急増する二重脅迫型ランサムウェア

ランサムウェアが企業を脅かす災いの種になってからもうずいぶんと年月が経ちます。しかし依然として、企業がその影響を受けなくなる兆しは見えません。

最近のある調査によれば、ランサムウェア攻撃で、2020年第3四半期には平均で233,817ドル、同第4四半期には154,108ドルの身代金が支払われたと言います。第4四半期は第3四半期と比べ金額が3分の1減っていますが、これは、攻撃の件数が減少したからではなく、一部の攻撃で被害者が身代金の支払いを拒否したためです。

このような状況において、ランサムウェア攻撃を仕掛けるハッカーは、被害者に要求を飲ませようと攻撃の手口を変えるようになっています。これまで組織は、ランサムウェア攻撃を受けて重要なデータが人質になってもデータを復元できるよう、オフサイトにバックアップを保存する対策を取ってきました。

そこでハッカーが使い始めたのが、「二重脅迫」と呼ばれる手口です。標的のデータを暗号化して人質に取るだけでなく、まず、データを盗み出し、被害者が身代金の支払いを拒んだときに、それを公開すると脅すのです。これでは、データをバックアップする対策の効果も薄れてしまいます。

米政府の国土安全保障省サイバーセキュリティインフラストラクチャセキュリティ庁（DHS CISA）の前ディレクター、Chris Krebs氏は、ランサムウェアに関して問題となっていることの1つに、企業がその影響を正しく認識していないことがあると、SANS Instituteにおける最近の基調講演で述べています。

「ランサムウェアによる攻撃は、その1つひとつの影響はわずかでも、それらが積み重なると、甚大な被害をもたらすため、国家レベルの非常事態を招くおそれがあります。私たちはその一歩手前にいます」と、Krebs氏は語っています。また、Krebs氏は次のようにも述べています。「国家主導のサイバー攻撃では、ハッカーはシステムへの侵入後、その身を隠す傾向がありますが、ランサムウェアの攻撃では、”侵入したコンピューターの画面で侵入を誇示し、自分が今何をしているのか、被害者にその内容を伝えようとする”のです」

ランサムウェアに起因するインシデントの対応件数が増加

ある調査の結果によれば、2018年には、インシデント対応の10件に1件がランサムウェアに関係するインシデントであったのに対し、2020年にはそれが、4件に1件へと増加していることがわかりました。BH ConsultingのCEO、Brian Honan氏は以下のように述べています。「ある顧客では、保有している16台のサーバーのうち15台がランサムウェアによりロックダウンされてしまい、手動で復旧をしなければならなくなりました」

「すべてのお客様が運よくシステムを復旧できたわけではありません。サポートを求めるコールを受けても、お客様のバックアップが十分でなかったためにシステムを復旧できないこともありました」と、Honan氏は語っています。

ランサムウェアによる攻撃はまだ定期的に発生しています。過去において、市議会がランサムウェアの攻撃を受け、業務でITシステムが使えなくなったり、さまざまなサービスが何週間も利用できなくなったりした事例が警告しているにもかかわらず、依然として企業に大きな被害が出ています。それが実態なのです。

Krebs氏が述べているように、ランサムウェアによる攻撃では、標的のシステムに侵入し活動をするのに、ハッカーはその行動を隠そうとはしません。ランサムウェアは騒がしく、そして被害者の注意を引こうとします。

ところで、ランサムウェアの攻撃を受けてその復旧を行う場合、攻撃の背後にいる攻撃者について考えることはあるのでしょうか。自身がサポートを担当した被害者の中には、攻撃者のことを考えていた顧客はまったくいなかったと、Honan氏は述べています。考えていたのは、どう復旧を行い、どう再発を防止するかということだけだったと言います。

また、Honan氏は、次のようにも述べています。「国家の支援を受け、高度な技術力を有する攻撃者や、APT攻撃を仕掛ける攻撃者が自身の敵であるとする考えを、サイバーセキュリティのプロフェッショナルの多くが好んでいるようです。しかし実際の脅威は、ごく普通のサイバー犯罪者を起点としているのです。これらのサイバー犯罪者はその多くが、攻撃に成功しています。犯罪者の手口が巧妙だったからではありません。犠牲となった企業のセキュリティハイジーンに不備があったからです」

攻撃の手口には、高度なものはまったくありませんでした。使われたのは、セキュリティに不備のあるリモートデスクトッププロトコル（RDP）構成からのアクセスや、手の込んだフィシングメールなどの手口です。パッチの適用が完全でないコンピューターや、インストールされているアンチウイルスソフトが最新でないコンピューター、有効なバックアップ管理の仕組みを持たないコンピューターに、マルウェアの仕込まれたWebサイトを閲覧させる手口も使われました。セキュリティ対策がとても簡単に見えることがありますが、攻撃も同じくらい容易なのです。

ランサムウェアという現象

Hidden Textのディレクター、Stuart Coulson氏によれば、ランサムウェアの問題が発生している背景には、3つの要因があると言います。1つ目は、サイバー犯罪者に関する要因です。今やサイバー犯罪者は、数秒で完全なランサムウェア攻撃を仕掛けられるツールを利用できるようになっています。普通の人ならほとんどが騙されてしまうような文面の詐欺メールをワンクリックで作成できるテンプレートも出回っています。

「ハッカーは、自身の行動を追跡されないように攻撃を仕掛けることができます。非常に”安全な”方法で犯罪を犯せるというわけです」とCoulson氏は述べています。「こうなると、必要なのは、人間の直感やセキュリティツールの隙を突いて容易に侵入のできる標的の企業を探すことだけです。そういった組織の特に重要性の高いデータを狙い、攻撃の効果を最大化するのです」

２つ目の要素はメディアです。規模の小さな組織がランサムウェアの攻撃を受けても、そのことがメディアで取り上げられることはありません。一方で、ニュースワイヤーなら、「Webページやブログ記事、動画、パネルディスカッションなど」を通じ、そういった事件でも扱うことができます。キーワードで情報を見つけられる可能性も高まります。

Coulson氏は次のように語っています。「インターネットを利用する人々のうち、一般の人々が、サイバー空間について扱ったニュースに関心がないことも関係しています。しかし、ランサムウェアの問題は、今や大変重要な問題となっています。この点は強く主張しておきたいと思います」。

3つ目の要素は、グローバルレベルでのパンデミックの発生です。「あらゆる犯罪者にとって、絶好の機会が訪れたと言ってよいでしょう」とCoulson氏は述べています。労働環境が突然変わってしまった人々が、セキュリティの完備したオフィスから離れ、パンデミックの生み出す不確実性に起因する大きなストレスにさらされながら、安全性の低いインターネット回線でリソースを他の人々と共有して働いているからです。

「あまりにも多くの企業が攻撃に無防備になってしまいました。大きなストレスを感じながらセキュリティに不備のあるインターネットで仕事をしている人々の弱みにつけこんで、犯罪者は、組織全体を標的としてランサムウェアを感染させることができるようになっています。しかも、ワンクリックでそれが可能なのです」と、Coulson氏は語ります。

Coulson氏によれば、こういった状況から、ランサムウェアへの認知をもっと高めるべきで、攻撃の被害を増やしてはならないと言います。「今はまだこれまでと状況は変わっていないと思います。しかし、ランサムウェアを扱った報道の数が増え、ニュースのサイクルが遅くなり、新たなスタイルの攻撃が出現すれば、ランサムウェアについてもっと多くの情報が広まるのは確かです」

私個人はほぼ10年の間、ランサムウェアの問題を扱ってきました。それほどの年月が経っているというのに、残念ながら、ランサムウェアは依然として企業を悩ます大きな問題となっています。企業は他社の事例から何も学んでいないようです。まずは、サイバー犯罪者のことよりも、ランサムウェアの影響を回避するための方法を検討することに注力するのが最善の策と言えましょう。

ホワイトペーパー「ランサムウェアの解読 〜最新型ランサムウェア攻撃の解説と防止策〜」

ランサムウェア攻撃は2018年前半に一旦大幅に減少したものの、その後の数年はすさまじい勢いで盛り返しています。身代金の支払いも急増しており、2019年12月には、攻撃者への身代金の平均支払い額は8万ドルを超えました。

昨今の攻撃者は、データの身代金を要求するだけでなく、データを盗んでインターネット上で売却もしています。このことは、攻撃者がランサムウェアを実行しているだけでなく、ネットワーク上にとどまってデータを抜き取り、最終的にランサムウェアを展開しているという傾向を示しています。

このホワイトペーパーでは、最新のランサムウェアがどのような特徴があり、どのように既存のセキュリティ対策を回避しているのかを解説しています。
https://www.cybereason.co.jp/product-documents/white-paper/4806/