#マルウェア | SQAT®.jp

2025年5月15日2025年5月21日

オンライン広告を悪用するマルバタイジング攻撃とは？ -攻撃の手法や事例、基本的な対策例を解説-

Security NEWS TOPに戻る
バックナンバー TOPに戻る

企業の広告戦略において、オンライン広告の活用は今や不可欠です。しかし、近年ではそうしたオンライン広告の信頼性を悪用した「マルバタイジング（Malvertising）」攻撃の脅威が高まっており、企業のブランド毀損や利用ユーザへの被害が懸念されています。本記事では、企業の情報システム部門やデジタルマーケティング担当者に向けて、マルバタイジング攻撃の仕組み・手口・具体的な事例、そして取るべき対策について解説します。

マルバタイジング攻撃とは

マルバタイジングの概要

「マルバタイジング」という言葉は悪意のある広告を意味します。そして「マルバタイジング攻撃」とは、正規のオンライン広告ネットワークを利用して、悪意のあるコンテンツやマルウェアを配布するサイバー攻撃です。攻撃者は主要なネットワークを通じて、広告利用者や顧客となるユーザを偽のサポートページ、フィッシングサイト、マルウェア配布ページなどに誘導します。

主な手法・特徴

・検索エンジン広告の上位表示を利用し、正規サイトよりも上に悪意のある広告を掲載させる
・クローキング技術で、広告審査時には正常なページを見せ、ユーザには悪意あるコンテンツを表示
・多段階リダイレクトを通じ、攻撃の追跡や遮断を困難にする
・マルウェアをダウンロードするように誘導する

さらに不正なストリーミングや違法コンテンツを利用し、ユーザの心理的なガードが下がっているタイミングを狙って攻撃者が攻撃を仕掛ける点や、偽の著名人広告を使ってリアリティを演出する点など、ソーシャルエンジニアリング攻撃としてのアプローチも確認できます。

攻撃手法（広告主のアカウントの乗っ取り）

近年特に問題視されているのが、広告アカウント自体の乗っ取りや悪用です。Malwarebytesの報告によれば、攻撃者はまず広告主を狙い、偽のGoogle広告やフィッシングページを通じて、認証情報を詐取します。これにより、正規の広告主のアカウントが乗っ取られ、「偽の広告出稿に使われる（正規アカウントゆえ審査を通過しやすい）」や「広告費が犯罪活動に使われ、別の被害につながる」「違法な目的で利用されたことで、正規アカウントのブランド価値が毀損される」といったことに繋がります。また、広告主からすると、被害者であると同時に加害者になってしまうリスクがあるため、その点にも留意が必要です。

ClickFix

マルバタイジング攻撃の中核ともいえるのが、広告から遷移した先での悪意ある操作です。最近では「ClickFix」と呼ばれる手法が注目されています。これは一見してCaptcha画面やトラフィック認証のように見えるページで、ユーザ自身に悪意あるコマンドをコピー＆ペーストさせ、実行させるというものです。

代表的な手法

偽のCaptcha画面を通じてコピー＆ペーストした内容により、悪意あるコマンドをユーザ自身の手で実行させる
PayPalの「no-code checkout」リンクを悪用し、偽のサポートを通じて個人情報を詐取する*1
Semrushを装った偽の広告をGoogle広告に出稿し、ユーザを偽のログインページに誘導するフィッシング*2
難読化により、解析やブロックの回避を狙う

こうして細工されたページは、一見、信頼感のあるドメインやUIを装い、ユーザを安心させることで、警戒心をくぐり抜けています。企業が提供している正規ブランドやツールの名前が使われるケースも多く、こうした事情を知った上での警戒が必要です。

マルバタイジング攻撃の事例

2023年、米セキュリティ企業SentinelOneは、攻撃者がGoogle広告を利用して、Amazon Web Services（AWS）のログインページを模倣したフィッシングサイトへの誘導を行ったとの報告を行いました。手順は下図の通りです。

攻撃の流れ

フィッシングサイトには「Webページのコンテンツコピーを阻害するためにマウスクリックが無効とされている」「キーボードショートカットを無効にするために、ショートカットを押すと『#』にリダイレクトされる」「ブラジル納税者番号等を装うためにポルトガル語を使用している」といった細工が施されていました。

その他にも様々な攻撃事例があります。その一部を参考までに以下に記載します。

事例1：米Yahoo広告ネットワークを悪用した大規模感染（2014年）
2014年、米Yahooの広告ネットワークを通じて配信されたマルバタイジング攻撃では、ユーザが広告をクリックしなくても、広告が表示されるだけでマルウェアが自動的にインストールされる事例が報告されました。この攻撃は、数百万人のユーザに影響を及ぼしました。*3

事例2：日本を標的とした「Cinobi」マルバタイジングキャンペーン（2021年）
2021年8月、トレンドマイクロは、日本のユーザを標的としたマルバタイジングキャンペーンを報告しました。この攻撃では、「Cinobi」と呼ばれるトロイの木馬型マルウェアが使用され、暗号通貨関連のWebサイトを模倣した広告を通じて感染が拡大しました。

事例3：Google広告アカウントの乗っ取りとフィッシング（2025年）
2025年3月、Malwarebytesにより、SEOツール「Semrush」を装ったフィッシング広告がGoogle検索結果に表示され、ユーザを偽のログインページに誘導する事例が報告されました。これらの広告は、正規のSemrushサイトを模倣し、Googleアカウントの認証情報を盗み取ることを目的としていました。*4

マルバタイジング攻撃への対策

マルバタイジング攻撃は、攻撃者が合法的な広告経路を悪用する、ユーザに攻撃を実行させる、という手法を取る性質上、防御が難しい面があります。しかし、基本的な対策の徹底と、いくつかの技術的および運用上の対策により、そのリスクを大きく軽減することが可能です。

マルバタイジング攻撃対策の基本

すべてのソフトウェア（特にウェブブラウザとその拡張機能）を常に最新の状態に保つ
アンチマルウェアソリューションや広告ブロッカーの導入によって攻撃リスクを抑制
FlashやJavaなどのプラグインを無効化し、ウェブ上で自動実行されないようにする*5
WAF（Web Application Firewall）を導入し、広告を通じた外部からの侵入リスクを防ぐ
多要素認証（MFA）の導入により、アカウント乗っ取り被害を防止
API連携部分も含めたセキュリティ設計を検討

多層防御とインシデント対応

・資産管理、脆弱性管理、ネットワーク分離などの複数対策を組み合わせた「多層防御」体制の構築
・攻撃の「侵入を前提」とした対応方針の確立と運用（ゼロトラスト）
・インシデントが発生した場合の備えとして、CSIRTの整備や初動手順の明文化を推奨

サイバーインシデント緊急対応

企業が行うべきセキュリティ対策の実効性評価

ランサムウェア対策総点検

「ランサムウェア対策総点検」では現状のリスクの棚卸を行うことが可能です。システム環境の確認や、環境内で検知された危険度（リスクレベル）を判定いたします。

ペネトレーションテスト

まとめ

広告はもはや「見せるもの」というだけでなく、「狙われるもの」である
――そのような認識が今、求められています。

オンライン広告の世界における「信頼」は、もはや絶対的なものではありません。広告インフラを突いたマルバタイジング攻撃は、今後も進化を続けていくと考えられ、企業・広告主・マーケターはより一層の警戒が求められます。

本記事で紹介した事例や対策は、すべてのWebマーケティングに関わる組織が当事者であるといえる内容となります。攻撃の侵入を前提として何も信用しない「ゼロトラスト」の思考と、多層的なセキュリティ戦略のもと、日々の業務と広告展開の両面において、安全性を担保する取り組みが不可欠です。

BBSecでは

サイバー保険付帯脆弱性診断サービスの紹介

サイバー保険付帯の脆弱性診断サービスへのバナー — ※外部サイトにリンクします。

サイバー保険付帯の対象となる脆弱性診断

BBSecのSQAT^® 脆弱性診断サービスすべてが対象となります。また、複数回脆弱性診断を実施した場合、最新の診断結果の報告日から1年間有効となります。

脆弱性診断とは、企業・組織のシステムに存在する既知のセキュリティ上の欠陥（＝脆弱性）を検出するための検査です。情報漏洩やサービス停止などの重大なセキュリティインシデントを未然に防ぐため、システム全体の問題点を可視化します。これにより、リスクに優先順位をつけて対策を講じることが可能です。また、継続的な診断の実施により、新しい脅威や構成変更、経年による新たな脆弱性の発露といった脅威にも柔軟に対応できるため、企業のセキュリティレベルを継続的に改善する基盤として重要な役割を果たします。

関連記事：
「脆弱性診断の必要性とは？ツールなど調査手法と進め方」

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

2025年5月21日（水）14:00～15:00
「Webサイト改ざん攻撃の手口と防御策とは？リアルタイム検知で守るセキュリティ」

2025年5月28日（水）13:00～14:00
「脆弱性診断の新提案！スピード診断と短納期で解決する「SQAT® with Swift Delivery」セミナー」

2025年6月4日（水）13:00～14:00
「知っておきたいIPA『情報セキュリティ10大脅威 2025』～セキュリティ診断による予防的コントロール～ 」

最新情報はこちら

2025年2月19日2025年5月8日

2025年サポート終了製品リスト付！サポートが終了したソフトウェアを使い続けるリスクとその対策

Security NEWS TOPに戻る
バックナンバー TOPに戻る

contents

現代のビジネス環境では、ソフトウェアやシステムのセキュリティ対策が極めて重要です。しかし、多くの企業や個人が気づかぬうちに、サポートが終了したソフトウェアを使い続けることで、深刻なサイバーセキュリティのリスクにさらされています。本記事では、サポート終了製品を利用し続けることの危険性と、その対策について詳しく解説します。

お問い合わせ

お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。

サポートが終了したソフトウェアとは？

ソフトウェアベンダーは、一定の期間ソフトウェアのアップデートやセキュリティパッチを提供します。しかし、開発の継続が難しくなると、メーカーはその製品のサポートを終了し、新しいバージョンへの移行を促します。例えば、Windows 10は2025年10月にサポート終了が予定されており、企業や個人ユーザーは今後の対応を迫られています。

表.2025年中にEOLとなる製品

サポート終了後のソフトウェアは、新たな脆弱性が発見されても修正されず、そのまま放置されることになります。このため、サイバー攻撃の標的となるリスクが非常に高くなります。

サポートが終了したソフトウェアを使い続けるリスク

セキュリティの脆弱性が修正されない
サポートが終了したソフトウェアには、新たに発見された脆弱性に対するセキュリティパッチが提供されません。そのため、ハッカーにとって格好の標的となり、マルウェア感染や不正アクセスのリスクが高まります。
ランサムウェアやマルウェア攻撃の増加
近年、サポート終了ソフトウェアを狙ったランサムウェア攻撃が増加しています。例えばWindows XPのサポート終了後、「WannaCry」というランサムウェアが流行し、多くの企業が被害を受けました。これと同様の攻撃が、サポート終了後のWindows 10やその他の古いソフトウェアでも発生する可能性があります。
法規制やコンプライアンス違反
企業がサポート終了ソフトウェアを使い続けることは、法的リスクを伴います。特にGDPR（EU一般データ保護規則）や日本の個人情報保護法では、適切なセキュリティ対策を講じることが求められています。サポートが終了したソフトウェアを利用することは、これらの規制違反となる可能性があり、企業の信頼性が損なわれる要因となります。
ソフトウェアの互換性問題
古いソフトウェアを使い続けると、最新のアプリケーションやハードウェアとの互換性が失われる可能性があります。例えば、最新のクラウドサービスが利用できなかったり、新しいデバイスとの接続ができなかったりすることで、業務の効率が低下します。
ITコストの増加
一見すると、古いソフトウェアを使い続けることはコスト削減につながるように思えますが、実際にはその逆です。セキュリティの問題が発生すれば、データ漏えいやシステム停止による損害が発生し、結果的に大きなコストがかかる可能性があります。

サポート終了ソフトウェアへの対応策

速やかなアップグレード
最も安全な対策は、最新のソフトウェアへアップグレードすることです。例えば、Windows 10のサポート終了が迫っているため、企業や個人はWindows 11への移行を検討することが推奨されます。
仮想環境での隔離
どうしてもサポートが終了したソフトウェアを使い続ける必要がある場合は、**仮想マシン（VM）**を利用し、ネットワークから切り離して運用する方法もあります。これにより、セキュリティリスクを最小限に抑えることが可能です。
セキュリティ対策の強化
古いソフトウェアを使用する場合、ファイアウォールの強化や最新のエンドポイントセキュリティを導入することで、攻撃のリスクを軽減できます。また、多要素認証（MFA）を導入することで、不正アクセスのリスクを低減できます。
定期的な脆弱性診断
企業では、定期的な脆弱性診断を実施し、セキュリティの問題を早期に発見することが不可欠です。セキュリティ専門家による診断を受けることで、サイバー攻撃のリスクを軽減できます。
クラウドサービスへの移行
古いソフトウェアの代替として、クラウドベースのサービスを活用する方法もあります。例えば、Microsoft 365やGoogle Workspaceといったクラウドサービスに移行することで、常に最新のセキュリティアップデートを受けられます。

サポート終了後に脆弱性が公表された事例と考察

【事例１】

サポート終了となったCisco社のVPNルータ「RV016、RV042、RV042G、RV082、RV320、RV325」は、緊急の脆弱性（CVE-2023-20025等）により任意のコマンド実行される脆弱性を公表したが更新ファームウェアを提供しないことを表明した。

【事例２】

GeoVision社のいくつかの機器はサポート終了となっており、緊急の脆弱性（CVE-2024-11120）により認証不要のOSコマンドインジェクションがあり、攻撃者による悪用も確認されているが修正パッチ等はない。

上記のように、EOL後に危険な脆弱性が発見された場合でも、公式の対応はなく危険な状態が続きます。また、代替製品への移行など、アップデートだけでは解決しない修正を行う際、迅速に対応できないケースが起こりうることにも注意が必要です。

まとめ

サポートが終了したソフトウェアを使い続けることは、重大なセキュリティリスクを伴うだけでなく、企業の信頼性や業務効率にも影響を及ぼします。特に、サイバー攻撃の標的になりやすく、ランサムウェア被害やデータ漏えいのリスクが高まります。安全なIT環境を維持するためには、定期的なアップグレードや適切なセキュリティ対策を講じることが不可欠です。サポート終了前に適切な対応を行い、安心して業務を継続できる環境を整えましょう。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

サイバーインシデント緊急対応

ウェビナー開催のお知らせ

2025年2月26日（水）13:00～14:00
「AWS/Azure/GCPユーザー必見!企業が直面するクラウドセキュリティリスク」

2025年3月5日（水）13:00～14:00
「ランサムウェア対策の要！ペネトレーションテストとは？-ペネトレーションテストの効果、脆弱性診断との違い-」

2025年3月12日（水）14:00～15:00
「サイバー攻撃に備えるために定期的な脆弱性診断の実施を！-ツール診断と手動診断の比較-」

最新情報はこちら

2024年11月8日2025年5月8日

サイバー攻撃者は何を狙うのか？～サイバー攻撃の準備段階～
第１回侵入するための偵察活動

Security NEWS TOPに戻る
バックナンバー TOPに戻る

攻撃者はターゲットの目星を付けるためや、侵入を計画・実行するために情報を収集します。この情報収集活動が偵察活動です。サイバー攻撃などが発生したとき、たいてい注目されるのはどこから入られたのか、どういった痕跡が残されているのかといった侵害行為の初動（初期アクセス）の時点からですが、攻撃者は侵害行為を始める前に偵察活動と、侵害行為のための足掛かりづくりを行います。シリーズ第1回目の今回はこの偵察活動についてお伝えします。

偵察活動の例

ランサムウェア攻撃グループ「LockBit」

2024年初頭に国際法執行機関による捜査の結果、一部関係者が逮捕されたランサムウェア「LockBit」ですが、LockBitも偵察活動の一環として他の脅威アクターからフィッシングや脆弱なアプリ、ブルートフォース攻撃で取得したRDPアカウントの情報をアフィリエイト経由で入手していたといわれています*6。

Cobalt Strikeを悪用するランサムウェアグループ

本来は正規の攻撃再現ツールであるCobalt Strikeですが、その高い機能性からランサムウェアギャングなどによる悪用が行われているソフトウェアでもあります*2。過去に行われたCobalt Strikeを悪用したキャンペーンではフィッシング手法が使われていることも周知されています*3。また、Cobalt StrikeにはBeaconという機能*4があり、この機能はターゲットのスキャンとソフトウェアの種類とバージョンの特定を行うことができます。正しく使用すればアセット管理・インベントリ管理にも使えるのですが、残念なことにこの機能が悪用されたことがあります。この悪用はフィッシング後に実行されていますが、偵察活動の一環として使用された可能性があることからこちらの項でご紹介します。

Volt Typhoon

ランサムウェアギャングやマルウェア以外の中でも、我々にとって比較的身近な、国家支援型の脅威アクターの中で名前が挙げられるグループの一つが「Volt Typhoon」でしょう。JPCERT/CCから詳細なレポートも出ており、その活動の特徴から侵害の痕跡をもととした対策があまり効果的でない点について指摘されています。これはVolt Typhoonがターゲットとするものがアクティブディレクトリ（AD）に限定されること、偵察活動と実際の侵害行為を時系列的に完全に切り離して実行していることの2点によります。つまり、Volt Typhoonや類似のアクターに対しては偵察行為の時点で発見するということが重要となります。

ランサムウェアの脅威画像 — 出典：JPCERT/CC「Volt Typhoonの攻撃キャンペーンにどう備えていくべきなのか　～将来の攻撃に備えるThreat Huntingのアプローチについて考える～」より引用

JPCERT/CCは豪州通信情報局豪州サイバーセキュリティセンター（ASD’s ACSC）主導のもと各国と協力の上、2024年8月にWindowsのイベントログと脅威検出についてのベストプラクティスを発表しています*5。これはシステム内規制戦術をとる脅威アクターをターゲットとした文書ですが、Volt Typhoonもケーススタディとして取り上げられています。Windows環境、特にAD環境を運用されている組織の方はぜひこの文書を参考にログの取得方法の見直しをすることをおすすめします。

偵察活動の一覧

最後にMITRE ATT&CKで偵察活動として挙げられているものの一覧を掲載します。

弊社では11月20日（水）13:50より、「中小企業に迫るランサムウェア！サプライチェーン攻撃とは -サプライチェーン攻撃から企業を守るための取り組み-」と題し、ウェビナーを開催予定です。こちらでは以下でご紹介するMITRE ATT＆CKで挙げられている偵察活動の例について、講師が解説いたします。ご関心がおありでしたらぜひお申込みください。詳細はこちら。

表の見方

MITRE ATT&CK ID: MITRE ATT&CKで活動に対して付与されているID

名称：MITRE ATT&CKが活動に対して付与した名称

備考：記載があるものはよく偵察活動で実行されているものについて弊社で記載したもの

偵察活動の一覧

MITRE ATT&CK ID		名称	備考
T1595		アクティブスキャン
	0.001	IPブロック（パブリックIP）のスキャン
	0.002	脆弱性スキャン	備考攻撃者は悪用できそうな脆弱性を見つけるために脆弱性スキャンを実行するケースが多い。公開アセットに対する脆弱性スキャン自体を防ぐことは困難であるため、不要なアセットを公開しないことや適切なアクセス制御を行うこと、公開アセットの脆弱性を最低限に抑えること、ネットワークトラフィックの中身やフローから脅威を発見する体制を整えることがポイントとなる。
	0.003	ワードリストスキャン　注 1)
T1592		ターゲットのホスト情報の収集
	0.001	ハードウェア
	0.002	ソフトウェア	備考攻撃者は複数の手段でホスト情報を収集する。侵害したWebサイトを経由した未来のターゲット情報（Webブラウザ関連の情報）の収集、フィッシングサイトの訪問者からのユーザーエージェント情報の取得、サプライチェーン攻撃のためのソフトウェアコードの情報や特定のソフトウェアを使用しているコンピューターリストの収集などがある。
	0.003	ファームウェア
	0.004	クライアント設定　注 2)
T1592		ターゲットの認証・個人情報の収集　注 3)
	0.001	認証情報	備考攻撃者はありとあらゆる手段を用いて認証情報を収集する。単純なログイン情報の取得だけでなく、ターゲット組織内のユーザーの個人用・ビジネス用両方のアカウント同じパスワードを使い回しているケースなどを狙って認証情報を取得する。また、過去に情報漏洩の被害に遭った企業をターゲットにブルートフォース攻撃を実行したり、特定の機器やソフトウェアの認証情報を収集したり、SMS経由でスピアフィッシングメッセージを送信し認証情報を窃取することもある。偵察行為の時点では防御や検知が困難なため、実際に悪用された時点での検知が重要となる。
	0.002	メールアドレス	備考攻撃者は、ソーシャルメディア、公開Webサイトの情報の検索、Microsoft 365環境用のアドレスを公開APIなどの手段を利用して入手することができる。入手した情報はフィッシングやブルートフォース攻撃に利用される可能性がある。もともとメールアドレスは外部公開を前提とした情報であるため防御は困難だが、メールアドレスやユーザー名を探索しようとする目的のトラフィックを検知することで攻撃の予兆を把握することができる。
	0.003	従業員名	備考攻撃者はフィッシングなどで相手を信用させるため、アカウント侵害の際に悪用するため、従業員情報を収集する。SNSやターゲットのWebサイトの検索などで容易に収集可能なため、偵察行為の時点では防御や検知は困難である。実際に悪用された時点での検出が重要となる。
T1592		ターゲットのネットワーク情報の収集
	0.001	ドメインプロパティ　注 4)
	0.002	DNS
	0.003	ネットワークの信頼関係　注 5)
	0.004	ネットワークトポロジー
	0.005	IPアドレス
	0.006	ネットワークセキュリティアプライアンス
T1591		ターゲットの組織情報の収集
	0.001	物理ロケーションの推定
	0.002	取引関係の推定	備考攻撃者は、ターゲティングに利用できる取引関係の情報情報（ハードウェア・ソフトウェアのサプライチェーンやセカンドパーティー・サードパーティーの組織・ドメインの情報など）を収集する。収集した情報は他の偵察行為や攻撃の足掛かりづくり、初期アクセスに展開される可能性がある。防御や検知は困難で、この段階では不正確な判定につながる可能性が高いため、悪用された時点での検出が重要となる。
	0.003	ビジネスのテンポの推定　注 6)
	0.004	役職などの推定	備考攻撃者は、ターゲット設定のために、組織内の主要な人員の情報やアクセスできるデータやリソースなどの情報を収集する。フィッシングなどによる情報収集から、最も効率的にデータにアクセスできるアカウントはどれか、自分が情報をそろえているアカウントがアクセスできるデータの範囲はどこかといった情報を確認し、侵害すべき対象を見極める。収集した情報は他の偵察行為や攻撃の足掛かりづくり、初期アクセスに展開される可能性がある。偵察行為の時点では防御や検知は困難なため、悪用された時点での検出が重要となる。
T1598		情報収集のためのフィッシング
	0.001	スピアフィッシングサービス　注 7)
	0.002	悪意のあるコードなどを含む添付ファイルによるスピアフィッシング	備考スピアフィッシングでは、攻撃者がソーシャルエンジニアリングの技法を用いて、ターゲット企業のユーザーに対して悪意あるコードなどを含む添付ファイルを含んだメールを送信し、その添付ファイルを開かせ、認証情報などの悪用可能な情報を収集する。防御方法としては、SPFやDKIM、DMARCといったメールサーバの基本設定を行うことや、フィルタリング、ユーザートレーニングが推奨されている。検知方法としてはメールのモニタリングやフィルタリング、ネットワークトラフィックの監視や分析が有効。
	0.003/td>	リンクを悪用したスピアフィッシング	備考スピアフィッシングのうち、メッセージ内にリンク挿入したものやトラッキング用のタグを含むもの。リンク先自体は正規のWebサイトの場合もあれば、リンク先は悪意のあるWebサイトの場合もあり、攻撃者はサイトへ誘導したうえで認証情報を窃取する。またトラッキング用のタグを使用し、ユーザーが対象のメールを開いたかどうかを確認する。この場合も防御方法としては、SPFやDKIM、DMARCといったメールサーバの基本設定を行うことや、フィルタリング、ユーザートレーニングが推奨される。検知方法も同様で、メールのモニタリングやフィルタリング、ネットワークトラフィックの監視や分析が有効。
	0.004	音声によるスピアフィッシング	備考音声通信（電話）を用いたスピアフィッシング。攻撃者は取引先やテクニカルサポートスタッフなどの信頼できる相手を装い機密情報を聞き出そうとする。また、フィッシングメッセージから電話を掛けるように誘導するパターンや別の偵察活動で得た情報を利用し、ターゲットの信頼を得ようとすることもある。実例として、認証情報の窃取、サポートデスクに連絡して権限昇格を要求する、悪意のあるWebサイトへの誘導などがある。ほかのスピアフィッシングに比べると防御・検知の手段が限られており、防御はユーザーのセキュリティ教育、検知はコールログの監視などにとどまる。
T1597		閉鎖的・限定的な情報源からの情報収集　注 8)
	0.001	脅威インテリンジェスベンダー　注 9)
	0.002	技術データの購入　注 10)
T1596		公開技術データベースの検索　注 11)
	0.001	DNS/Passive DNS
	0.002	WHOIS
	0.003	デジタル証明書
	0.004	CDN
	0.005	公開スキャンデータベース
T1593		公開Webサイト・ドメインの検索	備考公開Webサイトやドメインといった組織の管理外の公開資産のため、防御・検知は困難なものが多い。
	0.001	ソーシャルメディア	備考攻撃者はSNSを利用してターゲット個人を特定し、フィッシングメールを送信したり、なりすましをしたり、個人情報を収集したりする。収集した情報は他の形態の偵察や攻撃の足掛かりづくり、初期アクセスに展開される可能性がある。偵察行為の時点での防御・検知は困難なため、悪用された時点での検出が重要となる。
	0.002	検索エンジン
	0.003	コードレポジトリ	備考攻撃者はGitHubなどの公開コードレポジトリを検索し、ターゲット組織の情報（認証情報・ソースコード）を収集する。収集した情報は他の形態の偵察や攻撃の足掛かりづくり、初期アクセスに展開される可能性がある。防御はアプリケーション開発者向けのガイドの頒布や監査の実施が有効とされている。ただし偵察行為の時点では検知は困難なため、悪用された時点での検出が重要となる。
T1594		ターゲット所有のWebサイトの検索	備考企業は事業活動の一環として会社情報の公開が不可避ですが、攻撃者はターゲット所有のWebサイトから様々な情報の収集を試みる。収集された情報は他の形態の偵察や攻撃の足掛かりづくり、初期アクセスに展開される可能性がある。実例として、コンタクトフォームを経由したフィッシングメールの送信、ターゲット企業の情報を計画に反映する、ターゲット個人の学術的関心事の調査などが挙げられる。

出典：MITRE ATT&CK^®（https://attack.mitre.org/tactics/TA0043/）を元に弊社和訳、備考欄追記

注：
1)　一般的に使用されるファイル名、ファイル拡張子、特定のソフトウェア固有の用語をスキャンするもの。他の偵察技術から収集した情報をもとにカスタムしたワードリストを使う場合も。Webサイトのイースターエッグや古い脆弱性を含むページ、管理用の隠しページなどを掘り起こして悪用することを目的に総当たりでディレクトリとページの構造をスキャンすることも。
2)　Office 365のテナントからターゲットの環境情報を収集する例などがあります。
3)　秘密の質問やMFA（多要素認証）の設定なども含まれる。
4)　ドメイン情報から読み取れる情報（氏名・電子メールアドレス・電話番号などの個人情報とネームサーバー情報やレジストラなどの情報）、クラウドプロバイダが関係する場合はその公開APIからのレスポンスなどで取得できる情報が該当する。
5)　ネットワーク間の相互信頼・依存関係などが対象。例えばAD間の相互信頼関係や、サプライチェーン内でのネットワークの相互信頼・依存関係が該当する。
6)　営業時間、定休日、出荷サイクルなどの情報。
7)　サードパーティーのサービスを介してスピアフィッシングメッセージを送信し、機密情報（認証情報など攻撃への悪用ができる情報）を聞き出すことを指す。SNS、個人へのメール、企業が管理していない各種サービスからのメッセージなどありとあらゆる、企業よりもセキュリティポリシーが緩いサービス上で実行される。
8)　評価の高い情報源や有料購読の情報源（有料の時点である程度の品質が期待される）、課金で情報を買うデータベースなどから情報を収集するケースが想定されている。代替手段としてダークウェブやサイバー犯罪のブラックマーケットからの情報購入も挙げられている。
9)　脅威インテリンジェスベンダーの有償データを検索して標的設定用のデータを探すケース。通常こういったデータは社名などの機密情報を匿名化していることが大半だが、標的の業種、成功したTTP(Tactics, Techniques and Proceduresの略。戦略・技法・手順を指す)や対策などの侵害に関するトレンドが含まれているので、ターゲットに合致する情報が含まれている可能性がある。
10)　評価の高い情報源や各種データベースからの情報の購入、代替手段としてのダークウェブやブラックマーケットからの情報購入が挙げられているが、代表例はダークウェブから認証情報が購入された事例となっている。
11)　公開技術データベースの特性上、防御・検知が困難なものが多い。いずれも初期アクセスの時点での検知が重要となる。

ウェビナー開催のご案内

2024年11月13日（水）14:00～15:00
「ウェブ担当者必見!プライバシー保護規制対応と情報セキュリティ-サイバー攻撃への事前・事後対応-」

2024年11月27日（水）12:50～14:00
【好評アンコール配信】
「Webアプリケーションの脆弱性対策-攻撃者はどのように攻撃するのか-」

最新情報はこちら

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2024年11月7日2025年5月8日

国内大手フードデリバリーサービスを襲った暗号通貨マイニングマルウェア事件の全容～デジタル忍者の襲来：国内企業を震撼 (しんかん)させた史上最悪のサイバー攻撃～

Security NEWS TOPに戻る
バックナンバー TOPに戻る

突如訪れた暗黒の10月25日

2024年秋、日本最大級のフードデリバリーサービスに前代未聞の危機が訪れた。全国の飲食店と消費者をつなぐ巨大プラットフォームが、見えない敵に攻撃されたのである。

静かなる侵略者「RedTail」の恐怖

その敵の名は「RedTail（レッドテイル）」。デジタル世界の暗殺者とも呼ぶべき最新のマルウェアである。RedTailはあたかも影の忍者のごとく、世界的に使用されているセキュリティシステム、Palo Alto Networks社の「PAN-OS」のわずかな隙をついて侵入を果たした。このデジタル忍者は、驚くべき潜伏能力を持っていた。システムの深部に潜み込み、暗号通貨をひそかに採掘しながら、その存在を巧妙に隠蔽 (いんぺい) し続けたのである。まさに現代のサイバー戦争を象徴する出来事であった。

72時間の闘い：システムを守る最後の砦

事態が発覚した10月25日、技術者たちは直ちに非常事態体制に入った。しかし、敵はすでに複数のサーバーに潜伏しており、一つを制圧すれば別の場所で姿を現すという、まさに「もぐらたたき」のような戦いを強いられた。同月26日午後2時30分、ついに全システムの停止という苦渋の決断が下された。技術者たちは不眠不休でマルウェアの駆除と安全性の確認に従事し、72時間に及ぶ死闘の末、ようやくシステムを取り戻すことに成功したのである。

未曾有 (みぞう) の混乱がもたらした教訓

この事件による影響は甚大であった。数十万件に及ぶ注文のキャンセル、数千店舗の営業停止、そして配達員たちの収入機会の喪失。しかし、不幸中の幸いというべきか、個人情報の流出だけは免れた。

新時代のデジタルセキュリティへの挑戦

この事件を機に、企業は包括的なセキュリティ改革に着手した。システムの監視体制を強化し、従業員への教育を徹底。さらに、定期的な脆弱性診断とインシデント対応プロセスの刷新を行うことで、より強固なセキュリティ体制の構築を目指している。

警鐘：すべてのデジタルサービスへの警告

本事件は、現代のデジタル社会における脅威の深刻さを如実に示している。サイバーセキュリティはもはや企業の「選択肢」ではなく「生命線」である。そして、デジタル時代を生きるすべての企業への警鐘として長く記憶されることとなるだろう。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

サイバーインシデント緊急対応

ウェビナー開催のお知らせ

2024年11月13日（水）14:00～15:00
「ウェブ担当者必見!プライバシー保護規制対応と情報セキュリティ-サイバー攻撃への事前・事後対応-」

2024年11月20日（水）13:50～15:00
「サプライチェーンのセキュリティ対策-サプライチェーン攻撃から企業を守るための取り組み-」

2024年11月27日（水）12:50～14:00
【好評アンコール配信】
「Webアプリケーションの脆弱性対策-攻撃者はどのように攻撃するのか-」

最新情報はこちら

2024年9月12日2025年5月12日

マルウェアの対策-マルウェア感染を防ぐための基本のセキュリティ対策のポイント-

Security NEWS TOPに戻る
バックナンバー TOPに戻る

マルウェアの脅威は年々増大しており、企業・組織への影響は計り知れません。本記事では、マルウェアの具体的な被害事例を紹介し、感染時の症状や対処法について解説します。そして、セキュリティ対策の基本とマルウェア対策の基本的な考え方を押さえ、日々進化するサイバー脅威から自組織を守るために必要な知識を、わかりやすく解説していきます。

マルウェア被害事例

ウイルスの事例

マルウェア「Emotet」による感染被害

マルウェア「Emotet」は主にメールを介して広がり、その被害が深刻化しています。感染経路は、悪意のあるメールの添付ファイルやリンクを開くことにより、ユーザのPCに感染します。Emotetは巧妙な手口で、正規のメールを装うことで信頼性を高め、受信者に警戒させないようにします。感染後、企業や個人のPC内の情報が盗まれ、さらに他のマルウェアをダウンロードさせることもあります。関連企業では、業務停止やデータ流出による経済的損失が報告されています。特に日本国内の企業においても影響が広がり、国内通信事業者を含む複数の企業が注意喚起を行っています。

ワームの事例

ランサムウェアWannaCryによる感染被害

2017年に大規模な被害をもたらしたランサムウェア「WannaCry」は、Microsoft Windowsの未修正の脆弱性を悪用することで、世界中のコンピュータに急速に拡散しました。この脆弱性は、アメリカ国家安全保障局（NSA）が開発したとされるハッキングツールから漏洩したもので、WannaCryはこれを利用して無差別にシステムに侵入しました。攻撃の手口は、感染したコンピュータのファイルを暗号化し、被害者に身代金の支払いを要求するものでした。支払いはビットコインで行われることが多く、支払われない場合、ファイルは復号されずに失われると脅迫されました。社会への影響は甚大で、病院、学校、企業、政府機関など、世界中の数十万台のコンピュータが影響を受けました。特に医療機関では、患者の記録へのアクセスが妨げられ、治療に支障を来たす事態も発生しました。WannaCryは、サイバーセキュリティの重要性と、ソフトウェアの更新の必要性を広く認識させる契機となりました。

トロイの木馬の事例

GooglePlayのAndoroidアプリからマルウェア感染

2021年11月、Google Playに登録されたアプリにバンキング型トロイの木馬が含まれていることが判明しました。このマルウェアは認証情報や金融情報を盗むことを目的とし、30万台以上の端末に影響を与えました。攻撃者は、最小限のフットプリント（アプリ稼働時に要するメモリ容量）でアプリを登録し、ドロッパー（マルウェアを感染させるプログラム）の存在を隠蔽、ダウンロード後のアップデートでマルウェアを展開するという手口を用いていました。感染経路は公式ストアからのダウンロード後のアップデートであり、完全な防御は困難とされています。影響を受けたアプリはすでに削除されています。

PCがマルウェアに感染したら

マルウェアに感染したときの症状には以下のようなものがあります。

感染したときの症状

パソコンの動作が遅い

マルウェアに感染すると、システムリソースを過剰に消費するため、通常のタスクでもパソコンの動作が遅くなることがあります。これにより、プログラムの起動やファイルの読み込みが時間を要し、全体的なパフォーマンスが低下します。

予期しないフリーズやクラッシュ

マルウェアはシステムファイルを破壊したり、重要なプロセスを妨害したりすることで、突然のフリーズやクラッシュを引き起こします。これにより、作業中のデータが失われるリスクが高まります。

原因不明のストレージ容量の減少

マルウェアが悪意のあるプログラムをインストールし、大量のファイルをダウンロードするなど、ストレージ容量を消費します。突然、ストレージ容量が急激に減少する場合は感染が疑われます。

迷惑なポップアップ

アドウェアやスパイウェアなどのマルウェアは、感染後、ブラウザやデスクトップに不審なポップアップ広告を頻繁に表示させます。さらにブラウザを使用していない時でも突然表示されるため、ユーザの作業を妨げます。多くの場合、これらの広告は不適切な内容や詐欺的なオファーを含んでおり、クリックすると別のマルウェアに感染するリスクがあります。正規のウェブサイトを装った偽のポップアップにも注意が必要です。

ポップアップによるエラーメッセージ

マルウェアは偽のエラーメッセージを表示し、ユーザを混乱させることがあります。これらのメッセージは、実際のシステムエラーのように見えますが、偽のソフトウェアのダウンロードや個人情報の入力を促す悪意のあるプログラムを含むものです。正規のエラーメッセージとの区別が難しいため、ユーザが誤ってクリックしてしまい、別のマルウェアへの感染や情報漏洩のリスクが高まります。

偽のウイルス警告が出力される

突然、偽のウイルス警告が表示されることがあります。これらの警告は、ユーザを騙して不正なウイルス対策ソフトを購入させたり、さらなるマルウェアをインストールさせたりする目的で行われます。

セキュリティ設定が変更される

マルウェアは、システムのセキュリティ設定を無断で変更することがあります。これにより、ファイアウォールが無効化されたり、ウイルス対策ソフトが停止されたりすることで、さらに感染が拡大する恐れがあります。

不審なソーシャルメディア投稿がされる

感染した場合、マルウェアはユーザのアカウントにアクセスし、不審な投稿を自動的に行うことがあります。これにより、友人やフォロワーにウイルスが拡散されるリスクがあります。

プログラムが同意なしに実行、終了される

マルウェアは、ユーザの許可なくプログラムを起動したり、逆に正常なプログラムを強制終了させたりすることがあります。これにより、システムの安定性が損なわれます。

不審なアプリケーションが表示される

デスクトップやアプリケーションリストに見覚えのないソフトウェアが突然現れることがあります。これらはマルウェアによって密かにインストールされたものである可能性が高いです。

ファイルがランダムに消える

マルウェアはシステム内のファイルを破壊または削除することがあります。特に重要なファイルが意図せず消失する場合は、感染が疑われます。

インターネット使用量の原因不明の増加

突然のインターネット使用量の増加は、バックグラウンドでマルウェアが不正な通信を行っているサインかもしれません。これにより、インターネット速度が低下することもあります。

スマホがマルウェアに感染したら

スマホがマルウェアに感染したときの症状には以下のようなものがあります。

バッテリー消費が激しい

スマートフォンにマルウェアが感染すると、バックグラウンドで悪意のあるプロセスが常時稼働し続けるため、バッテリーの消耗が通常よりも急激に進むことがあります。頻繁な充電が必要になる場合、感染を疑うべきです。

広告や警告のポップアップ表示

感染後、ブラウザやアプリ内で不審な広告や偽の警告が頻繁に表示されることがあります。これらのポップアップは、別のマルウェアのインストールや詐欺サイトへの誘導を目的としています。

アプリが頻繁に落ちる

マルウェアは、システムリソースを過度に使用したり、アプリに悪影響を与えたりすることで、アプリが頻繁にクラッシュする原因となります。通常なら安定して動作するアプリが急に不安定になる場合、感染が疑われます。

動作が重くなる

マルウェアによるシステムリソースの過剰な消費やバックグラウンドでの不正な活動により、スマホ全体の動作が遅くなることがあります。アプリの起動や画面の切り替えが遅延する場合、注意が必要です。

データ使用量の増加

マルウェアは、不正なデータ通信をバックグラウンドで行うことがあり、その結果としてデータ使用量が急増することがあります。特にWi-Fiではなくモバイルデータを使用している場合、この症状は顕著です。

カメラが勝手に起動

スマホに感染したマルウェアは、ユーザが意図しないうちに勝手にカメラを起動し、写真や動画を撮影することがあります。この不審な動作は、プライバシーの侵害につながる重大なリスクです。

身に覚えのない支払い請求が届く

マルウェアは、ユーザの意図しないうちに高額なアプリやサービスを購入させることがあります。その結果、身に覚えのない請求が発生し、金銭的な被害が発生することがあります。

感染した場合の対処法

もしマルウェア感染したことが明らかであるならば、どのような対処をすればよいのでしょうか。速やかに対処すべきこととして以下のようなものがあげられます。

マルウェアの検出

マルウェア感染が疑われる場合、まずはウイルス対策ソフトを使用してシステム全体をスキャンし、マルウェアの存在を検出します。このスキャンは、感染の早期発見に繋がり、被害の拡大を防ぐために非常に重要です。定期的なスキャンとリアルタイムの監視が、予防と早期対応に不可欠です。

ネットワークの遮断

感染が確認された場合、まずネットワークから切り離すことが重要です。これは、マルウェアが他のデバイスに感染を広げ、外部に情報を送信したりするのを防ぐためです。ネットワークからの切断は、さらなる被害の拡大を防ぐための第一歩となります。

感染源の特定

メールの添付ファイル、ダウンロードしたアプリ、怪しいリンクなど、感染経路を突き止めることで、今後の再発を防ぐことが可能です。このプロセスは、同じ手口による再感染を防ぐために非常に重要です。

マルウェア検出ツールによる削除

検出されたマルウェアを専門の削除ツールで完全に除去します。ウイルス対策ソフトや専用のマルウェア削除ツールを使用することで、安全かつ確実にマルウェアを駆除し、システムを正常な状態に戻します。

セキュリティ対策の基本

セキュリティ対策の取り組みには、基本的なセキュリティ対策こそが効果的であるという前提に立って、今一度自組織のセキュリティを見直すことが重要です。

セキュリティ基本10項目

• 標的型攻撃メール訓練の実施

標的型攻撃メール訓練は、従業員のセキュリティ意識向上と実践的なスキル習得に効果的です。訓練では、攻撃メールを模倣したシナリオを用いて、従業員が疑わしいメールを識別し、適切に対応するスキルを養います。定期的な訓練実施により、従業員のセキュリティ意識が継続的に高まり、実際の攻撃に対する組織の耐性が強化されます。また、訓練後のフィードバックやセキュリティ教育との組み合わせにより、より効果的な対策が可能になります。

• 定期的なバックアップの実施と安全な保管（別場所での保管推奨）

ランサムウェアによる被害からデータを保護するために、オフラインバックアップ（データだけを独立して磁気テープ・ストレートなどで物理的に隔離しておくこと）をサーバに行うことがおすすめです。バックアップの頻度や保管場所を見直し、最新の情報が常に保存されるようにすることが重要です。

• バックアップ等から復旧可能であることの定期的な確認

バックアップが確実に復旧可能であることを確認するため、定期的にリカバリーテストを実施します。これにより、実際の復旧作業時に問題が発生しないことを保証し、緊急時に迅速かつ確実なデータ復旧が可能となります。また、テスト結果を文書化し、必要に応じて復旧手順の改善を図ります。このような確認作業を怠ると、いざという時にデータ復旧が困難になるリスクが高まります。

• OS、各種コンポーネントのバージョン管理、パッチ適用

システムの脆弱性を悪用する攻撃を防ぐためには、OSやソフトウェアコンポーネントの最新バージョンへの更新・パッチ適用の実施をすることが必要不可欠です。定期的なパッチ適用とバージョン管理により、サイバー攻撃のリスクを大幅に軽減できます。特にゼロデイ攻撃のリスクを軽減するためには、普段からの脆弱性関連情報収集やバージョン更新が求められます。

• 認証機構の強化（14文字以上といった長いパスフレーズの強制や、適切な多要素認証の導入など）

認証の強化は、サイバー攻撃から組織を守るための基本的な対策です。単純なパスワードではなく、長く複雑なパスワードにし、さらに多要素認証（MFA）を導入することを推奨します。多要素認証はパスワードに加え、物理トークンや生体認証などの認証要素を用いることで、不正アクセスされるリスクを低減します。これにより、アカウントのセキュリティが飛躍的に向上します。

• 適切なアクセス制御および監視、ログの取得・分析

システム内の情報やリソースへのアクセスを厳格に管理し、適切なアクセス制御を行うことは、内部からの不正行為を防ぐために重要です。また、システムの稼働状況やアクセスログを定期的に取得し分析することで、異常な挙動を早期に検知できます。

• シャドーIT（管理者が許可しない端末やソフトウェア）の有無の確認

シャドーITは、組織のセキュリティポリシーに反する可能性があり、脆弱性やデータ漏洩の原因となることがあります。定期的な監査や従業員への教育を通じて、シャドーITの存在を確認し、適切な対策を講じることが重要です。

• 攻撃を受けた場合に想定される影響範囲の把握

サイバー攻撃を受けた際に、どのような影響が組織に及ぶかを事前に把握しておくことは重要です。影響範囲を明確にすることで、インシデント発生時の対応計画を具体化し、迅速な対策を講じることが可能になります。システム全体の依存関係や業務の優先度を考慮し、被害を最小限に抑えましょう。

• システムのセキュリティ状態、および実装済みセキュリティ対策の有効性の確認

定期的にシステムのセキュリティ状態を確認し、現在のセキュリティ対策が有効に機能しているかを確認することが効果的です。脆弱性診断やペネトレーションテストを実施することで、システムの弱点を特定し、自組織の状況に適した対応の実施が可能になります。

• CSIRTの整備（全社的なインシデントレスポンス体制の構築と維持）

CSIRT（Computer Security Incident Response Team）は、サイバー攻撃やインシデント発生時に迅速かつ適切な対応を行うための専門チームです。CSIRTの整備は、全社的なセキュリティ体制を強化し、インシデント発生時の被害を最小限に抑えるために不可欠です。定期的な訓練とシミュレーションを通じて、CSIRTの対応力を維持し、常に最新の脅威に対応できる体制を整えます。

インシデント対応計画の策定

インシデント対応計画の策定は、企業がサイバー攻撃や情報漏洩などの緊急事態に迅速かつ効果的に対応するために不可欠です。計画には、インシデント発生時の対応手順、責任者の明確化、コミュニケーション手段の確保、影響評価、そして復旧手順が含まれます。計画は定期的に見直し、訓練を行うことで、実際のインシデント時にスムーズに対応できる体制を整えることが重要です。

マルウェア対策の基本的な考え方

不意に襲い来るマルウェアの被害を防御、あるいは最小限にとどめるためには、普段から基本的なマルウェア対策を講じることが重要です。以下のような例が挙げられます。

あらゆるマルウェアからシステムを守るために、組織内で汎用的な対策を確認しておきましょう。

まとめ

マルウェアは、Emotet、WannaCry、トロイの木馬など様々な形態で存在し、主にメールやウェブサイトを介して感染します。これらは個人情報や金融データの窃取、システムの暗号化、身代金要求などを目的としています。感染の症状には、パソコンの動作遅延、予期せぬフリーズ、ストレージ容量の減少、不審なポップアップの表示などがあります。スマートフォンでは、バッテリー消費の増加、アプリのクラッシュ、データ使用量の急増などが見られます。セキュリティ対策としてあげている基本的な10項目を組み合わせ、定期的な見直しと訓練を行うことで、セキュリティ対策の効果を高めることができます。またインシデント対応計画を策定や、マルウェア対策の基本的な取り組みを普段から実施し、サイバー攻撃のリスクに備えることが、組織全体のセキュリティを強化するために不可欠です。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2024年7月8日2025年5月12日

スマートフォンやルータを狙うマルウェア
『Wroba（ローバ）』

Security NEWS TOPに戻る
バックナンバー TOPに戻る

スマホやWi-Fiルータを標的とするマルウェアをご存じでしょうか。「Wroba（ローバ）」と呼ばれるこのマルウェアは、公共のWi-Fiネットワークを通じて他のデバイスにも感染を広げ、大規模な被害を引き起こす可能性があるとされています。本記事では、Wrobaの特徴や感染経路に触れながら、企業・組織がマルウェアの被害を防御・最小限にとどめるためにどのような対策をとればよいのかについて、解説していきます。

マルウェア「Wroba」とは

「Wroba」は「Roaming Mantis（ローミングマンティス）」と呼ばれる攻撃キャンペーンに使用されてきたマルウェアで、2018年頃から注目されるようになりました。このキャンペーンは、主に日本を含む東アジアを中心に展開されています。攻撃者はフィッシングを通じてWrobaを広範囲に拡散させ、多数のデバイスを感染させています。このキャンペーンでは、ユーザの認証情報を盗み出し、金銭的な被害や個人情報の漏洩を引き起こします。以前は主にAndroidデバイスを標的としていましたが、近年ではiOSやルータも標的にする傾向があります。

マルウェア「Wroba」による被害

マルウェア「Wroba」は様々な経路からユーザのデバイスに感染します。そのため、住所や支払い情報など、デバイスに記録された多くの個人情報が攻撃者に送信されてしまうケースがあり、結果、金融詐欺や不正送金などの金銭的被害につながる可能性もあります。また、暗号資産のマイニング攻撃に悪用されるケースも過去に観測されており、これによってデバイスの動作が不安定になり、最悪の場合、デバイスが使用不能になることも考えられます。企業においては、従業員のデバイスが感染することで、機密情報の漏洩や業務の停滞を招く恐れがあります。特に、重要な機密情報や顧客情報が盗まれると、企業の信用を大きく損なう可能性があります。

マルウェア「Wroba」の攻撃対象

Wrobaは主にAndroidデバイスをターゲットとしていましたが、近年では亜種の登場によりWi-Fiルータにも攻撃が拡大しています。この亜種の最大の特徴は、DNSの改ざん機能が実装されている点です。感染したデバイスは、自宅はもちろん、会社や公共のWi-Fiルータに接続するだけで、ルータのDNS設定が意図的に改ざんされてしまいます。Wrobaは韓国で一般的に使用されているWi-Fiルータを主に標的にして感染を拡大させましたが、近年は日本を含む東アジアでも被害が広がっています。

マルウェア「Wroba」の脅威

Wi-Fiルータに侵入してDNSをハイジャック

WrobaはWi-Fiルータに侵入し、DNS設定を変更することで、細工された悪意のあるサイトにユーザを誘導します。この手法により、ユーザは自分のデバイスが感染していることに気付かないまま、個人情報を攻撃者に盗まれてしまいます。さらに、DNS設定を改ざんされたWi-Fiルータに接続したデバイスが感染していくことで、次々にデバイスとルータに感染を広げる結果となります。

AndroidのAPKファイルを悪用

APKファイル（Android Package Kit）は、Androidのスマートフォン端末に対して、アプリをインストールするためのアーカイブファイルです。攻撃者は、このAPKファイルを改ざんすることで、ユーザの端末にWrobaをインストールさせます。マルウェアを含んだアプリは、正規のアプリケーションに見せかけて配布されるため、ユーザは不審に思うことなくインストールしてしまうのです。

マルウェア「Wroba」の主な感染経路

Wrobaの主なターゲットは韓国のWi-Fiルータですが、被害は韓国だけでなく、日本をはじめとした様々な国に被害が広がっています。韓国以外の地域では、スミッシング（SMSフィッシング）が感染手法として使用されています。スミッシングでは、ユーザが不審なSMS内のリンクをクリックすると、マルウェアがダウンロードされ、デバイスが感染します。スミッシングは、信頼できる企業やサービスを装ったSMSを利用するため、多くのユーザがだまされやすい手法です。日本では、宅配業者を装って不在連絡などを餌にフィッシングサイトへ誘導するケースが有名となりました。

Roaming Mantisによる攻撃フロー
– Wi-FiルータのDNS設定を改ざん、悪意のあるランディングページを使用してスマートフォンの感染を試みる

マルウェア「Wroba」の主な感染経路画像 — 出典：https://www.kaspersky.co.jp/about/press-releases/2023_vir20012023より引用

公共のWi-Fiネットワークを通じた感染拡大のリスク

感染したAndroidデバイスが公共のWi-Fiネットワークに接続すると、ネットワーク上の他のデバイスにもマルウェアを拡散するリスクがあります。特に、不特定多数の人が利用する公共Wi-Fiは、攻撃者にとって感染を広げる絶好のターゲットとなります。感染したデバイスが同じネットワークに接続されることで、他のデバイスも次々と感染し、被害が拡大します。これにより、一度の感染で大規模な被害が発生する可能性が高まります。

マルウェア対策の基本的な考え

ここまで、Wrobaの脅威と感染経路について説明してきましたが、不意に襲い来るマルウェアの被害を防御、あるいは最小限にとどめるためには、普段から基本的なマルウェア対策を講じることが重要です。以下のような例が挙げられます。

あらゆるマルウェアからシステムを守るために、組織内で汎用的な対策を確認しておきましょう。

マルウェア対策モデルケース

限りある予算と時間の中で、すべての対策を講じることは困難なので、それぞれの企業・組織の現状に応じて取り組む必要があります。自企業・組織の位置づけに応じて、今取り組むべき具体的な対策を見つけるには、例えば、次のようなマルウェア対策をフェーズの視点で検討してみるとよいでしょう。

マルウェア対策のモデルケースサイクル図画像 — マルウェア対策のモデルケースサイクル図

スパムメールに対する従業員の知識がまったくない組織であれば、標的型メール訓練を行ってリテラシーの向上を図ることから始めるといいかもしれません。従業員教育は行っているけれども、技術的な対策はウイルス対策ソフトを導入しているだけという組織であれば、感染してしまった場合にどのくらいの被害を受けるか調査してみると、優先的に実施すべき対策を検討する糸口となることでしょう。あるいは、メールセキュリティサービスをすでに利用しており、不正アクセス対策にもある程度自信があるという組織であれば、そういったセキュリティ対策が本当に有効に機能しているか、ペネトレーションテストのようなサービスを利用して実際に確認してみることをおすすめします。

マルウェア「Wroba」への対策方法

Wrobaへの対策方法は以下の通りです。

ルータのユーザマニュアルを参照し、DNS設定が改ざんされていないことを確認する。もしくは、サービスプロバイダーに問い合わせてサポートを受ける。
ルータの管理用Webインターフェースの既定ログインIDとパスワードを変更する。
ルータの公式サイトで提供されるファームウェアの更新プログラムを使用して定期的にアップデートする。ルータのファームウェアは、必ず公式サイトにあるものを利用する。
接続したWebサイトのアドレスが正規アドレスであるかどうかを常に確認する。データの入力を求められた場合、アドレスがhttpsで始まっていることを確認するなど、不正な兆候を探す。
モバイルデバイス用のセキュリティソリューションを利用する。

最後に

Wrobaは、ルータやスマートフォンを標的とする非常に危険なマルウェアであり、個人および企業に多大な被害をもたらす可能性があります。主な感染経路としては、スミッシングや不審なAPKファイルが挙げられます。結果、ユーザは自分のデバイスが感染していることに気付かずに個人情報を漏洩させ、さらにはさらなる感染のほう助をしてしまう可能性があります。対策としては、組織的対策、従業員教育、技術的対策が重要です。特に、ルータの設定を確認し、セキュリティの強化を図ることが重要です。また、公共Wi-Fiの利用時には細心の注意が必要です。最新のセキュリティ情報を常にチェックし、適切な対策を講じることで、Wrobaの脅威から身を守ることができます。セキュリティ意識を高め、包括的な対策を講じることが、被害を未然に防ぐ鍵となります。

BBSecでは

マルウェア対策の回答は1つではなく、多層防御がカギとなります。マルウェア課題の解消をお手伝いする、BBSecご提供サービスの一部をこちらにご紹介します。

＜セキュリティ教育＞

標的型攻撃メール訓練

＜攻撃・侵入されることを前提とした多層防御＞

ウェビナー開催のお知らせ

2024年7月10日（水）14:00～15:00
「ランサムウェアの脅威を知る-脅威に備えるためのランサムウェア対策-」

2024年7月17日（水）13:00～14:00
「変化する不確実性の時代における「安心・安全・安定のWebサイト運営」セミナー」

2024年8月7日（水）13:00～14:00
「AWS/Azure/GCPユーザー必見！企業が直面するクラウドセキュリティリスク – 設定診断で解決するウェビナー」

2024年8月21日（水）14:00～15:00
「セキュリティ担当者必聴！ペネトレーションテストと脆弱性診断 – 違いと効果、使い分けを解説」

最新情報はこちら

Youtube動画公開のご案内

ウェビナー過去動画、アナリストによるセキュリティトピックス解説動画およびサービス案内動画を更新しております。

SQATチャンネルはこちら

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2024年5月13日2025年5月12日

事例から学ぶサプライチェーン攻撃
-サプライチェーン攻撃の脅威と対策2-

Security NEWS TOPに戻る
バックナンバー TOPに戻る

サプライチェーン攻撃は、セキュリティ対策が手薄な関連企業や取引先企業を経由して、標的とする企業へ不正侵入をするサイバー攻撃です。被害に遭ってしまった場合、情報の窃盗、マルウェアの拡散、さらには全体のサプライチェーンに影響を及ぼす可能性があります。この記事では、サプライチェーン攻撃の手口とリスク、そしてサプライチェーンマネジメントの重要性ついて解説します。

サプライチェーン攻撃とは？

サプライチェーン攻撃とは、ターゲット企業に直接攻撃を仕掛けるのではなく、その企業のサプライチェーン（業務委託先やグループ会社・関連企業など）に含まれるセキュリティの弱点を利用して侵入を試みるサイバー攻撃のことです。攻撃者は企業間の信頼関係を利用し、よりセキュリティが手薄な一部のパートナー企業やサプライヤーを狙い、そこを踏み台にして間接的に本来のターゲット企業へ侵入を試みます。

企業がサプライチェーン攻撃を受けた場合、その影響は様々あります。最初に侵入された企業から機密情報・顧客データなどの重要情報が漏えいする可能性があります。さらに、攻撃者によってマルウェアやランサムウェアが仕込まれた製品やソフトウェアがユーザに配布されることで、エンドユーザのシステムも危険に晒されます。これにより、企業の顧客やパートナーに対する信頼が損なわれ、ブランドの評判に深刻な影響を及ぼすことになります。

経済的損失もまたサプライチェーン攻撃の影響の一つです。企業が被害を受けてからのシステム復旧までの対応には、莫大な費用がかかります。さらに、法的責任と法令遵守に関する問題も発生します。多くの地域で、データ保護規制が厳しくなっており、機密情報の漏えいは法的な罰則につながる可能性があります。これにより、企業は訴訟リスクに直面し、さらに罰金や制裁の対象となる可能性があります。

サプライチェーン攻撃の手口

サプライチェーン攻撃の手口にはいくつか種類があります。関連組織を起点として攻撃するタイプではなく、そのソフトウェアの開発元を侵害することによってユーザ全体に影響を与えるタイプの攻撃にソフトウェアサプライチェーン攻撃があります。

ソフトウェアサプライチェーン攻撃

ソフトウェアサプライチェーンとは、「ソフトウェア開発のライフサイクルに関与する全てのモノ（ライブラリ、各種ツール等）や人の繋がり」（独立行政法人情報処理推進機構（IPA）「情報セキュリティ10大脅威 2024」解説書より）を指します。ソフトウェアを開発・配布・アップデートする際の一連の流れをソフトウェアサプライチェーンと呼び、このソフトウェアサプライチェーンを悪用した攻撃がソフトウェアサプライチェーン攻撃です。

攻撃者は主にソフトウェア開発元やMSP等提供事業者などを狙い、本来のターゲット企業を攻撃するための足掛かりにします。製品自体だけではなく、開発元や提供元が侵害された事例などもあります。

サプライチェーン攻撃のなかでセキュリティが脆弱な企業が狙われるのは他のサプライチェーン攻撃のパターンと同じですが、ソフトウェアサプライチェーン攻撃により、攻撃者に踏み台にされた企業は、被害者であると同時に、ウイルスが仕込まれたソフトウェアを配布するかたちになり、気づかないうちに攻撃に加担した加害者の一部となってしまう恐れがあります。

サプライチェーンリスクとは？企業が直面するリスク

サプライチェーンに関わる企業は様々なリスクに直面しており、これには自然災害やパンデミック（感染流行）といった環境リスク、テロや政治的不安定といった地政学的リスク、経済危機や原材料の価格変動による経済リスク、そしてサイバー攻撃や技術的障害などの技術リスクなどが含まれます。このような予測不可能な事象が起こり、サプライチェーンの流れが中断されてしまった場合、生産の遅延、在庫不足、最終的には収益損失を引き起こす可能性があります。さらに、リスクの重要度は社会経済状況によっても左右されるため、企業は柔軟な対応が求められます。

サプライチェーン攻撃のリスク

サプライチェーン攻撃によるリスクは、企業や組織にとって深刻です。主なリスクには、機密情報の漏えい、データの改ざん、システム障害や業務の停止があります。さらに、ランサムウェアによる身代金要求やブランド価値の低下といった被害も考えられます。これらの影響は芋づる式に広がり、サプライチェーン全体が脅威にさらされることになります。また、サプライチェーンには委託元が委託先（もしくは再委託先）で開発状況を監視できていないという問題もあるため、脅威に晒されています。

サプライチェーン攻撃の事例

事例1：国内大手自動車メーカーの例

サプライチェーン攻撃の代表的な事例としては、国内大手自動車メーカーの例が挙げられます。2022年3月、国内大手自動車メーカーが部品を仕入れている取引先で、マルウェア感染被害によるシステム障害を受けたため、国内の全14工場の稼働を停止する事態に追い込まれました。

日本の会社の約9割は中小企業が占めており、大企業の関連会社、取引先企業の中には中小企業が多数あります。中小企業では大企業ほどセキュリティ対策にコストや人を費やすことができず、どうしてもセキュリティは手薄になりがちです。このため、サプライチェーン攻撃は大きな問題となっています。国内大手自動車メーカーの事例は、サプライチェーン攻撃の深刻な影響を示す典型的な例となり、中小企業でもサイバーセキュリティ対策の重要性が高まっています。

事例2：国外ソフトウェア開発会社の例

2020年12月、SolarWinds社のOrion Platformに端を発した史上最大規模のサプライチェーン攻撃*6がありました。悪意あるアップデートを介して行われ、多数の政府機関や企業を含めた組織に影響を与えました。

事例3：大手フリマアプリ運営会社の例

2021年4月、コードのカバレッジを測定するツール「Codecov」*2への不正アクセスにより、同ツールのサプライチェーンで多数の組織・企業に被害が出ました。その1つが国内大手フリマアプリ運営会社で、GitHub（社内のコードリポジトリ）に保存された同社のソースコードが取得され、一部の個人情報が外部流出する被害が出ました。

事例4：国内大手保険会社の例

2023年1月、国内大手生命保険社において、顧客情報が漏えいしました。この事件は業務委託先業者が管理するサーバが不正アクセスを受けたことが原因です。漏えいした顧客データには、姓（漢字・カナ）、年齢、性別、証券・保険番号などの情報が含まれていましたが、幸い、これらの情報だけでは個人を特定するのは困難とされ、悪用される可能性は低いと説明されています*3。

事例5：メッセージアプリ提供会社の例

2023年11月27日、インターネット広告、イーコマースなどを展開するメッセージアプリ提供会社は、自社のサーバが不正アクセスを受け、運営するメッセージアプリに関するユーザ情報、取引先情報、従業者情報等の情報漏えいが発生したことを公表しました*4。これはメッセージアプリ提供会社と関係会社共通の委託先業者の従業員のPCがマルウェアに感染したことが発端だといいます。同社と関係会社の従業者情報を扱う共通の認証基盤で管理されているシステムへ、ネットワーク接続を許可していたことから、関係会社のシステムを経由し、同社のシステムに不正アクセスが行われたとのことです。

事例6：国内通信会社の提供先企業に不正アクセス、顧客情報が漏えい

2023年11月22日、国内通信会社は、米国Plume Design社とその提携先が提供するメッシュWi-Fiサービスに関連して、サプライチェーン攻撃による顧客情報の漏えいを発表しました*5。この事件は、Plume Design社のモバイルアプリのアクセスサーバが外部から不正アクセスされたことによるもので、国内通信会社の顧客データと関連事業者の保有する個人情報（氏名、メールアドレス）が漏えいしました。

産業用制御システムのセキュリティ

サプライチェーン攻撃の影響が経済的損失や社会的信用の失墜につながることを述べましたが、攻撃者がサプライチェーン攻撃を仕掛けるときに狙うものの一つに産業用制御システムが挙げられます。産業用制御システムは、電気・ガス・水道や空港設備といったインフラ施設、石油化学プラントなどにおいて用いられ、サプライチェーン攻撃などのサイバー攻撃を受けてしまった場合、社会的な影響や事業継続上の影響が大きいため、サプライチェーンに関わる企業全体でセキュリティ対策へ取り組むことが重要となります。

2022年5月、ドイツ連邦政府情報セキュリティ庁（BSI）が公開した産業用制御システムにおける危険度の高い10種類の脅威とその対策を、独立行政法人情報処理推進機構（IPA）が日本語に翻訳し、同年12月に公開しました。

産業用制御システムのセキュリティ 10大脅威（2022年）

・リムーバブルメディアやモバイルシステム経由のマルウェア感染
・インターネットやイントラネット経由のマルウェア感染
・ヒューマンエラーと妨害行為
・外部ネットワークやクラウドコンポーネントへの攻撃
・ソーシャルエンジニアリングとフィッシング
・DoS/DDoS 攻撃
・インターネットに接続された制御コンポーネント
・リモートメンテナンスアクセスからの侵入
・技術的な不具合と不可抗力
・サプライチェーンにおけるソフトウェアおよびハードウェアの脆弱性
参考：https://www.ipa.go.jp/security/controlsystem/bsi2022.html

この10大脅威は、日本国内でも共通の事項が多く、事業者にとってセキュリティ対策への取り組み方を体系的に理解することに役立つとのことです。

まとめ

サプライチェーン攻撃は、企業のサプライチェーンに含まれるセキュリティの弱点を狙ったサイバー攻撃です。この攻撃は、セキュリティ対策が薄い業務委託先や関連企業を通じて、間接的にターゲット企業に侵入します。被害に遭った場合、機密情報や個人情報が漏えいし、企業の信頼とブランド評判が損なわれます。特にソフトウェアサプライチェーン攻撃では、ソフトウェアの開発元が侵害されることで、利用者も危険に晒されます。また、サプライチェーンは自然災害や政治的不安定、技術的障害などにより事業中断を迫られる恐れもあります。

サプライチェーン攻撃によるリスクは企業にとって深刻で、機密情報の漏えい、データの改ざん、システム障害が主な脅威です。そのため、サイバーセキュリティ対策の重要性が増しており、企業はサプライチェーン全体のセキュリティ強化に努める必要があります。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2024年5月1日2025年5月12日

約90％に脆弱性？ BBSec脆弱性診断結果からみえる脆弱性対策のポイント

Security NEWS TOPに戻る
バックナンバー TOPに戻る

近年、サイバー攻撃は激化し、組織や個人に甚大な被害をもたらしています。情報漏洩やシステム停止など、社会に与える影響は深刻化し、組織存続に関わるリスクにも発展しかねません。増え続ける脆弱性に対処するために、脆弱性対策を実施することが重要です。本記事では脆弱性対策の重要性と実施のためのポイントを解説します。

脆弱性による脅威

近年、ますますサイバー攻撃は巧妙化、高度化しており、組織や個人に甚大な被害をもたらしています。2023年の不正メール、不正サイト、マルウェアといった脅威の検知数が2021年と比較して1.7倍に増加しているとの報告もあり、情報漏洩やシステム停止など、社会全体に与える影響は深刻なものとなっています。JNSAの発表によれば、2016～2018年の個人情報漏洩一人あたりの平均損害賠償額は28,308円にのぼり、大規模な情報漏洩が発生した場合には、企業にとって致命的な損失となる可能性があります。さらに、サプライチェーンにおける取引停止、ブランドイメージ低下、風評被害など、被害は多岐にわたり、組織存続に関わるリスクにも発展しかねません。

このような状況下で、サイバー攻撃から組織を守るために、セキュリティ対策は必要不可欠といえます。組織存続に関わるリスクにも発展するため、サイバー攻撃への対策は必要不可欠といえます。そして、サイバー攻撃への備えとして重要となるのが脆弱性への対策です。脆弱性とは、ソフトウェアやシステムに存在する欠陥であり、攻撃者にとって格好の標的となります。攻撃者は脆弱性を悪用して、システムへの不正アクセス、情報漏洩、ランサムウェア攻撃など、様々な攻撃を実行することが可能となるのです。しかし、脆弱性対策が十分であるとはいいがたい現状があります。

下の図表は弊社のシステム脆弱性診断の結果から、脆弱性の検出率を半期ごとに集計したものとなりますが、過去から常におよそ90％のシステムに脆弱性が存在するという状況が続いています。さらに、2023年下半期ではそのうち17.0%が危険性の高い脆弱性となっています。

システム脆弱性検出率画像 — SQAT® Security Report 2024年春夏号「診断結果にみる情報セキュリティの現状」より

弊社診断結果を掲載したレポートの詳細ついては、こちらをご確認ください。

近年のサイバー攻撃インシデントの例


発表時期	攻撃概要	原因	影響
2023年11月*6	不正アクセスにより通信アプリ利用者の情報が漏洩	一部のシステムを共通化している韓国の企業を通じて不正アクセスが発生	通信アプリ利用者の情報およそ51万件が不正アクセスで流出
2023年8月*2	内閣サイバーセキュリティセンターが不正侵入被害	メーカーにおいて確認できていなかった、電子メール関連システムによる機器の脆弱性が原因	令和４年10月上旬から令和５年６月中旬までの間にインターネット経由で送受信した個人情報を含むメールデータの一部が外部に漏洩した可能性がある
2023年7月*3	名古屋港統一ターミナルシステム（NUTS）がランサムウェア攻撃により停止した	リモート接続用VPN機器の脆弱性から侵入されて、ランサムウェアに感染	NUTSシステム障害により、コンテナ搬出入作業停止など港湾の物流運営に支障をきたした

近年の脆弱性情報の例


発表時期	CVE	対象製品（範囲）	影響
2024年2月*4	CVE-2023-46805 CVE-2024-21887	Ivanti Connect Secure Ivanti Policy Secure 22系、9系のバージョンが影響を受ける	脆弱性が組み合わされて悪用されると、遠隔の第三者が認証不要で任意のコマンドを実行する可能性がある
2023年9月*5	CVE-2022-42897 CVE-2023-28461	Array Networksが提供するVPNアプライアンス「Array AGシリーズ」 ArrayOS AG 9.4.0.466およびそれ以前の9系のバージョン ArrayOS AG 9.4.0.481およびそれ以前の9系のバージョン	2022年5月以降、少なくとも関連する6件のVPN機器におけるリモートコード実行といった攻撃活動が報告されている
2023年7月*6	CVE-2023-3519, CVE-2023-3466, CVE-2023-3467	NetScaler ADC (旧Citrix ADC) および NetScaler Gateway (旧Citrix Gateway) NetScaler ADC および NetScaler Gateway 13.1 13.1-49.13 より前 NetScaler ADC および NetScaler Gateway 13.0 13.0-91.13 より前 NetScaler ADC 13.1-37.159 より前の NetScaler ADC 13.1-FIPS NetScaler ADC 12.1-55.297 より前の NetScaler ADC 12.1-FIPS NetScaler ADC 12.1-NDcPP 12.1-55.297 より前	クロスサイトスクリプティング、ルート権限昇格、リモートコード実行といった攻撃が発生する可能性がある

脆弱性対策の重要性

ここで今一度、脆弱性とは何なのかを改めて考えてみましょう。脆弱性とは、ソフトウェアやシステムに存在する欠陥のことを指します。プログラムのバグや設計上の欠陥などが原因で発生し、サイバー攻撃者にとって格好の標的となります。そして、脆弱性を悪用されると、攻撃者はマルウェアなどを使ってWebサイトへ不正アクセスし、内部データの盗取、改竄、悪用などが可能になります。その結果、情報漏洩やシステム停止、ランサムウェア感染といった、組織にとって致命的な被害につながる可能性があります。

では、脆弱性をなくせばよいということになりますが、現実的には脆弱性を完全に「なくす」ことは困難です。しかし、「攻撃される的」を減らすことで、リスクを大幅に低減することができます。

これらのリスクを低減するためには、ソフトウェアやシステムのアップデート、セキュリティパッチの適用、脆弱性診断の実施、セキュリティ教育の実施、セキュリティ体制の整備といった対策が重要です。特に、日々変化する脅威に対して、システムのセキュリティ状態を正しく把握するためには、脆弱性診断が効果的です。脆弱性診断を実施することで、システムの脆弱性を洗い出し、適切な対策を実施することが可能となります。システムの状態を知り、必要な対策を怠らないことが、Webサイトやシステムを守ることにつながります。

脆弱性診断を活用した予防措置

攻撃者はより悪用しやすく成果をあげやすい脆弱性を狙ってきます。そうしたことを踏まえ、自組織のWebアプリケーション・システムに脆弱性が存在するのか、また存在した場合どういったリスクのある脆弱性なのかを知り、脆弱性対策を行うことは組織として重要なことです。

脆弱性を悪用したサイバー攻撃への備えとして、BBSecとしては、脆弱性診断を推奨しております。下図の攻撃方法は一例となりますが、影響範囲として機会損失から業務停止まで引き起こされる可能性がある、という実態はどの攻撃方法でも同じです。脆弱性を悪用された場合、どの攻撃方法であってもそういった被害が出る可能性があるため、悪用されやすい脆弱性は早急に対応しなければなりません。

SQAT® Security Reportについて

弊社では年に2回、セキュリティトレンドの詳細レポートやセキュリティ業界のトピックスをまとめて解説する独自レポート「SQAT® Security Report」を発行しています。こちらは弊社で行われたセキュリティ診断の統計データが掲載されていることが主な特徴となります。

SQAT® Security Reportでは、半期のセキュリティ診断で得られたデータから、検出された高リスク以上の脆弱性ワースト10といった情報や、その分析を掲載しています。

2023年下半期高リスク以上の脆弱性ワースト10

他にも、カテゴリ別脆弱性の検出状況や、業界別のレーダーチャートも掲載しております。

2023年下半期Webアプリケーション診断結果業界別レーダーチャート製造業

過去のバックナンバーもSQAT.jpにて掲載しておりますので、ぜひ、お役立てください。特集記事や専門家による解説などもございますので、併せてセキュリティ向上の一助となれば幸いです。

半期（6か月）毎にBBSec脆弱性診断の結果を集計・分析。その傾向を探るとともに、セキュリティに関する国内外の動向を分かりやすくお伝えしています。

最新号「2024年春夏号」のダウンロードはこちら。

SQAT脆弱性診断サービス

Webアプリケーション脆弱性診断-SQAT® for Web-

Webサイトを攻撃するハッカーの手法を用いて、外部から動的に脆弱性を診断することで、攻撃の入口となる可能性のある箇所を検出します。診断は最新のセキュリティ情報に基づき実施されますので、開発時やリリース前ばかりでなく、既存システムに対する定期的な実施といった、現状の脆弱性対策の有効性を確認するために活用することをおすすめしています。
以下より、サービス内容が記載されている資料のダウンロードもいただけます。

ネットワーク脆弱性診断-SQAT® for Network

悪意ある第三者の視点で、ネットワークをインターネット経由またはオンサイトにて診断し、攻撃の入口となる可能性のある箇所を検出します。ネットワークを標的とした攻撃のリスクを低減するため、脆弱性を徹底的に洗い出し、システムの堅牢化をご支援します。システムの導入・変更・アップグレード時のほか、運用中のシステムに対する定期チェックにご活用いただけます。
以下より、サービス内容が記載されている資料のダウンロードもいただけます。

ウェビナー開催のお知らせ

2024年5月8日（水）12:50～14:00
「知っておきたいIPA『情報セキュリティ10大脅威 2023』～セキュリティ診断による予防的コントロール～」
2024年5月15日（水）12:50～14:00
「知っておきたいIPA『情報セキュリティ10大脅威 2024』～セキュリティ診断による予防的コントロール～」
2024年5月22日（水）14:00～15:00
「対応必須! 情報セキュリティ事故発生時の緊急対応とは～情報漏えい・サイバーセキュリティインシデント発生時にすべきこと～」
2024年5月29日（水）13:00～14:00
「今さら聞けない！PCI DSSで求められる脆弱性診断-4月1日運用開始！PCI DSSv4.0での脆弱性診断実施におけるポイントとは-」
2024年6月5日（水）13:00～14:00
「今さら聞けない！スマホアプリのセキュリティあれこれ」
2024年6月12日（水）13:00～14:00
「クラウド時代に対応必須のセキュリティあれこれ -クラウドセキュリティについて-」

最新情報はこちら

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2024年2月9日2025年5月12日

ランサムウェアとは何か -ランサムウェアあれこれ 1-

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ランサムウェアはマルウェアの一種です。この記事では、ランサムウェアの基本的な概念から、語源等について解説します。さらに、ランサムウェアがどのようにしてシステムに侵入し、被害を引き起こすのか、特に昨今知られるVPN機器やリモートデスクトップ接続からの感染について解説します。

ランサムウェアには様々な攻撃手法、ランサムウェア攻撃グループが次々に登場しています。攻撃の手口が「バラマキ型」から「標的型攻撃」になるなど、進化し続けています。しかし、セキュリティ対策を講じることで、攻撃を未然に防ぐことも可能です。脆弱性対策や認証管理、従業員教育などセキュリティ対策の基本が効果的であるという前提に立って、今一度自組織のセキュリティを見直すことが重要です。

このシリーズを通じて、ランサムウェアの知識を深めることで、企業・組織がサイバー攻撃に備えるための対策を講じることができるようになることを目指します。

マルウェアの一種である「ランサムウェア」

ランサムウェアとはマルウェアの一種で、感染したコンピュータやシステムにあるファイルやデータを暗号化し、アクセスできないようにした上で、元に戻すことと引き換えに金銭（身代金）を要求するものの総称です。

マルウェアとは、ユーザのコンピュータやネットワークに侵入し、損害を与えるか、被害者から情報を盗む目的で設計されたソフトウェアです。ランサムウェア以外の代表的なマルウェアとしては、以下のようなものが挙げられます。

ウイルス…ユーザによりファイルをクリックされ実行されることで自己増殖を行い、データの破壊などの有害な動作を行う
ワーム…ワームだけで自己増殖が可能で、感染したコンピュータだけに影響を及ぼすものではなく、コンピュータネットワークを経由して他のコンピュータに拡散する
トロイの木馬…無害なあるいは有益なプログラムに偽装してユーザを油断させ、インストールを行わせるマルウェア。ウイルスやワームと異なり自己増殖することはなく、主にバックドアと呼ばれる不正な裏口を作ったり、オンラインバンキングなどのパスワードを盗んだり、別のプログラムをダウンロードするなどの動きをする
スパイウェア…個人や組織の情報を同意なしに収集したり、その情報を攻撃者に向けて送信したりすることを目的としたマルウェア
アドウェア…多くはユーザが知らないうちにインストールされ、インターネット閲覧の際にユーザが望まない広告を表示する。すべてが違法とは言えない場合もある

ランサムウェアは他のマルウェアと比較すると、主な目的が金銭の獲得であることに特徴があります。

ランサムウェアの語源

「ランサムウェア」とは、英語の「Ransom（ランサム）」と「Software（ソフトウェア）」を組み合わせた造語です。この名前は、この種のマルウェアが行う主な行為、すなわち被害者のコンピュータシステムやデータにアクセスを制限し、それらの解放や復元を身代金と交換するという性質に由来しています。

「Ransom」…身代金のこと。誰かまたは何かを人質に取り金銭や他の条件を要求する行為
「Software」…コンピュータに動作を指示するプログラムやアプリケーションの総称

ランサムウェア攻撃の主な特徴は、以下のとおりです。

データの暗号化…ランサムウェアは感染したコンピュータやファイルのデータを暗号化し、ユーザのデータにアクセスできないようにします。データが暗号化されてしまうと元の内容を読み取れなくなるため、業務に大きな支障をきたすことになります。

身代金の要求…データが暗号化された後、攻撃者は被害者に通知を送り、データの復号（元の読み取り可能な状態に戻すこと）のために身代金を要求します。身代金の支払い方法には、仮想通貨などの匿名性の高い方法が用いられることもあります。身代金を支払ったとしても、データが完全に復旧する保証はありません。

ランサムウェアの種類

様々な攻撃手法（ランサムウェア攻撃グループ）が次々に登場しています。以下はその一部です。


Avaddon	2020年初頭に登場。2020年6月に日本をターゲットにした攻撃を実施し、複数の企業や団体が被害を受けた
DearCry	2021年に存在が確認され、Microsoft Exchange Serverの脆弱性を悪用することで多くの企業や組織が影響を受けた
EKANS	産業制御システム（ICS）関連の機能を停止させる能力がある。2019年12月に発見され、2020年6月には国内の大手自動車メーカーで工場が停止してしまう被害をもたらした。被害に遭った自動車メーカーを狙った標的型攻撃の可能性があるといわれる
Revil	2019年に登場。攻撃者はRaaS（Ransomware as a Service）を利用して攻撃を実行する。2021年に米ITシステム管理サービスを標的としたランサムウェアサプライチェーン攻撃により大規模な被害をもたらした後、活動を停止していたが、同年9月に活動を再開している
Conti	2020年5月に確認され、データの暗号化に加え、データを公開することを脅迫する「二重脅迫」の手口を使用することが特徴で、特に医療機関などを含む多くの組織に影響を与えている
LockBit	2019年に初めて確認され、現在も攻撃手法を進化し続けている。2021年にはLockBitの進化版である「LockBit 2.0」、2022年には「LockBit 3.0」が登場し、2023年7月には国内物流組織への攻撃、11月には米国の病院施設への攻撃に使用され、サービス停止に追い込まれる事態が発生した
BlackMatter	2021年7月に確認され、エネルギーインフラ企業など狙ったランサムウェア「DarkSide」の攻撃手法を引き継ぎ、発展させたものといわれている。米国の主要食品供給会社がBlackMatterによるランサムウェア攻撃の被害に遭った
Night Sky	2021年末から2022年初頭にかけて登場。Apache Log4jの脆弱性を悪用し、国内の企業を対象に大きな被害の影響を与えた。

ランサムウェアの感染経路

ランサムウェアを含むマルウェアの感染経路は様々ありますが、以下に主な感染経路の分類と説明をします。

マルウェア（ランサムウェア）の主な感染経路

昨今ではこれ以外の感染経路として、VPN機器・リモートデスクトップ接続からの侵入が知られている。

・VPN機器からの侵入
VPN機器の脆弱性を悪用して、ネットワークに侵入。主な原因は、未修正の脆弱性や脆弱性な認証情報の使用など
・リモートデスクトップ接続からの侵入
外部に公開されているリモートデスクトップに対し、攻撃を仕掛け、ユーザの認証情報を使用し、不正にアクセス。これにより、接続先のコンピュータの管理者アカウントが乗っ取られ、マルウェアをダウンロードされる恐れがある。主に接続する端末に脆弱性がある場合などが原因

警察庁が発表した「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、令和５年上半期に都道府県警察から警察庁に報告のあった企業・団体等のランサムウェアの被害件数は103件でした。被害に遭った企業へ行ったアンケート調査で感染経路への質問を行ったところ、49件の回答があり、約8割以上がVPN機器・リモートデスクトップ接続からの侵入であることが報告されています。

VPN機器・リモートデスクトップ接続からの侵入

昨今VPN機器とリモートデスクトップ接続からのランサムウェア感染が知られてきたのは、2020年の新型コロナウイルス感染拡大の影響を受け、多くの企業がテレワークを導入したことが主な背景にあると考えられます。テレワークを導入したことで、従業員が自宅等からオフィスネットワークにアクセスする必要が生じ、VPN機器とリモートデスクトップがより頻繁に使用されるようになりました。攻撃者は、VPN機器やリモートデスクトッププロトコルに存在する脆弱性を悪用し、システムに侵入します。未修正の脆弱性が攻撃の入口となり、感染が広がります。さらにテレワーク環境下では、自宅のルータがデフォルトの設定のままであったり、外部からの業務システム利用のために導入したクラウドサービスのアクセス制限に不備があったりするなど、セキュリティ上の弱点があるため、リスクを増大させます。

ランサムウェアの攻撃手口は、時間とともに大きく進化し、より複雑かつ高度になっています。初期のランサムウェア攻撃は主に「バラマキ型」と呼ばれる手法を用いていました。この手法では、攻撃者はランダムに多くのコンピュータにマルウェアを配布し、その中の一部が感染するのを期待していました。このアプローチは、フィッシングメールや悪意のあるウェブサイトを通じて、広範囲にわたる無差別的な攻撃を行うことが特徴です。

しかし、最近では攻撃手法が特定の組織や個人をターゲットにした「標的型攻撃」へとシフトしています。これは、特定の企業や政府機関など高い価値のあるデータを持つターゲットに焦点を当てたもので、攻撃はより精密かつ計画的に行われます。攻撃者はしばしば、その組織のセキュリティ体制やネットワーク構造を事前に調査し、特定の脆弱性やセキュリティの盲点を狙います。

ランサムウェア攻撃の対象がクライアント（従来のランサムウェア攻撃の対象）から、サーバや業務システムを標的にした攻撃へ変化したのは、サーバが停止した場合の企業・組織への影響が大きく、攻撃者にとってより多くの身代金が手に入る可能性が高いためです。サーバでは組織内の重要情報が保存されており、データ暗号化解除の脅迫をかけやすいため、企業・組織のサーバが攻撃対象に狙われやすくなります。

ランサムウェアの脅威は日々進化しており、その対策もまた常に更新される必要があります。この記事が、ランサムウェアの理解を深め、適切なセキュリティ対策を促進する一助となれば幸いです。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2022年10月5日2023年7月20日

＜インタビュー＞門林雄基氏／奈良先端科学技術大学院大学サイバーレジリエンス構成学研究室教授【前編】

国内外問わずセキュリティイベントに多くご登壇し、弊社で毎月1回開催している社内研修で、最新動向をレクチャーいただいている奈良先端科学技術大学院大学の門林教授。そんな門林教授に2022年のセキュリティニュースを振り返っていただき、今後の動向や予測について語っていただきました。前・後編の2回のうち、前編をお届けします。

（聞き手：BBSec SQAT.jp編集部）

はじめに…

SQAT^® Security Report寄稿記事をご執筆いただいたご感想・読者へのメッセージ

━━早速ですが、弊社で半期に1回、セキュリティに関する情報をまとめてお届けしているSQAT^® Security Reportの最新号（※10/26公開予定）では門林先生にご執筆を依頼していたかと存じます。まずはこちらについてご質問をさせていただければと思っております。

━━「セキュリティの現在過去未来」ということで、専門家の知見からセキュリティの歴史を振り返っていただいています。私も先日拝読させていただいたのですが、セキュリティに対してあまり馴染みのない方でもセキュリティ意識を見直すきっかけになる大変素晴らしい記事になっているなと感じました。今回の記事について、執筆後のご感想や伝えておきたいポイントや読者へのメッセージがあればお願いいたします。

門林：そうですね、セキュリティの記事をご依頼いただいて、振り返ってみるともう早いもので30年なんですよね。私が今53歳になりますので、それぐらいやはり時間がたってしまったということですね。このセキュリティという領域も最初は一部のマニアックな人、いわゆるハッカーのような人が騒いでいるだけという状況から始まり、今や社会問題になってもう10年、15年たちますが、一向に解決されないという状況です。この時間の流れを写し取れたらと思い今回の記事を書きました。

最近セキュリティ業界に入った方や若い世代の中には「セキュリティへの対策を考えることは重要な問題でさぞかし昔からちゃんとやっていたんだろう」と思われる方もいるかもしれませんし、あるいはまだまだ新しい領域なので「誰も何もやっていないから俺がいたら何とかなる」と思っている方もいらっしゃるかもしれませんが、実は最初は「何かしないと大変だ」と考えていた人は本当に一握りでした。

当時はインターネットバブルで、誰もがインターネットに繋ぐだけでもうかると思ってました。当然、その傍らでリスクが生まれるわけですが、昔はインターネットを作っていた人は「いや、セキュリティね、あはは、そんな問題あるよね。それ、きりないじゃん」と笑ってたわけです。しかし、実はもう３０年ぐらい前から問題としては予見されていました。

例えば30年以上前の雑誌記事で、”インターネットがもし商業化されたら世界中は迷惑メールであふれかえる”という予測を立てた記事があり、当時学生だった私はアメリカのとある有名な方にその記事について質問攻めにしました。ところが、最終的な答えとしては「I don’t know（知らないよそんなこと）」と。つまりその誰一人として問題に対して根本的な解決策を提案しないまま今に至っているわけです。

100年以上前、自動車が街を走り始めたときには、「こんなものは殺人兵器だ」といった新聞の批判的な報道もあったと聞いています。ところが当時から批判をされていたにも関わらず、ここ50年自動車はずっと人を轢き続けていたわけです。最近でこそ衝突安全装置という技術開発がされてますが、そこまで50年～70年かかっています。インターネットでも同様です。1995年あたりに商業化され、爆発的に広まり２５年以上たちますが、セキュリティの問題として迷惑メール・情報漏洩・DDos攻撃など様々なものが予見されていたと思うのですが、結局そのままになってしまっているという状況です。

ですので最近セキュリティ業界に入った方や若い世代の方にもそういった流れで物事を見てほしいというのと、もしその自分の代で解決できなくても頑張るくらいの気合を持ってほしいなと思っています。私自身セキュリティの問題は5年10年すれば解決できると思っていましたが、結局そこから20年以上たって今に至るという感じです。ある意味では若い世代の方にとってはチャンスかもしれません。自動車も技術開発されるまで70年かかってるので、セキュリティも同じくらいのタイムスパンで世代を超えて頑張らないといけないかなと思います。

━━ありがとうございます。インターネットが発展するとともにサイバー犯罪も増加するという形でいたちごっこの様態を呈していますよね。しかし、自動車業界の衝突安全装置の前例から学び、世代を超えて意識を高く持ち続けることでいずれはセキュリティの問題も解決へ向かうように、私たちセキュリティベンダーも啓蒙し続けていかなければならないと感じました。

2022年のセキュリティニュースを振り返って…

━━では続いて2022年のセキュリティニュースを振り返っていきたいと思います。今年話題になったセキュリティに関するニュースとして、例えばApache Log4jの脆弱性や SolarWinds社製品の脆弱性など、脆弱性を悪用した攻撃が次々に登場しました。サイバー攻撃グループがいま狙っている業界としてはどういったところがあるのでしょうか？最近は業界の区別なく狙われているという話もあるかと思いますがいかがでしょうか？

門林：まず申し上げておきたいのはメディアで騒がれるものと、実際に犯罪やサイバー攻撃に悪用されるものは違うということです。メディアでは基本的に新しい脆弱性などの話題を取り上げますが、その前にも既知の脆弱性は3万件以上蓄積があるわけです。Log4jに関しては、確かにJavaのソフトで広く使われているため色々なシステムで対応に追われましたが、直ちに攻撃に使われるという話ではありませんでした。ですのでメディアで報道される＝直ちに攻撃されるから対策しなければという話ではなく、むしろ忘れたころにやってくる、というところです。

また、SolarWindsやSpring4Shellも一時期メディアで騒がれましたが、実はSolarWindsは日本では全然使っていません。ですので影響範囲も全くなかったと私は思います。Spring4Shellに関しては、実際解析してみると特定のJavaのバージョンのみに影響があるだけで、実はそこまでSpring4Shellの脆弱性は影響がありませんでした。つまり、現場での感覚とメディアでの感覚がだいぶずれてきているなというのが特に今年の脆弱性関連での報道を見て感じるところです。

━━ありがとうございます。最近では企業規模の大小問わず狙われていて、中小企業もターゲットになっているという話もあるかと思うのですが、こちらについてはどのような理由が考えられますでしょうか？

門林：大企業の場合はそれなりに対策をしているのでなかなか侵入しづらくなっているのではないかと思います。攻撃者側も攻撃しやすいターゲットを狙うと思いますが、中小企業の場合はセキュリティの重要性もよく分かっていないところが多く、狙いやすいのかなと思います。実際、様々な企業で泣き寝入りしてしまったという事案も聞きますが、中小企業の場合は知名度もあまりないため、被害にあっても報道もされません。無名でももうオペレーションが停止してしまったという状況になればようやく報道されるというわけです。

これも氷山の一角で、メディアが無視しているランサムウェア案件はおそらくいくらでもあると思います。中小企業は実際狙われていると思いますし、よくいうのはやられていても気がつかないのではないかということです。ランサムウェア攻撃のように分かりやすくもう全部暗号化して使えないようにしたらさすがに気付くと思います。ですが中小企業の秘密情報や個人情報・取引先の大企業の情報が狙われるという話は10年とか15年のスパンでずっと起こっていて、中小企業で働いている方々はそれに気づきもしていないのではないかと思います。

最近注目した記事や話題

━━なるほど、ありがとうございました。ではここで少し視点は変わりますが、弊社の勉強会では、先生の方からセキュリティベンダーが提供しているレポートやニュースサイトの記事を色々とご紹介いただいていると思うのですが、先生の方で最近注目している記事やトピックがもしありましたらぜひご紹介いただければと思うのですがいかがでしょうか。

門林：最近ですとやはりサプライチェーンです。特に「ソフトウェアサプライチェーン」といって、例えば我々が使っているWebサーバをはじめ、ビットコインのウォレット等で使うライブラリあるいはソフトウェアを管理しているシステムを狙ってハッキングしてくるというのがどんどん増えています。昔でいうとソフトウェアの欠陥を狙いハッキングするというやり口が多かったのですが、もう最新のWindowsはたとえ50人くらいで寄ってたかってもハッキングできません。ハッカーもそれは諦めていて、ソフトウェアの本当の気づかないような小さなライブラリにバックドア（侵入経路の穴）を仕掛け、そこからシステムに侵入して、ビットコインの財布を狙うといった感じになってきています。ここがやはりここ1～2年の懸念すべきトレンドかなと思ってみています。

━━そういう問題でいうと国内外問わず狙われるのも時間の問題と考えられますね。

門林： そうですね。昔であれば日本語が分からないから大丈夫だなどといわれていましたが、今は日本語の自動翻訳機能はかなり精度が良いものもあるため狙われてしまいます。そのため、日本は大丈夫という感じであぐらをかかず、海外企業と同じくらい、攻撃に対して備えるということが良いのではないかと思います。

海外と比較して～日本国内のセキュリティ事情

━━先ほどのお話にも少しありましたが、日本は海外と比べるとセキュリティへの意識がまだ低いというような話もよく耳にします。この前提を踏まえまして、日本がこれから狙われるとしたらどんな攻撃が考えられますでしょうか？

門林：最近、地政学的な緊張感の高まりというのがありまして、地政学的な事案というのがどんどん増えています。例えば皆さんがお使いのGPS（Global Positioning System）機能ですが、海外、特に紛争地域ではGPSを狙った攻撃というのもたくさん起きてきています。日本も海運国家ですから例えばアメリカで起きているようなGPS等が攻撃されて船が通れず、資源が届かないとなると物流が停止し、産業が成り立たなくなってしまう可能性があります。こうしたサイバーでない事案も起こり得るわけです。

ですのでこの辺りは特に注目しています。また、ヨーロッパの方で起きている戦争では衛星ネットワークがハッキングされ停止していますが、日本では全く報道されていません。ハッカーがモデムをハッキングしたことで、衛星でオペレーションしていた物流のIoTが停止しビジネスも停止してしまったという事案になっているわけです。ですから、GPSであったり衛星であったり、我々からすればパソコンとは関係なさそうな世界であっても、サイバー攻撃でやられる、という視点ももっておくことはすごく大事かなと思います。

━━もはや業界も関係なく狙われてしまうというという危機意識を持つことが私たちにはまだまだ足りていないということですね。セキュリティ業界に携わっていない人に対してセキュリティに対する意識を高めていくように訴求していくという難しさを感じます。

門林：そうですね、おそらく物流をやっている人や船を運行している人からすると何のことだと思いますが、ただ彼らからするとびっくりするような話というのが海外だと起きてますし、それが日本で起きない保証はないわけです。

ランサムウェア市場の活況

━━特に、ランサムウェア攻撃に関してはビジネスとして確立しているということもあり、海外特に欧米企業などでは次々と被害報告が上がっています。今後日本にはランサムウェアギャングはどのようにして入り込んでくると考えられるでしょうか？難しいとも思うのですが。

門林：結局言葉の問題がありますからね。犯罪者の人たちも資金回収するときには日本語を使わないといけないので、そこは確かにひとつハードルになっているとは思います。

とはいえランサムウェアでやられている日本企業もたくさんあるわけですが、アメリカの場合、上場企業は身代金の支払い要求を受けた場合に報告義務がありますが、日本の場合は上場してても報告義務がありません。この差が非常に大きくて、日本企業でもランサムウェア事案でも泣き寝入りしてごっそりお金を払ってしまうということもしているとは思いますが、法的な報告義務がないために表にならないんです。アメリカの方でランサムウェア被害がたくさん起きているという感じで他人事みたいに見えていても、実は身内で起きているインシデントが全然見えていないだけかもしれません。

海外ではもちろんものすごいペースでランサムウェア被害が起きていますが、とはいえ結局反社会勢力にお金を払うというのは海外であっても日本であってもNGですから、身代金を支払ったらそれで終わりという話ではないですし、やはり次の脅迫が忘れたころに起きます。当然、反社会勢力と取引をしたらその企業はブラックリストに入りますし、日本企業でもランサムウェア身代金を支払うことでアメリカでブラックリストに入ってしまったために輸出ビジネスができなくなってしまったという話が実際にあります。これはビジネスが続行できなくなる、BCP（事業継続計画）リスクです。ランサムウェア被害を受けたときのリスクよりも、企業が存続できなくなるリスクを考えた方がいいかなとは思います。

ランサムウェア攻撃の手口は進化している

━━また、ランサムウェア攻撃に関しては海外の方では新しい手口が次々と登場しているかと思います。例えばマルウェア入りのUSBを送りつけるパターンやランサムウェアDDos攻撃など新たな攻撃手法がいろいろと確立していて、従来の二重の脅迫（暗号化＋データの暴露）がいま三重の脅迫と、脅迫の手法も進化してきているという話も耳にしているのですが、この三重の脅迫というのは具体的にどのようなことになるのでしょうか？また日本でもすでにこういった手口は使用されているのでしょうか？

門林：はい。あまり明るくない話なのですが、一般論として申し上げると、ランサムウェアを専門にする業者は星の数ほどいるわけです。つまりランサムウェアの学校があって、毎週100人単位で卒業生を出しているので、独立したランサムウェア事業者がもう何万人といるわけです。たまたま中国語が読めるからじゃあ日本をターゲットにやりましょうという人もいるかもしれません。当然、その他のランサムウェア事業者と競争ですから、そのなかでその二重の脅迫・三重の脅迫みたいな発明がどんどんで出てくるわけです。つまり敵もかなり熾烈な生き残り競争みたいなところでやってますので、いろんな手口が出てきます。警察が逮捕したら終わりという話ではなく、じゃあ警察もその数全部捕まえてくれるんですかという話なわけです。

━━きりがないですね。

門林：そうです。で、そういうきりがないゲームを仕掛けてるんだというところまず認識しないといけません。時々、米連邦捜査局（FBI）がランサムウェアギャングを捕まえましたという報道も出てますが、あれは本当に氷山の一角でしかなくて、彼らは自分たちの味方をすでに増やしていっているので、もうエンドレスな戦いになっているわけです。結局それで生計が成り立ってしまうと、ビジネスと同じく、次はどうしようとやはり考えます。ですからそのうち全員捕まるから大丈夫という感じで変な明るい希望をもって通り過ぎるのを待つ、そういう話じゃないということです。

━━もうこれだけに限らず、これからは様々な手法、ありとあらゆるものが想定されるということですね。

門林：そうです。結局ランサムウェアはここ数年の最近の話題だと思っている人が多いと思うんです。私は最初に聞いたのが11年前でした。その頃、まだビットコインがなかった時代に、ロシアと旧ソビエト連邦諸国（CIS）で流行っていて、ロシア・CIS特有で昔あったダイヤルQ2のような、この番号に送ると何百円チャージされますという感じの有料のSMSがあるんです。それをランサムウェア集団が集金目的で使って、「この暗号のロックを解除してほしかったら有料SMSを送れ」というと、500円・900円ぐらいが回収され、それで1か月パソコンが普通に使えるようになるという感じです。つまりCISではそういうスキームがもう10年以上前にあったわけです。そこからずっと進化して産業としても大きくなり今に至るわけです。問題はどんどん悪辣（あくらつ）になってますし、熾烈な戦いを繰り広げていて、結局10年かかってグローバルな暗黒産業を作っているわけです。いまやランサムウェア産業は事業者が学校で毎週100人単位で誕生しているようなかなりの成長産業です。これじゃあ来年なくなりますか？っていわれてもおそらく10年はなくならないと思います。ですのであと10年これが続くと覚悟してくださいという話です。

━━ランサムウェアはいつ収束するといったレベルの問題ではないのですね。

門林：サイバーセキュリティをやってない人は「そのうちなくなるんでしょ」「一過性のものでしょ」という感じですよ。でもそう思っている人にとっては最悪の事態がどんどん進行していって今に至るわけですから、やはりリスク管理の原則ですが、最悪の事態を想定してそれに備えるというところが外せないと思います。

ー後編へ続くー

門林雄基氏
奈良先端科学技術大学院大学サイバーレジリエンス構成学研究室教授
国内外でサイバーセキュリティの標準化に取り組む。日欧国際共同研究NECOMAプロジェクトの日本研究代表、WIDEプロジェクトボードメンバーなどを歴任。