身代金として金銭を得ることを目的に、企業・組織内のネットワークへ侵入し、パソコン等の端末やサーバ上のデータを一斉に暗号化して使用できなくしたり、データを窃取して公開すると脅迫したりするサイバー攻撃の被害が多発しています。
これは、「ランサムウェア」と呼ばれるウイルスを用いた従来の攻撃に、「人手によるランサムウェア攻撃」と「二重の脅迫」の新たな手口が加わった結果です。
諜報活動を目的とするような標的型サイバー攻撃と同等の技術が駆使され、大量のデータやシステム全体が被害に遭い、事業継続が脅かされる可能性があるため注意が必要となっています。
これまで、海外の企業等で被害が多く見られていたが、一部、国内の企業・組織でもこの攻撃手法による被害が報じられている状況となっています。そこで今回は、IPAの注意喚起を参考にこの脅威について説明します。
「人手によるランサムウェア攻撃」と「二重の脅迫」
ランサムウェアとは、パソコン等の端末やサーバ上のデータを暗号化する等して使用不可にし、それらを復旧することと引き換えに身代金を支払うように促す脅迫メッセージを表示するウイルスの総称です。これまで、ランサムウェアを使う攻撃者は、基本的に明確な標的を定めず、例えばウイルスメールをばらまくといった方法で、広く無差別に攻撃を行っていました。
しかし、2018年~2019年頃より、明確に標的を企業・組織に定め、身代金を支払わざるを得ないような状況を作り出すため、次の2つの新たな攻撃手口を取り入れる攻撃者が現れています。
- 人手によるランサムウェア攻撃 (human-operated ransomware attacks)*1
- 二重の脅迫 (double extortion)*2
この新たなランサムウェア攻撃について、海外で多数の企業・組織の被害が報道されており、国内の企業・組織でも被害が確認されています。1万台を超えるマシンが攻撃されたり、数TB(テラバイト)ものデータが窃取されたりといった事例があり、身代金として要求されるのは、数千万円から数億円の規模となっています。
この攻撃は、組織の規模の大小、扱っている情報の機密性等に関わらず、ITシステムにより事業が成り立っている、あらゆる企業・組織が標的となりえます。
経営層やIT・セキュリティを担当する部門において、事業の継続を脅かすような大規模な被害が生じ得る脅威として認識し、対策を検討する必要があります。
図1 従来と新型のランサムウェア攻撃の差異
<画像出典:IPA>
新たなランサムウェア攻撃の手口
攻撃者が取り入れている、2つの新たな攻撃手口について説明します。
人手によるランサムウェア攻撃 (human-operated ransomware attacks)
- ウイルスを添付したメールを機械的にばらまくような手口と異なり、諜報活動を目的とする「標的型サイバー攻撃」と同様の方法、すなわち、攻撃者自身が様々な攻撃手法を駆使して、企業・組織のネットワークへひそかに侵入し、侵入後の侵害範囲拡大等を行います。そして、事業継続に関わるシステムや、機微情報等が保存されている端末やサーバを探し出してランサムウェアに感染させたり、ドメインコントローラのような管理サーバを乗っ取って、一斉に企業・組織内の端末やサーバをランサムウェアに感染させたりする攻撃方法です。復旧を阻害するため、バックアップ等も同時に狙われることがあります。一般的に、攻撃の進行を検知しにくく、判明した時点では既に大きな被害が生じている場合があります。
二重の脅迫 (double extortion)
- ランサムウェアにより暗号化したデータを復旧するための身代金の要求に加え、暗号化する前にデータを窃取しておき、支払わなければデータを公開する等と脅迫する攻撃方法です。
- 窃取されたデータは、例えば、攻撃者がインターネットやダークウェブに設置した、データ公開のためのウェブサイト(リークサイト)にて公開されます。身代金が支払われない場合、データの一部を公開し、日数の経過に伴い徐々に公開範囲を広げると脅す場合もあります。
どうやって対策するのか
新たなランサムウェア攻撃は、諜報活動を目的とするような標的型サイバー攻撃と同等の技術が駆使されるため、あらゆる面でのセキュリティの強化で対応する必要があります。
例えば、ウイルス対策、不正アクセス対策、脆弱性対策など、基本的な対策を、確実かつ多層的に適用することが重要です。
ここでは公開されている事例などを基に、次の2点を紹介します。全般的な対策や、その他の事項については、レポート本紙を参照してください。
企業・組織のネットワークへの侵入対策
-
- この攻撃は、攻撃者が企業・組織のネットワークへ侵入するところから始まります。特に、インターネットからアクセス可能な状態としているサーバへの不正アクセスや、ネットワーク機器の脆弱性の悪用などが報告されています。リモートデスクトップサービス(RDP)の認証を突破されたり、VPN装置のアップデートが行われておらず侵入されたという事例が多くありますが、狙われるのはこれらに限りません。
- インターネットからアクセス可能な装置全体について、アクセス制御が適切にできているか、認証が突破される可能性はないか、脆弱性は解消されているかといった点を、今一度確認することを勧めます。
データ・システムのバックアップ
-
- 攻撃者は、身代金を支払わせるため、業務継続が困難になるよう、重要なデータやシステムを探し出し、狙ってくると思われます。ネットワークにバックアップサーバが接続されていると、バックアップサーバも被害に遭う可能性があります。バックアップを確実に取得し、守ることができるよう、必要に応じて設定や構成を見直してください。
「事業継続を脅かす新たなランサムウェア攻撃について」 レポート
本注意喚起の詳細は、レポート「事業継続を脅かす新たなランサムウェア攻撃について」で説明しています。レポートでは、攻撃の近年の変化、「人手によるランサムウェア攻撃」と「二重の脅迫」の説明、被害事例、攻撃手口、対策等について述べています。詳しくはこちらをご覧ください。
レポート本紙
*1):標的型ランサムやシステム侵入型ランサム等とも呼ばれている。
*2:暴露型ランサム等とも呼ばれている。