世界中でランサムウェア攻撃の被害が多発

弊社では毎月、最新のサイバー脅威の状況について社内のアナリストが分析を行った結果レポートをお客様に提供しています。ここでは、2023年6月から7月上旬にかけて見られたサイバー脅威の状況に関するレポートの内容の一端をご紹介したいと思います。

この時期、幾つかの特徴的な傾向が見られましたが、その1つに「ランサムウェア被害の多発」がありました。例えば2023年6月6日、社会保険労務士事務所で広く使われているクラウドサービス「社労夢」の開発・運営元であるエムケイシステムがランサムウェア攻撃を受け、サービスが長期間に渡ってダウンしてしまいました。その結果、全国の多くの社会保険労務士事務所の業務に多大な影響が及びました。

また2023年7月5日には、名古屋港のコンテナターミナルで運用されているシステムがランサムウェア攻撃を受けてダウンしてしまった結果、丸一日に渡ってコンテナの搬出入ができなくなる事態に陥りました。当然のことながら多くの企業の物流に影響が及んだだけでなく、国内の重要なインフラがサイバー攻撃により機能停止に追い込まれた事案として報道でも大々的に取り上げられました。

さらにはこの時期、国内だけなく海外でも数多くの攻撃グループが活動を活発化しており、世界中でランサムウェアの被害が相次ぎました。

リモートワークに関連する脆弱性を狙った攻撃

こうした数々の攻撃の内容を詳しく調べてみると、RDPやVPNなど、リモートワーク用に導入されたネットワーク機器・サービスの脆弱性を狙った攻撃が数多く観測されています。また、リモートワークを導入した企業の従業員が自宅で利用するテレワーク端末を狙った攻撃も多く見られます。こうした攻撃は、コロナ禍に伴い多くの企業が急遽リモートワークを導入して以降、数多く観測されていましたが、現在でもその傾向が継続していることが分かります。

さらにはFortinet製の機器やファイル転送ソフトウェア「MOVEit」などの脆弱性が複数発見され、これらを悪用した攻撃も多発しています。MOVEitは日本国内ではユーザーが比較的少ないため被害もあまり報告されていませんが海外では広く使われているファイル転送ソフトウェアで、多数の企業・組織が被害を受けています。

「MOVEit」の脆弱性についてはこちらの資料で解説しています。
https://www.cybereason.co.jp/product-documents/survey-report/10955/

正規アカウントの悪用も多く確認されています。退職者のアカウントやテスト用のアカウント、簡単なパスワードを設定したアカウントなどを乗っ取り企業のネットワークに侵入しています。加えてランサムウェアの攻撃グループもLockbitやBlackCat、BlackByte、Play、Royalなど、複数の攻撃グループが同時に活動を活発化していたのがこの時期の大きな特徴だったといえます。

取引先や顧客に与える影響を考慮した対策を

冒頭で紹介したエムケイシステムや名古屋港の事例では、ランサムウェアに直接感染した企業が被害を被るだけでなく、その企業が提供するサービスを利用する数多くの企業・組織の事業に大きな影響が及んでいます。そのため攻撃を防ぐ側も、万が一ランサムウェアに感染してしまった場合にサプライチェーン全体に及ぶ影響を考慮して対策をより強化したり、万が一インシデントが発生した場合の対外的なコミュニケーションについて十分検討したりしておくことが大事です。

ちなみに弊社が提供するEDR製品「Cybereason EDR」や次世代アンチウイルス(NGAV)製品「Cybereason NGAV」は、ランサムウェア攻撃の検知や防御に特化した機能を備えています。まずはこうした製品を導入することによって、最新のランサムウェア攻撃を高い精度で検知・除去できる体制を整えておくことをお勧めします。

また万が一ランサムウェアに感染してしまった場合には、サプライチェーンに連なる取引先や関係先、さらには自社製品・サービスの利用者に与える影響を最小限に留めるために、いち早く適切なコミュニケーションをとる必要があります。そのためには平時から、有事におけるコミュニケーションの計画をきちんと立てておく必要があります。

インシデント対応の体制やプロセスをあらためて見直す

こうした取り組みを支援するために、弊社ではインシデン対応の体制構築支援のサービスや、体制が十分整っているかどうかを診断するアセスメントサービスなどを提供しています。さらには、実際にインシデントが発生したことを想定したインシデント対応演習のプログラムも提供しています。

単に製品やサービスを導入するだけでなく、こうした体制面での備えを強化しておくことで、サプライチェーンのウィークポイントを狙ったランサムウェア攻撃を受けた場合でも取引先や顧客に対して適切なコミュニケーションを迅速に取り、サプライチェーン全体の観点から損害を最小限に抑えることができるでしょう。

さらに近年のランサムウェア攻撃は、端末上に保管されたバックアップデータや、オンラインバックアップシステムで管理されているバックアップデータを消去して、暗号化したデータの復旧を困難にするものも増えています。そのためオンラインバックアップだけでなく、普段はネットワークから切り離した環境にバックアップデータを保管するオフラインバックアップを定期的に取得することで、より対策を万全なものにできるでしょう。

【ホワイトペーパー】ランサムウェアの歴史、組織、攻撃手法とその実態を徹底攻略

緊迫する国際情勢に伴い日本においても急増しているサイバー攻撃、事業停止など甚大な影響を及ぼすランサムウェア攻撃など、企業・組織におけるサイバーセキュリティへの取り組みは、もはやIT/セキュリティ担当者だけの課題ではなく、事業の継続性を担保する上で組織全体で取り組むべき最重要の課題となりました。

今回のテーマは「ランサムウェアの歴史、組織、攻撃手法とその実態を徹底攻略」で、ランサムウェア攻撃者自体や攻撃手法だけでなく、米国を始めとする国家のサイバー政策による影響を踏まえつつ、彼らを取り巻く環境にも注目し、その実態に迫ります。

本ホワイトペーパーでは、そのテーマに沿って講演したセッションの中から厳選した3つのセッションをご紹介します。
https://www.cybereason.co.jp/product-documents/white-paper/9248/