【サイバーセキュリティ】暗号化しないもう一つの手口：ノーウェアランサム

はい、こんにちは！サイバーセキュリティのネタを単発で公開中です。

前回の記事でランサムウェア、特にRaaS（Ransomware as a Service）について整理しました。加害する方も、ランサムウェアによる攻撃を、継続して「ビジネス」として成り立たせるために仕組みを作っていることが分かりました。

RaaSの簡単なシーケンス図

さて、今回は、「ノーウェアランサム」という新たな手口を整理したいと思います。聞き覚えがない？私もです。でも、それは理由があります。

気になるかたは続きをどうぞ！

警視庁によるサイバー犯罪レポート

警視庁は、「サイバー空間をめぐる脅威の情勢等」というレポートを半年に一度公開しています。

令和5年上半期分についても、9月21日に公開されました（「令和５年上半期におけるサイバー空間をめぐる脅威の情勢等について」）。

このレポートでは、サイバー空間の脅威情勢の一つの項目として、「ランサムウェア」が挙げられています。

しかし、そのランサムウェアと同じ文脈で、「ノーウェアランサム」という手口が紹介されました。

んん、見たことがない言葉です…。

警視庁が作り出した新たな用語だった

早速、「Noware Ransom」がどんな意味かググりましたが、うまくヒットしません。ChatGPTも「分かりません」と言う始末。英語のつづりが違うのか？

そしたら、言葉の定義を探る過程で、日経クロステックの記事にあたりました。どうやら、警視庁が「攻撃の特徴を端的に表すため、新たに造り出した言葉」だそうです。なるほど、それなら英単語で検索してもヒットしないわけですね。

言葉として定着するかは、どう一般に浸透し使われるかによって決まりますし、新しい言葉を日本発で提案していくのが悪いわけでもありません。

ただ、海外に向かって解説なしで「Noware Ransom」という言葉を使うのは、まだやめた方がいいかな…。

データの暗号化をしない「ランサムウェア」？

では、ノーウェアランサムとは、いったいどんなものなのでしょう？

警視庁の造語なのですから、上記の警視庁の資料から引用します。

データを暗号化する（ランサムウェアを用いる）ことなくデータを窃取し対価を要求する手口

「令和５年上半期におけるサイバー空間をめぐる脅威の情勢等について」ページ３

なるほど、ランサムウェアでは、データを暗号化するという手順が必須の要素だったところ、ノーウェアランサムでは、この「データを暗号化」する手順がないというわけです。

ここで一つの疑問が浮かびます。データを暗号化しないで、対価の要求ができるのでしょうか？

ランサムウェアに脅かされる要素

そもそもランサムウェアによる攻撃で困ることって何でしょうか。

一つは、業務で使うデータが暗号化されて、使えなくなることです。業務を行うことができなくて困るわけです。そう、脅かされるのは、情報セキュリティ3要素CIAでいえば、データの「可用性（A）」です

もう一つは、データを公開されて、個人情報等の機密が流出することです。会社の存続を左右するような信頼失墜が起こるかもしれません。そう、脅かされているのは、CIAでいえば、データの「機密性（C)」です。

（※一度、LAN内に侵入されたとあれば、改ざんされている可能性もあり「完全性（I）」も担保できないとは思いますけれども…。）

ランサムウェアと言えば、前者について脅すイメージがありますが、後者の要素について脅すこともあり得えます（暴露型ランサムウェア）。

さらに、前者と後者の両方が危険にさらされることもあります（ダブルエクストーション、二重脅迫型ランサムウェア）。

ノーウェアランサムは暴露に注目

翻って、ノーウェアランサムによって何が脅かされるか考えてみれば、それは、企業のデータの「機密性」でしょう。

ならば、暴露型ランサムウェアと同じと思いますね。しかし、ノーウェアランサムでは、データの暗号化という手順がないのです。

データを盗むだけで暗号化までは行いません。その分、ランサムウェアによる攻撃よりも、攻撃者に必要となる技術水準が下がります。これがノーウェアランサムが登場する背景なのかもしれませんね…。

はい、本日は、警視庁が作った新しい用語「ノーウェアランサム」について紹介しました。日々、新しい脅威が現れますね。

とはいえ、ランサムウェアでもノーウェアランサムでも、基本的な対策（VPN機器の脆弱性対応など）は同じようです。きちんと対策方法を学んでいきましょう。

では！