NTT DATA

DATA INSIGHT

NTT DATAの「知見」と「先見」を社会へ届けるメディア

キーワードで探す
カテゴリで探す
サービスで探す
業種で探す
トピックで探す
キーワードで探す
カテゴリで探す
サービスで探す
業種で探す
トピックで探す
2021.9.10技術トレンド/展望

ランサムウエアから自社を守れ ~事例から学ぶ企業のセキュリティトレンド~

コンピューターウイルスを利用したサイバー犯罪は、常に進化している。もはや、どの企業が被害に遭ってもおかしくない状況だ。しっかりと対策をするためには、まず正しく敵を知る必要がある。そこで今回は、最近の事例を参考に、サイバーセキュリティ領域で“流行って”いるランサムウエアと気を付けるべきポイントを解説する。
目次

ランサムウエア犯罪の“ビジネスモデル”の変化

2021年上半期、サイバーセキュリティ領域の大きなトピックスに「ランサムウエア被害の増加」があります。2年ほど前から国内外で被害が相次いでおり、2021年上半期も日本国内で、富士フイルムや日本空港給油、総務省、岸和田市の業務委託先などが被害を受けた事例があります。

ランサムウエアとは、身代金を要求するコンピューターウイルスの一種です。感染したパソコンに保存されているファイルを暗号化し、その復号を可能にするソフトの購入を迫ります。購入に当たって金額を提示することから、英語で身代金を意味するRANSOMと、「マルウエア」をあわせてできた呼称です。以前は個人を狙っていましたが、最近は企業の恐喝も多く悪質化しつつあります。

ここで、ランサムウエアの歴史を振り返っておきましょう。ウイルス自体は、2006年頃から存在していました。感染するとデスクトップ画面が変更され、現金による身代金を要求する脅迫文が表示されます。これが原型で、基本的には今でも踏襲されている形です。2012年には、身代金にビットコインを指定するようになり、以降、身代金の主流は、銀行などに口座を持つ必要のない暗号資産になっていきます。

2012年頃には、もうひとつ大きな変化がありました。それまで、ランサムウエア開発者とそれをばらまく人間である実行者はほぼ同じでしたが、この頃から分担され始めたのです。ランサムウエア開発者はアンダーグラウンドの掲示版で、ランサムウエアウイルスの利用者(実行者)を募集します。実行者は利用料を支払い入手。企業ネットワークなどへの侵入するスキルを使って攻撃を行い、企業のファイルを暗号化するという流れです。

2014年頃からは、開発者と実行者が分担された手口が一般的になっています。実行者はアフィリエイト(協力者)と呼ばれるようになりました。そこから付けられた名称が「アフィリエイト プログラム」で、現在のランサムウエア犯行グループの基本的な形です。この頃から徐々に、個人だけなく企業へと攻撃の対象が広がりました。

企業への攻撃が更に増えた2016年頃からは、新たなモデルへと進化しました。それが、「RaaS」です。RaaSはRansomware as a Serviceの頭文字。開発者が持つランサムウエアの自動生成基盤そのものを実行者(アフィリエイト)が使用して、企業などを攻撃し、得た報酬を開発者と実行者で案分します。簡単に言えば、成功報酬型の仕組みです。

図1:RaaSの仕組み

図1:RaaSの仕組み

RaaSには、もうひとつ大きな特徴があります。それは、ゲーム性が高いことです。例えば、「GandCrab」というランサムウエアを使えば、実行者(アフィリエイト)は、感染させたシステム数、暗号化に成功したファイル数、稼いだ身代金の額などをリアルタイムで確認できます。可視化されることで、実行者(アフィリエイト)がランサムウエアによる脅迫という“ゲーム”に夢中になっていくのです。

そして、今から2年前、2019年には、「二重恐喝」という手口が誕生します。ファイルを復号する身代金に加えて、企業などから盗み出したファイルの削除料も要求する手法です。応じなければ、暴露サイトで企業秘密を漏洩させると脅すのです。これは、今現在もランサムウエア犯行グループが使っている主要な脅迫手口となっています。

ランサムウエア犯罪者の目的は、あくまで“金銭”

2021年上半期、ランサムウエアによる最も大きな事例は、5月に発生したアメリカのパイプライン最大手「コロニアル・パイプライン」への攻撃です。事件を起こしたのは、「Darkside」と呼ばれるランサムウエア犯行グループでした。

一大インフラが止まったことで燃料供給に関する不安が広まり、ニューヨークのガソリン・原油の先物取引市場の価格が急騰するなど、社会にも大きな影響が発生しました。結局、コロニアル・パイプラインのCEOは身代金の支払いでパイプラインを復旧させたと発表しています。重要インフラがサイバー攻撃を受けると、社会そのものにダメージを与えることが改めて認知された出来事と言えるでしょう。

世の中の大きな混乱に驚いたのは、犯人である「Darkside」グループも同じだったようです。彼らは、自身が運営する暴露サイト上で声明を発表。「自分たちの活動目的は金銭であり、社会的問題を起こすことではない」として、アメリカからの圧力を理由に活動を停止しました。

図2:コロニアル・パイプラインへの攻撃の時系列

図2:コロニアル・パイプラインへの攻撃の時系列

「Darkside」グループの活動停止を受け、ランサムウエア犯行グループの一部は「社会セクターや重要インフラに関するシステムは攻撃しない。情報を盗み出して削除料を要求するビジネスに特化する」といった声明を発表しています。また、ランサムウエアによる攻撃自体を辞めるというグループもありました。だたし、新たなグループも次々に出現しており、今でも攻撃が続いているのが実状です。

もちろん、当局も手をこまねいてはいません。アメリカでは、ランサムウエア犯行グループの動を抑止するため、政治・法律の両面から解決に乗り出しています。

2020年10月、OFAC(米国財務省外国資産管理局)は、テロなどによって制裁対象とされた組織に所属するサイバー犯罪者グループにランサムウエアの身代金を支払った場合、企業の法的責任を問うと警告しました。また、2021年5月に発表された2022年度予算案では、外国人がアメリカ国内の暗号資産取引所に口座を持っている場合、残高を報告するように提案しています。これにより、脅迫によって得た暗号資産の現金化に規制をかける狙いです。

ロシアも含めたトピックスとしては、2021年6月の米ロ首脳会談において、アメリカ側がサイバー攻撃の対象外とすべき16の重要インフラを提示。両国で専門家会合を開くことに合意しています。

アクセスブローカーを取り込み、力をつけるランサムウエア犯行グループ

最後に下半期に注目すべき動きとして、7月に確認されたばかりの最新事例について触れておきましょう。

コロニアル・パイプライン事件の後、「Avos(エイボス)」というランサムウエア犯行グループが、実行者(アフィリエイト)を募集しました。ここまでは今まで通りですが、新たに、企業への侵入手段を手配する「アクセスブローカー」の募集も書き込まれていたのです。

アクセスブローカーについて説明するには、まず、「ボットネット」について知らなくてはなりません。

ボットネットとは、BOTと呼ばれるウイルスに乗っ取られた多数のパソコンで構成されるネットワークのことです。サイバー犯罪者は、数万台単位のパソコンに一斉命令を出すことで、DDoS攻撃(対象のウェブサイトやサーバーに対して複数のコンピュータから大量にデータを送り込んで停止させる攻撃)や迷惑メールの送信を行います。

アクセスブローカーは、BOTに感染したパソコンを数百台単位で安く購入。その中から、企業のネットワークにアクセスできるパスワードなどが保存されている、値打ちがありそうなパソコンを探し出します。そして、プレミアム価格を上乗せして、そのパソコンへのアクセス権をランサムウエアの実行者(アフィリエイト)に売却して利益を得るのです。ランサムウエア犯行グループは、このアクセスブローカーを取り込んで、さらなる活性化を目指しているようです。

多要素認証と修正プログラムでランサムウエアを防御する

では、ランサムウエア犯行グループの被害に遭わないために、何に気をつければよいのでしょうか。コロニアル・パイプライン事件は、IDとパスワードだけの認証を突破されたことがきっかけだったと判明しています。単一の認証手法を突破するのは、実行者(アフィリエイト)の犯行手口の常套手段です。防ぐには、ID・パスワードといった知識認証に、スマートフォンに認証コードが送られてくる所有認証、指紋や静脈を使った生体認証、ICカードを使った認証などを組み合わせた「多要素認証」が効果的です。

多要素認証を使用した対策について詳しく知りたい場合はセキュリティ技術部のセキュリティ相談窓口まで(security-contact@kits.nttdata.co.jp)お気軽にご相談ください。

また、今はコロナ禍で、リモートワーク、テレワークを導入している企業も増えています。それにあわせてアンダーグラウンド掲示版では、VPNなどリモートワークで使われているソフトウエア製品を通じて侵入できる人間の募集が増えています。不審なファイルを開かない、ネットワーク機器やパソコンなどの端末、サーバー機器の修正プログラムは必ずアップデートしておくなど、セキュリティ対策には十分にお気を付けください。

2021年も下半期に入りましたが、ランサムウエアによる企業を狙ったサイバー犯罪は続く勢いです。国内企業を狙っているグループも複数確認されているので、最大限の注意を払ってください。

- NTTデータは、「これから」を描き、その実現に向け進み続けます -
お問い合わせ