見出し画像

ランサムウェアの脅威と対策

Dirbato公式

1.はじめに

令和3年9月9日に警視庁から発表された広報資料「令和3年上半期におけるサイバー空間をめぐる脅威の情勢等について」の中で記載がある通り、
警視庁へのランサムウェアによる被害報告数が令和2年下半期から令和3年上半期の間で約3倍に増加しています。
また、IPAのプレス発表 「情報セキュリティ10大脅威 2022」でもランサムウェアによる被害が昨年に引き続き1位の脅威として挙げられ、数あるサイバー攻撃の中でも、ランサムウェアによるサイバー攻撃が猛威を振るっていることが伺えます。
本コラムでは、ランサムウェアの歴史から近年の動向、被害に遭わないための対策を記載します。

2. 歴史

「ランサムウェア」とはマルウェアの一種であり、名称は「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語です。攻撃の内容は、感染したPCやデータに対しロックや暗号化を行い、それらを解除する際に金銭を要求するというものです。

以下の表に、ランサムウェアの変遷を簡単にまとめました。

ランサムウェアが確認されるようになってから現在まで、情報の暗号化を行い、身代金を要求するという手口は変わっていませんが、不特定多数への攻撃から、特定の企業や機関への攻撃(人手によるランサムウェア)が主流になり、身代金の請求金額も高額になってきています。また、身代金の請求だけでなく、支払わない場合には機密データを公開する等の脅迫(二重の脅迫)も行われる事例が確認されています。

上記表内に記載している最新のランサムウェア「MAZE」は2020年に活動を中止しましたが、その後もMAZEに代わるランサムウェアが登場しています。
悪意のあるマクロスクリプトを含むwordファイルを添付したフィッシングメールを送付する「Egregor」、CitrixやRDPの脆弱性を利用して侵入し長期間潜伏する「Nefilim」、Windowsだけではなく、Linux環境にも適応した「LansomEXX」など、攻撃手法や適応環境の拡大が散見されています。
最近のランサムウェア攻撃の事例として、アメリカの私立大学「リンカーンカレッジ」の運営や資金調達のシステム停止、「しまむら」のシステム障害を挙げます。リンカーンカレッジではシステム停止に加え、新型コロナの財政負担も重なり、閉校に追い込まれました。しまむらでは、システム障害によりグループ全店で商品の取り寄せができない状態となりました。
この2つの事例だけでも、ランサムウェアによる攻撃が国や業界を問わず、誰でも被害に遭う可能性があることがわかります。

3. 対策

ランサムウェアによる攻撃を防ぐ方法として、メールへの警戒やセキュリティソフトの導入は当たり前のこととして言われていますが、先に述べたランサムウェアの変遷からわかるように、近年ではフィッシングメール以外から侵入されるケースも存在します。
また、警視庁の発表でも明らかなように、感染経路として「VPN機器からの侵入」が54%、「リモートデスクトップからの侵入」が20%を占めていて、
「メールやその他添付ファイル」よりも多くの被害が出ていることが伺えます。

「令和3年上半期におけるサイバー空間をめぐる脅威の情勢等について」より引用

このグラフから推察できるように、ランサムウェアの攻撃方法は多岐に渡ることが想像できます。そのため、メールへの警戒やウイルス対策ソフトの導入に加え、以下のような対策が必要です。

  • 認証情報の管理
    脆弱なパスワードによってシステムへ侵入され、攻撃が行われてしまうため、パスワードは英字や数字を組み合わせた複雑なものに設定し、定期的に変更を行うことは一般的な対策と言えると思います。しかし、パスワードを強化しただけでは、万が一情報が漏洩した場合、誰でもシステムに侵入できるようになってしまいます。
    そのような危険性を防ぐため、2要素認証の使用も広まってきています。
    2要素認証とはIDとパスワードによる本人が知っている認証に加え、指紋や顔認証による生体認証等、異なる要素を組み合わせる認証方式です。
    指紋や顔認証は、利用者本人のみでしか認証されないため、第三者によるシステムへの侵入を防止する有効な手段と言えます。

  • OSへの脆弱性対応
    最新のセキュリティパッチの適用やアップデートを行うことでOSのセキュリティを強化します。
    ただし、既にサポートが切れたOSはセキュリティパッチが提供されないため、ランサムウェアに限らず、ウイルスに感染するリスクが上がってしまうため注意が必要です。

  • ネットワークのセキュリティ強化
    先述の通り、VPNやリモートデスクトップの脆弱性を狙った攻撃が増加しています。VPNは暗号化通信を行うことでプライバシーを保護しセキュリティを強化していますが、ウイルスを発見して排除することはできません。そのため、もしウイルスに感染した端末でVPN接続をした場合、社内ネットワークに接続している他の端末にウイルスが拡散する恐れがあります。
    このようなリスクを避けるため、ゼロトラストを意識したネットワークの考え方も出てきています。従来のファイアウォールのようなセキュリティ対策では、アクセス許可と制御を同一システムで実施しますが、ゼロトラストの概念では、アクセス許可と制御は別々で行われ、それぞれの情報の整合性が取れることを確認できたら通信が可能になります。
    そのため、ネットワークに接続するためには複数の情報が必要です。従来のようにアクセス許可=通信可能とはならないため、より安全性が担保された概念だと言えます。

  • 身代金支払いへの対策
    ランサムウェアの被害として、身代金の請求も無視できません。
    FBIのレイ長官が昨年6月の米国上院の歳出委員会で証言している通り、身代金を支払えば、データの復元や機密データの漏洩を阻止できる保証はどこにもありません。しかし、身代金請求の方法も巧妙になってきているため、支払ってしまう人が一定数いることも事実です。万が一被害に遭った場合は、セキュリティソフト開発元のサポートセンターへ問い合わせを行い、慌てて身代金を支払ってしまうことの無いよう注意が必要です。
    また、普段からランサムウェアの被害に遭ったことを想定し、保険への加入や被害に遭った場合に踏むプロセスを確立させておくことも有効な手立てとして挙げられます。
    身代金の支払いによる思わぬ二次被害を受けないためにも、必要であれば弁護士や保険会社からのアドバイスを受け、普段から対策を練っておくことが重要です。

4.まとめ

ここまでランサムウェアの変遷から最近の動向、被害に遭わないための対策を述べてきました。ランサムウェアを含めたマルウェアの脅威は年々巧妙になっているため、複合的な対策も必要です。
複合的な対策としては、ネットワークへの侵入対策・侵入後のデータ暗号化等の対策・情報漏洩が行われないようにするための対策等を行う多層防御が挙げられます。マルウェアに侵入されないことは重要ですが、侵入されてしまった後の対策も行うことで被害を最小限に留めることができます。
今回はランサムウェアを取り上げましたが、国や業界に関係なく、誰でもサイバー攻撃の被害に遭う可能性があるため、ニュース等で取り上げられるサイバー攻撃による被害を自分事としてとらえ、予防策を実施していくことが被害に遭わないための最善策と言えるでしょう。

<参考資料>

執筆者

春日井 有希
株式会社 Dirbato(ディルバート)
コンサルティンググループ コンサルタント
2022年4月より、IT企業を経てDirbatoに参画。
前職ではシステムエンジニアとしてPHPやC#を中心とした開発に携わり、
作業工程としては要件定義~リリースを行っていた。
趣味は、楽器演奏・登山・ダイビング。

この記事が気に入ったらサポートをしてみませんか?