2020.12.7技術ブログ

2020年におけるランサムウェアの最新動向と対策

ランサムウェアの被害は以前より報告されているが、勝手にデータを暗号化され、身代金を要求する手口に加えて、事前に情報を盗み、その情報を流出させると脅迫する手口が新たに確認されている。これらの手口や対策を紹介する。

ランサムウェアとは

ランサムウェア(Ransomware)とは、「身代金(Ransom)」と「ソフトウェア(Software)」を組み合わせて作られた名称であり、コンピュータウイルスの一種です。このウイルスに感染すると、PCをロックしたり、ファイルを暗号化したりすることによって使用できなくした後、元に戻すことと引き換えに身代金を要求されます。近年、ランサムウェアの新しい手口による被害が国内外で多く報告されています。

2020年の国内におけるランサムウェアによる被害例

2020年11月、日系ゲーム会社が第三者からの不正アクセスにより社内システムの一部に障害が発生したと発表しました。(※1)2020年11月2日未明より、メールシステムやファイルサーバなどの社内ネットワークにアクセスしづらいなどの障害が発生しました。その後、Ragnar Lockerと呼ばれるランサムウェアの攻撃者が犯行声明を出し、社内ネットワーク上の端末を暗号化し、さらに、機密情報を含む1TBのファイルを窃取したと伝えています。(※2)
窃取された情報には契約情報、取引明細書、知的財産情報、顧客・従業員の個人情報や電子メールも含まれており、侵害成功の証跡として、一時リーククサイト上に一部の情報が公開されていました。攻撃者は暗号化の解除および窃取された情報の削除の見返りとして約11億円相当の身代金を要求しており、支払わなければ、更なる情報の公開や窃取された情報をオークションで販売すると示唆しています。

最近のランサムウェア攻撃の特徴

2017年に世界的に流行したWannaCryを覚えている方も多いと思いますが、従来のランサムウェアの攻撃は明確にターゲットを定めず、ウイルス添付メールのばらまき、悪意あるウェブサイトの閲覧者への攻撃等により対策が不十分なPCからの感染を試み、ファイルの暗号化を自動で行っています。このように、不特定多数へ広く攻撃を行い、支払いに応じる被害者から身代金を得ていました。
近年のランサムウェアの攻撃は、従来の手口とはとは異なり、企業や組織を明確なターゲットとし、事業継続のために金銭を払わざるを得ない状況を作り上げ、より確実により高額な身代金を得ようとしています。

  1. (1)人手によるランサムウェア攻撃
    攻撃手口としても、諜報活動を目的とする標的型サイバー攻撃と同様に、攻撃者が様々な手法を駆使して企業・組織内のネットワークへ密かに侵入し、機密情報を窃取した後にランサムウェアに感染させます。
  2. (2)二重の脅迫
    暗号化したデータの復旧するための身代金要求に加えて、窃取した情報を公開すると二重に脅迫をします。また情報を単に公開するだけではなく、情報自体をオークションで販売すると脅迫するケースも発生しています。(※3)オークションは、身代金の支払いを拒否されたときに金銭を得るための代替手段というだけでなく、オークションの結果、機密情報や個人情報が犯罪者の手に渡ってより大きな被害が発生することを想起させて、身代金を支払うように仕向けることができる狡猾な戦略だと考えます。

図:従来の/新たなランサムウェア攻撃の差異

図:従来の/新たなランサムウェア攻撃の差異
出典:IPA(独立行政法人情報処理機構)セキュリティセンター【注意喚起】事業継続を脅かす新たなランサムウェア攻撃について

対策

2020年8月にIPA(独立行政法人情報処理機構)セキュリティセンターより、最新のランサムウェア攻撃の被害が多発していると注意が呼びかけられました。(※4)
当該レポートによると、従来のランサムウェア攻撃への対策に加え、標的型サイバー攻撃への対策を行うことが重要になります。

  1. (1)企業・組織のネットワークへの侵入対策
    今回紹介したランサムウェア攻撃は攻撃者が企業・組織内のネットワークへ侵入することから始まるため、侵入対策を行うことが重要です。
    最近では、海外拠点から国内の拠点に侵害を拡大する行為(ラテラルムーブメント)が確認されているため、見逃しがちな海外拠点においても漏れなく対策を行うことが重要です。
  2. (2)データ・システムのバックアップ
    業務継続のためにデータやシステムのバックアップを取得することは重要な対策です。守るべき資産は何かをまずは特定し、有事においても復旧できるように、対応フローを整備し、訓練や復旧テストを実施することが重要です。

さいごに

サイバー攻撃の手口は年々高度化、巧妙化しており、ランサムウェア攻撃をはじめとしたサイバー攻撃対策のためには、最新のトレンドを知る必要があると考えられます。NTTデータ セキュリティ技術部では、3ヶ月に1度「グローバルセキュリティ動向四半期レポート」を公開しています(※5)。サイバーセキュリティ業界の動きを把握できる内容となっておりますので、ぜひご活用ください。

- NTTデータは、「これから」を描き、その実現に向け進み続けます -
お問い合わせ