。したがって、脆弱性への対処としては、パッチの適用だけでは十分でなく、それ以前に侵入されていた可能性を考慮してID・パスワードのリセットまでをあわせて実施することが必要となります。
ランサムウェア被害は、いつか順番が回ってくる
認証情報などは具体的にどのような形で売買されているのでしょうか。
辻氏:
実際に情報が売買されているサイトでは、リモートデスクトップなどの認証情報に加え、アクセス権限や国、業種、収益構造などの情報も含めて扱われています。また、攻撃の手順書もセットで販売されているケースもあります。いわゆるガチャのように、「どんな企業のものかはわからないけど売ります」という形で、安価で売られている例もありますね。売られている商品はリモートデスクトップの認証情報だけではなく、侵入するための裏口や従業員の端末内にある認証情報やCookieといったものもあります。
北條氏:
ダークウェブ等に自社に侵入するための情報が流出していないかをモニタリングするサービスもあります。こうしたサービスを利用してダークウェブやハッカーフォーラムで売買・公開されている情報をいち早く収集することは事前対策の1つになり得ますが、膨大な情報を収集して、分析・抽出しなければならず、利用金額も高額です。リアルタイムでの把握も難しく、一般的な企業ではあまり費用対効果が見込めないかもしれません。
辻氏:
イニシャルアクセスブローカーにとっては攻撃対象者の絶対数が重要になるので、認証が弱いところだけではなく、脆弱性のあるところを常に探し回っています。これは、脆弱性が公知になった際にそれを悪用するプレイヤーが多くいるということです。
そして、企業が被害を受ける確率はおそらく以前よりも増しています。私はよくセミナーなどで「順番が回ってくるだけ」と説明しています。「うちみたいな会社が狙われるはずがない」と思う方もいらっしゃるかもしれませんが、イニシャルアクセスブローカーは手当たり次第攻撃しているので、ターゲットがどんな企業であるかまでは考えていないんです。もし自分の会社には関係ないと考えているのであれば、それはその方が“無関心”なだけであって、会社として“無関係”ではないということをお伝えしたいです。
(取材・文:周藤 瞳美 、写真:岩田 伸久)
第2回へ続く
最新情報をフォローする
