No199 ランサムウェアの今（１０大脅威2021その２）

今回は前回の続きとなりますが、IPAが公開した「情報セキュリティ
１０大脅威２０２１」の内容について解説します。

1. IPA？１０大脅威？

詳しくは前号をご覧いただきたいのですが、IPAというのは独立
行政法人の一つで正式名称を「情報処理推進機構」と言います。

ここは、情報処理技術者試験の実施や情報セキュリティの啓蒙
の推進などを主目的に設立されています。

そのIPAが毎年２～３月に発表しているのが「情報セキュリティ
１０大脅威」というものです。

これは、毎年のセキュリティ事故や事件の中でも社会的に影響が
大きかった手法（脅威）のワースト１０を有識者の審議と投票で
決めたもので、発表と同時にPDFが無償公開されています。

「情報セキュリティ10大脅威 2021」を公開
　https://www.ipa.go.jp/security/vuln/10threats2021.html

このメルマガではこの10大脅威については昨年も解説しています
ので、興味のある方はご覧ください。

「No149 2019年最大の情報セキュリティ事故」
　https://note.com/egao_it/n/n00ecc7ad5446
「No150 多要素認証をも破る攻撃手法（情報セキュリティ１０大
　脅威　２） 」
　https://note.com/egao_it/n/n19a2d55142a4

2. １位になってしまったランサムウェア

2021年版では、ランサムウェアによる被害が１位になりました。

今までの最高位だった2017年版でも２位でしたから、ランサム
ウェアの被害がより深刻なものとなっている様子がうかがえます。

ランサムウェアはもちろん造語です。ransom は身代金のことで
ランサムウェアと呼ばれるマルウェア（いわゆるウイルス。詳
しくは文末参照）が侵入し、勝手にファイルを暗号化した上で、
それを元に戻すのに身代金を請求することからランサムウェアと
呼ばれるようになったものです。

ランサムウェアは去年や今年に出てきたものではなく、2014年頃
から登場していました。

当初はランサムウェア付きのメールを誰彼なしに送り付け、ひっ
かかった被害者から金銭を巻き上げようとし、請求する金額も
数万円程度と、個人のＰＣ（パソコン）を狙っていたようです。

しかし、マルウェアの作者達はより大きな利益を得るために特定の
組織を狙った攻撃を行うようになってきたのです。

2020年のランサムウェア被害としては、11月にゲームメーカである
CAPCOMが大規模な攻撃を受け、社内の多くの情報を暗号化されて
しまい、業務を一時中断しなければならない程の被害を受けました。

CAPCOMの事件では、単にランサムウェアによって社内の情報を暗号
化されただけではなく、２重の脅迫を受けたと報道されています。

3. ２重の脅迫とは？

ランサムウェアで暗号化されても、社内にバックアップが残って
いれば、通常は身代金を払わずに済みます。これは犯罪者側から
すると、労力をかけたにもかかわらず、利益が上げられないことを
示します。

そこで、ファイルの暗号化に加えて、暗号化前のファイルを盗み
出し、それをインターネット上に公開する、と脅すようになった
のです。

つまり、
　１）ファイルを暗号化する
　２）インターネットに公開する
という２重の罠を仕掛けて、身代金を支払わざるを得ないように
追い込もうとするようになってきたのです。

4. ランサムウェアの身代金を支払うべきか？

身代金を支払ったからといって犯罪者側が暗号化を解く鍵を提示
する保証も、盗まれたファイルが公開されない保証もありません。
相手は犯罪者なのですから、こちらが支払っても、復号鍵が提供
されるとは限りません。

ですから、ランサムウェアの被害に対しては「身代金を支払わない」
のが第一に取るべき選択肢です。

これは日本の警察もFBI（上記のCAPCOM事件はFBIの管轄でした）も
同様の見解です。

もちろん、最終判断はその組織で決めることですが、支払わない
前提で、対策を講じるべきです。

5. ランサムウェアへの対策は？

ランサムウェアに限らず、脅威への対策はごく基本的なことです。

　1. 常にソフトウェアは最新に。特にWindows Updateは確実に。
　2. マルウェア対策ソフトは必ずインストール。パターンファイル
　　 も毎日更新。
　3. メールの添付ファイルを開く時は慎重に。
　4. メールに記載されたURLはクリックしない。

ランサムウェアに限らず、多くのマルウェアはメールでやって
きます。

最近は、実際の取引先の氏名が使われるなど、気を付けてもだま
されるようなメールもありますが、まだまだ多くは注意すれば
怪しいと気付くものです。

添付書類が文書だとか、写真だからといって安心はできません。
一見、写真にしか見えないマルウェアだって作ることは可能です。

もし、業務と無関係な内容のメールを見つければ、セキュリティ
担当者（いなければ、IT機器の管理担当者）に報告を上げ、他の
メンバにも注意喚起のメールを送っておきましょう。

最近の傾向として、一度狙われた組織には何度も何度も繰り返して
マルウェア（いわゆるウイルス）付きメールが送られてきますから、
こういった情報をみんなで共有しておくことは大切です。

また、あれ？と思った場合はそのＰＣ（パソコン）をネットワーク
から切断し、マルウェア対策ソフトでフルスキャンをかけるのを
習慣化してしまいましょう。

全メンバがこういった基本的な対策を取り続けることがマルウェア
に対する最強の対策です。

6. RaaS？

余談となりますが、2020年にはSaaS（Software as a Service)
ならぬRaaS(Ransamware as a Service)と呼ばれるあきれた商売も
登場したようです。

SaaSというのは、ソフトウェアの新たな（といっても10年以上前
から行われています）方式です。
通常のソフトウェアは売り切りで、買った人はそれを自分のコン
ピュータ上で実行させます。
一方で、SaaSではソフトウェアの販売元がコンピュータをインター
ネット上（いわゆるクラウド）で提供し、利用者はそれを使った
分だけ、使用料を支払います。
ソフトウェアそのものを買わず、使った分だけ使用料を払う方式
ということです。

RaaSはこれのランサムウェア版で、ランサムウェアを自由に使える
環境を犯罪者に貸し出し、それを使って行った行為（＝犯罪行為）
の分だけ使用料を払ってくれ、というわけです。
いわば、犯罪者のコラボです。

こんな行為はとても許容できるものではありません。

7. まとめ

IPAという独立行政法人の「情報セキュリティ１０大脅威」のうち、
組織向けの脅威のうち、１位のランサムウェアについての解説を
しました。

ランサムウェアについては、同様の被害は５年以上前から起きて
いますが、2020年からはファイルの暗号化だけでなく、ファイルを
暴露するという脅しも加えた２重脅迫という形式が目立って増えて
きています。

より凶悪になるランサムウェアですが、WindowsUpdate、マルウェア
対策ソフト、不審なメールへの注意喚起、といった基本的な対策を
徹底することが最強の対策です。

次回ですが、2021年版で初登場したテレワークに関する脅威について
解説をします。
次回もお楽しみに。

今回登場した用語

○マルウェア
　これは英語圏での造語で、malicious-softwareを縮めてmal-ware
　（＝マルウェア）と呼ぶ。
　malicious（マリシャス）は「悪意のある」とか「故意の」と
　いった意味。
　つまり、利用者が思ってもいないコトを裏でコッソリやるソフト
　ウェアの総称を指す。
　ウイルスと何が違うんだ？と思ったアナタは正しい。
　以前は「ウイルス」が悪事を働くソフトの代表だったので、それ
　が総称を兼ねていた。
　ところが、ウイルス以外にも悪さをするソフトウェア、例えば
　ワーム、トロイの木馬、偽ソフトといった形式のソフトウェアが
　登場してきた。
　結果、狭義のウイルスと広義のウイルスの２つの意味にかなりの
　差が生まれてしまった。
　この両方を「ウイルス」で表記していると区別がつきにくくなる
　ため、マルウェアという言葉を「悪さをするソフトウェア」の
　総称として使いはじめた。
　2021年現在、ウイルスという言葉はマルウェアの一つの形式扱い
　ということで専門家の間では定着した。一般ユーザにも広がり
　つつあるが「ウイルス」と呼ぶ人もまだまだ多い。

○マルウェア対策ソフト
　ウイルス対策ソフトとか統合セキュリティソフトなどと呼ば
　れるソフトウェアのこと。マルウェアに限らず、外部の脅威から
　ＰＣを守ることを目的としたソフト。多くの場合、マルウェア
　対策のみの製品、怪しげなサイト（フィッシングサイトなど）
　へのアクセス制御を加えた製品、といった複数の製品をライン
　アップしている。

このNoteは私が主宰するメルマガ「がんばりすぎないセキュリティ」からの転載です。
誰もが気になるセキュリティに関連するトピックを毎週月曜日の早朝に配信しています。
無料ですので、是非ご登録ください。
https://www.mag2.com/m/0001678731.html