#ランサムウェア | SQAT®.jp

2022年10月5日2023年7月20日

＜インタビュー＞門林雄基氏／奈良先端科学技術大学院大学サイバーレジリエンス構成学研究室教授【前編】

国内外問わずセキュリティイベントに多くご登壇し、弊社で毎月1回開催している社内研修で、最新動向をレクチャーいただいている奈良先端科学技術大学院大学の門林教授。そんな門林教授に2022年のセキュリティニュースを振り返っていただき、今後の動向や予測について語っていただきました。前・後編の2回のうち、前編をお届けします。

（聞き手：BBSec SQAT.jp編集部）

はじめに…

SQAT^® Security Report寄稿記事をご執筆いただいたご感想・読者へのメッセージ

━━早速ですが、弊社で半期に1回、セキュリティに関する情報をまとめてお届けしているSQAT^® Security Reportの最新号（※10/26公開予定）では門林先生にご執筆を依頼していたかと存じます。まずはこちらについてご質問をさせていただければと思っております。

━━「セキュリティの現在過去未来」ということで、専門家の知見からセキュリティの歴史を振り返っていただいています。私も先日拝読させていただいたのですが、セキュリティに対してあまり馴染みのない方でもセキュリティ意識を見直すきっかけになる大変素晴らしい記事になっているなと感じました。今回の記事について、執筆後のご感想や伝えておきたいポイントや読者へのメッセージがあればお願いいたします。

門林：そうですね、セキュリティの記事をご依頼いただいて、振り返ってみるともう早いもので30年なんですよね。私が今53歳になりますので、それぐらいやはり時間がたってしまったということですね。このセキュリティという領域も最初は一部のマニアックな人、いわゆるハッカーのような人が騒いでいるだけという状況から始まり、今や社会問題になってもう10年、15年たちますが、一向に解決されないという状況です。この時間の流れを写し取れたらと思い今回の記事を書きました。

最近セキュリティ業界に入った方や若い世代の中には「セキュリティへの対策を考えることは重要な問題でさぞかし昔からちゃんとやっていたんだろう」と思われる方もいるかもしれませんし、あるいはまだまだ新しい領域なので「誰も何もやっていないから俺がいたら何とかなる」と思っている方もいらっしゃるかもしれませんが、実は最初は「何かしないと大変だ」と考えていた人は本当に一握りでした。

当時はインターネットバブルで、誰もがインターネットに繋ぐだけでもうかると思ってました。当然、その傍らでリスクが生まれるわけですが、昔はインターネットを作っていた人は「いや、セキュリティね、あはは、そんな問題あるよね。それ、きりないじゃん」と笑ってたわけです。しかし、実はもう３０年ぐらい前から問題としては予見されていました。

例えば30年以上前の雑誌記事で、”インターネットがもし商業化されたら世界中は迷惑メールであふれかえる”という予測を立てた記事があり、当時学生だった私はアメリカのとある有名な方にその記事について質問攻めにしました。ところが、最終的な答えとしては「I don’t know（知らないよそんなこと）」と。つまりその誰一人として問題に対して根本的な解決策を提案しないまま今に至っているわけです。

100年以上前、自動車が街を走り始めたときには、「こんなものは殺人兵器だ」といった新聞の批判的な報道もあったと聞いています。ところが当時から批判をされていたにも関わらず、ここ50年自動車はずっと人を轢き続けていたわけです。最近でこそ衝突安全装置という技術開発がされてますが、そこまで50年～70年かかっています。インターネットでも同様です。1995年あたりに商業化され、爆発的に広まり２５年以上たちますが、セキュリティの問題として迷惑メール・情報漏洩・DDos攻撃など様々なものが予見されていたと思うのですが、結局そのままになってしまっているという状況です。

ですので最近セキュリティ業界に入った方や若い世代の方にもそういった流れで物事を見てほしいというのと、もしその自分の代で解決できなくても頑張るくらいの気合を持ってほしいなと思っています。私自身セキュリティの問題は5年10年すれば解決できると思っていましたが、結局そこから20年以上たって今に至るという感じです。ある意味では若い世代の方にとってはチャンスかもしれません。自動車も技術開発されるまで70年かかってるので、セキュリティも同じくらいのタイムスパンで世代を超えて頑張らないといけないかなと思います。

━━ありがとうございます。インターネットが発展するとともにサイバー犯罪も増加するという形でいたちごっこの様態を呈していますよね。しかし、自動車業界の衝突安全装置の前例から学び、世代を超えて意識を高く持ち続けることでいずれはセキュリティの問題も解決へ向かうように、私たちセキュリティベンダーも啓蒙し続けていかなければならないと感じました。

2022年のセキュリティニュースを振り返って…

━━では続いて2022年のセキュリティニュースを振り返っていきたいと思います。今年話題になったセキュリティに関するニュースとして、例えばApache Log4jの脆弱性や SolarWinds社製品の脆弱性など、脆弱性を悪用した攻撃が次々に登場しました。サイバー攻撃グループがいま狙っている業界としてはどういったところがあるのでしょうか？最近は業界の区別なく狙われているという話もあるかと思いますがいかがでしょうか？

門林：まず申し上げておきたいのはメディアで騒がれるものと、実際に犯罪やサイバー攻撃に悪用されるものは違うということです。メディアでは基本的に新しい脆弱性などの話題を取り上げますが、その前にも既知の脆弱性は3万件以上蓄積があるわけです。Log4jに関しては、確かにJavaのソフトで広く使われているため色々なシステムで対応に追われましたが、直ちに攻撃に使われるという話ではありませんでした。ですのでメディアで報道される＝直ちに攻撃されるから対策しなければという話ではなく、むしろ忘れたころにやってくる、というところです。

また、SolarWindsやSpring4Shellも一時期メディアで騒がれましたが、実はSolarWindsは日本では全然使っていません。ですので影響範囲も全くなかったと私は思います。Spring4Shellに関しては、実際解析してみると特定のJavaのバージョンのみに影響があるだけで、実はそこまでSpring4Shellの脆弱性は影響がありませんでした。つまり、現場での感覚とメディアでの感覚がだいぶずれてきているなというのが特に今年の脆弱性関連での報道を見て感じるところです。

━━ありがとうございます。最近では企業規模の大小問わず狙われていて、中小企業もターゲットになっているという話もあるかと思うのですが、こちらについてはどのような理由が考えられますでしょうか？

門林：大企業の場合はそれなりに対策をしているのでなかなか侵入しづらくなっているのではないかと思います。攻撃者側も攻撃しやすいターゲットを狙うと思いますが、中小企業の場合はセキュリティの重要性もよく分かっていないところが多く、狙いやすいのかなと思います。実際、様々な企業で泣き寝入りしてしまったという事案も聞きますが、中小企業の場合は知名度もあまりないため、被害にあっても報道もされません。無名でももうオペレーションが停止してしまったという状況になればようやく報道されるというわけです。

これも氷山の一角で、メディアが無視しているランサムウェア案件はおそらくいくらでもあると思います。中小企業は実際狙われていると思いますし、よくいうのはやられていても気がつかないのではないかということです。ランサムウェア攻撃のように分かりやすくもう全部暗号化して使えないようにしたらさすがに気付くと思います。ですが中小企業の秘密情報や個人情報・取引先の大企業の情報が狙われるという話は10年とか15年のスパンでずっと起こっていて、中小企業で働いている方々はそれに気づきもしていないのではないかと思います。

最近注目した記事や話題

━━なるほど、ありがとうございました。ではここで少し視点は変わりますが、弊社の勉強会では、先生の方からセキュリティベンダーが提供しているレポートやニュースサイトの記事を色々とご紹介いただいていると思うのですが、先生の方で最近注目している記事やトピックがもしありましたらぜひご紹介いただければと思うのですがいかがでしょうか。

門林：最近ですとやはりサプライチェーンです。特に「ソフトウェアサプライチェーン」といって、例えば我々が使っているWebサーバをはじめ、ビットコインのウォレット等で使うライブラリあるいはソフトウェアを管理しているシステムを狙ってハッキングしてくるというのがどんどん増えています。昔でいうとソフトウェアの欠陥を狙いハッキングするというやり口が多かったのですが、もう最新のWindowsはたとえ50人くらいで寄ってたかってもハッキングできません。ハッカーもそれは諦めていて、ソフトウェアの本当の気づかないような小さなライブラリにバックドア（侵入経路の穴）を仕掛け、そこからシステムに侵入して、ビットコインの財布を狙うといった感じになってきています。ここがやはりここ1～2年の懸念すべきトレンドかなと思ってみています。

━━そういう問題でいうと国内外問わず狙われるのも時間の問題と考えられますね。

門林： そうですね。昔であれば日本語が分からないから大丈夫だなどといわれていましたが、今は日本語の自動翻訳機能はかなり精度が良いものもあるため狙われてしまいます。そのため、日本は大丈夫という感じであぐらをかかず、海外企業と同じくらい、攻撃に対して備えるということが良いのではないかと思います。

海外と比較して～日本国内のセキュリティ事情

━━先ほどのお話にも少しありましたが、日本は海外と比べるとセキュリティへの意識がまだ低いというような話もよく耳にします。この前提を踏まえまして、日本がこれから狙われるとしたらどんな攻撃が考えられますでしょうか？

門林：最近、地政学的な緊張感の高まりというのがありまして、地政学的な事案というのがどんどん増えています。例えば皆さんがお使いのGPS（Global Positioning System）機能ですが、海外、特に紛争地域ではGPSを狙った攻撃というのもたくさん起きてきています。日本も海運国家ですから例えばアメリカで起きているようなGPS等が攻撃されて船が通れず、資源が届かないとなると物流が停止し、産業が成り立たなくなってしまう可能性があります。こうしたサイバーでない事案も起こり得るわけです。

ですのでこの辺りは特に注目しています。また、ヨーロッパの方で起きている戦争では衛星ネットワークがハッキングされ停止していますが、日本では全く報道されていません。ハッカーがモデムをハッキングしたことで、衛星でオペレーションしていた物流のIoTが停止しビジネスも停止してしまったという事案になっているわけです。ですから、GPSであったり衛星であったり、我々からすればパソコンとは関係なさそうな世界であっても、サイバー攻撃でやられる、という視点ももっておくことはすごく大事かなと思います。

━━もはや業界も関係なく狙われてしまうというという危機意識を持つことが私たちにはまだまだ足りていないということですね。セキュリティ業界に携わっていない人に対してセキュリティに対する意識を高めていくように訴求していくという難しさを感じます。

門林：そうですね、おそらく物流をやっている人や船を運行している人からすると何のことだと思いますが、ただ彼らからするとびっくりするような話というのが海外だと起きてますし、それが日本で起きない保証はないわけです。

ランサムウェア市場の活況

━━特に、ランサムウェア攻撃に関してはビジネスとして確立しているということもあり、海外特に欧米企業などでは次々と被害報告が上がっています。今後日本にはランサムウェアギャングはどのようにして入り込んでくると考えられるでしょうか？難しいとも思うのですが。

門林：結局言葉の問題がありますからね。犯罪者の人たちも資金回収するときには日本語を使わないといけないので、そこは確かにひとつハードルになっているとは思います。

とはいえランサムウェアでやられている日本企業もたくさんあるわけですが、アメリカの場合、上場企業は身代金の支払い要求を受けた場合に報告義務がありますが、日本の場合は上場してても報告義務がありません。この差が非常に大きくて、日本企業でもランサムウェア事案でも泣き寝入りしてごっそりお金を払ってしまうということもしているとは思いますが、法的な報告義務がないために表にならないんです。アメリカの方でランサムウェア被害がたくさん起きているという感じで他人事みたいに見えていても、実は身内で起きているインシデントが全然見えていないだけかもしれません。

海外ではもちろんものすごいペースでランサムウェア被害が起きていますが、とはいえ結局反社会勢力にお金を払うというのは海外であっても日本であってもNGですから、身代金を支払ったらそれで終わりという話ではないですし、やはり次の脅迫が忘れたころに起きます。当然、反社会勢力と取引をしたらその企業はブラックリストに入りますし、日本企業でもランサムウェア身代金を支払うことでアメリカでブラックリストに入ってしまったために輸出ビジネスができなくなってしまったという話が実際にあります。これはビジネスが続行できなくなる、BCP（事業継続計画）リスクです。ランサムウェア被害を受けたときのリスクよりも、企業が存続できなくなるリスクを考えた方がいいかなとは思います。

ランサムウェア攻撃の手口は進化している

━━また、ランサムウェア攻撃に関しては海外の方では新しい手口が次々と登場しているかと思います。例えばマルウェア入りのUSBを送りつけるパターンやランサムウェアDDos攻撃など新たな攻撃手法がいろいろと確立していて、従来の二重の脅迫（暗号化＋データの暴露）がいま三重の脅迫と、脅迫の手法も進化してきているという話も耳にしているのですが、この三重の脅迫というのは具体的にどのようなことになるのでしょうか？また日本でもすでにこういった手口は使用されているのでしょうか？

門林：はい。あまり明るくない話なのですが、一般論として申し上げると、ランサムウェアを専門にする業者は星の数ほどいるわけです。つまりランサムウェアの学校があって、毎週100人単位で卒業生を出しているので、独立したランサムウェア事業者がもう何万人といるわけです。たまたま中国語が読めるからじゃあ日本をターゲットにやりましょうという人もいるかもしれません。当然、その他のランサムウェア事業者と競争ですから、そのなかでその二重の脅迫・三重の脅迫みたいな発明がどんどんで出てくるわけです。つまり敵もかなり熾烈な生き残り競争みたいなところでやってますので、いろんな手口が出てきます。警察が逮捕したら終わりという話ではなく、じゃあ警察もその数全部捕まえてくれるんですかという話なわけです。

━━きりがないですね。

門林：そうです。で、そういうきりがないゲームを仕掛けてるんだというところまず認識しないといけません。時々、米連邦捜査局（FBI）がランサムウェアギャングを捕まえましたという報道も出てますが、あれは本当に氷山の一角でしかなくて、彼らは自分たちの味方をすでに増やしていっているので、もうエンドレスな戦いになっているわけです。結局それで生計が成り立ってしまうと、ビジネスと同じく、次はどうしようとやはり考えます。ですからそのうち全員捕まるから大丈夫という感じで変な明るい希望をもって通り過ぎるのを待つ、そういう話じゃないということです。

━━もうこれだけに限らず、これからは様々な手法、ありとあらゆるものが想定されるということですね。

門林：そうです。結局ランサムウェアはここ数年の最近の話題だと思っている人が多いと思うんです。私は最初に聞いたのが11年前でした。その頃、まだビットコインがなかった時代に、ロシアと旧ソビエト連邦諸国（CIS）で流行っていて、ロシア・CIS特有で昔あったダイヤルQ2のような、この番号に送ると何百円チャージされますという感じの有料のSMSがあるんです。それをランサムウェア集団が集金目的で使って、「この暗号のロックを解除してほしかったら有料SMSを送れ」というと、500円・900円ぐらいが回収され、それで1か月パソコンが普通に使えるようになるという感じです。つまりCISではそういうスキームがもう10年以上前にあったわけです。そこからずっと進化して産業としても大きくなり今に至るわけです。問題はどんどん悪辣（あくらつ）になってますし、熾烈な戦いを繰り広げていて、結局10年かかってグローバルな暗黒産業を作っているわけです。いまやランサムウェア産業は事業者が学校で毎週100人単位で誕生しているようなかなりの成長産業です。これじゃあ来年なくなりますか？っていわれてもおそらく10年はなくならないと思います。ですのであと10年これが続くと覚悟してくださいという話です。

━━ランサムウェアはいつ収束するといったレベルの問題ではないのですね。

門林：サイバーセキュリティをやってない人は「そのうちなくなるんでしょ」「一過性のものでしょ」という感じですよ。でもそう思っている人にとっては最悪の事態がどんどん進行していって今に至るわけですから、やはりリスク管理の原則ですが、最悪の事態を想定してそれに備えるというところが外せないと思います。

ー後編へ続くー

門林雄基氏
奈良先端科学技術大学院大学サイバーレジリエンス構成学研究室教授
国内外でサイバーセキュリティの標準化に取り組む。日欧国際共同研究NECOMAプロジェクトの日本研究代表、WIDEプロジェクトボードメンバーなどを歴任。

2022年7月14日2024年3月26日

標的型攻撃とは？
事例や見分け方、対策をわかりやすく解説

標的型攻撃とは、攻撃者が明確な目的を持って、特定の企業や組織･個人などを狙って行うサイバー攻撃です。日本国内では、2011年頃から多く報告されるようになりました。

サイバー攻撃の多くには、これまではっきりした目的がありませんでした。無差別に感染させるウイルスやワーム、不特定多数に向けて大量送信されるスパムメールなど、従来の攻撃は標的を選ばない「ばらまき型」が多くを占めていました。しかし標的型攻撃では、たとえば「製造業Ａ社の保有する、～分野の技術に関わる特許等の知的財産」など、ゴールが明確に設定されています。

標的型攻撃のうち、特に国家機密やグローバル企業の知的財産をターゲットとした、豊富な資金を元に、極めて高い技術水準で、長期間行う標的型攻撃のことをAPT（Advanced Persistent Threat：高度で継続的な脅威）と呼ぶこともあります。

	従来型の攻撃	標的型攻撃
目的	悪意のない趣味や愉快犯、技術的な理論検証など、趣味や知的好奇心の延長	知的財産・国家機密・個人情報など、金銭目的の犯罪、諜報などの目的を持つ
対象	不特定多数のインターネットユーザー	特定の企業や組織、政府
技術	必ずしも高くない	高度な技術水準
組織	多くは個人による活動、複数であっても組織化されていない	組織化された多人数の組織
資金	個人による持ち出し	豊富、国の支援を受けている場合も
期間	短い、興味や好奇心が満たされれば終了	目的を達成するまで辞めない、数年間のプロジェクトとなることも

メールから侵入する「標的型攻撃メール」とは

標的型攻撃の多くは、業務を装ってメールを送り、添付されたファイルやメール文中のリンク先にマルウェアを仕込む「標的型攻撃メール」をきっかけに行われます。マルウェアは、OSや特定のアプリケーション、プログラミング言語や開発環境の脆弱性を突いて感染を果たします。

「ハッカー御用達サーチエンジン」などと呼ばれる「SHODAN（ショーダン）」「Censys（センシス）」という検索エンジンがあります。GoogleのようにWebページを検索するのではなく、インターネットに接続されているサーバやコンピュータ、 IoT機器を対象とした検索エンジンで、これらを用いることで、たとえば脆弱性のあるOSにも関わらずパッチがあてられずに放置されているサーバを見つけることができます。

脆弱性が見つかったら、その脆弱性を突くマルウェアをブラックマーケットで購入あるいは開発し、PDFファイルなどに偽装し、メールに添付し標的型攻撃メールが送られます。少々簡素化していますが、こういう手順で標的型攻撃は行われます。

標的型攻撃メールの事例

標的型攻撃メールによってマルウェア感染や被害が発生した事例として独立行政法人情報処理推進機構（IPA）は、2012年に発行した「標的型攻撃メール<危険回避>対策のしおり」に具体的事例のリストを掲載しています。そこには、

・日本政府や中央官公庁

・日本を含む世界の化学･防衛関連企業48社

・日本の重電メーカー

などの組織が「報道された標的型攻撃メールの事件」として並んでいます。

同じくIPAが2015年に発行した「IPA テクニカルウォッチ標的型攻撃メールの例と見分け方」では、標的型攻撃メールの生々しい偽装例が記載されています。それによれば、

・新聞社や出版社からの取材申込

・就職活動に関する問い合わせ

・製品に関する問い合わせ

・セキュリティに係る注意喚起

・注文書送付

・アカウント情報の入力要求

などに偽装して標的型攻撃メールが実際に送られたということです。

標的型攻撃メールの見分け方

標的型攻撃以前には、いわゆる「怪しいメールの見分け方」という鉄板の基準がありました。代表的な判断基準はたとえば「知らない人からのメール」「フリーメールからのメール」「日本語の言い回しが不自然」などが挙げられます。標的型攻撃以前には確かにこれらの基準は有効でした。しかし、こういった基準が標的型攻撃以降、必ずしも通用しなくなっています。

ますます洗練されている標的型攻撃メールの基準に対応するため、IPAは前掲のレポート「IPA テクニカルウォッチ標的型攻撃メールの例と見分け方」で、不審か否かを見分けるための着眼点として以下を挙げています。

・知らない人からのメールだが、メール本文の URL や添付ファイルを開かざるを得ない内容

・心当たりのないメールだが、興味をそそられる内容

・これまで届いたことがない公的機関からのお知らせ

・組織全体への案内

・心当たりのない決裁や配送通知

・ID やパスワードなどの入力を要求するメール

・フリーメールアドレスから送信されている

・差出人のメールアドレスとメール本文の署名に記載されたメールアドレスが異なる

・日本語の言い回しが不自然である

・日本語では使用されない漢字が使われている

・実在する名称を一部に含む URL が記載されている

・表示されている URL と実際のリンク先の URL が異なる

・署名の内容が誤っている

昔ながらの基準と変わらない点もあるものの、「心当たりのないメールだが、興味をそそられる内容」「これまで届いたことがない公的機関からのお知らせ」「組織全体への案内」などは、業務上開封せざるをえないことも少なくないでしょう。「よほど仕事を怠けていない限りひっかかる」これは標的型攻撃メールに関してよく言われる言葉です。

近年の標的型攻撃メールは日本語も洗練されています。上記の基準ですら判別できない場合もあると心得ていたほうが間違いないでしょう。

標的型攻撃への入口対策

標的型攻撃メールを防ぐ「標的型攻撃メール訓練」

標的型攻撃メールを開封しないように、従業員のセキュリティリテラシーを上げるために「メール訓練」「標的型攻撃メール訓練」などと呼ばれるセキュリティサービスがあります。

模擬の標的型攻撃メールを作成し、事前に知らせずに従業員にメールを送信、本文中のリンクをクリックしたり添付ファイルを開いてしまった人を調べ、部門毎の攻撃メール開封率などを管理者に報告するサービスです。

標的型攻撃メール訓練サービスの比較のポイント

標的型メール訓練サービスは提供業者が多く、費用やサービスクオリティはさまざまです。ここで簡単に、いい標的型攻撃メール訓練会社の比較のポイントを列挙します。

・実施前に社内の業務手順や、うっかり添付ファイルを開いたりリンクをクリックしてしまいそうなメールの傾向を、丁寧なヒアリングをもとに考えてくれるかどうか

・開封率の報告だけでなく、添付ファイルを開いた後の初動対応分析や、万一開いた場合の報告体制、エスカレーションの仕組の助言などを行ってくれるかどうか

・標的型攻撃メールの添付ファイルを開いたりリンクをクリックすることで具体的にどのように被害が発生するか、リスク予測をしてくれるかどうか

・訓練で洗い出された課題解決のために従業員向け研修を実施してくれるかどうか

標的型メール訓練サービスは各社それぞれ個性と品質の差があります。一見似ているように見えますが、どのように運用するかによってサービスクオリティが大きく変わってきます。

組織には人事異動もあり業務内容も変わります。メール訓練をやる場合は、エビデンスのために実施する場合はともかく、本当に根付かせたいのであれば定期的な実施が必須といえるでしょう。

「入口対策」を考えると、教育訓練を施す標的型メール訓練は「ヒト」に対する対策として有効な対策の一つです。しかし、うっかり危険なファイルを開いてしまう確率がゼロになることは残念ながらありません。

もしあなたの会社の人事担当者に、就職を希望する優秀な経歴を持つ学生から、レジュメや志望動機を書いたPDFを添付したメールがGmailで届いた場合、彼･彼女はきっとそのメールを開かざるをえないでしょう。「よほど仕事を怠けていない限りひっかかる」のです。もはや「防ぐ」という視点と同時に、侵入されることを前提に考える時期が来ています。

開封率の低減を最重要視するのではなく、「開封されても仕方なし」というスタンスで取り組むことが重要です。訓練の目標を「開封された後の対応策の見直しと初動訓練」に設定し、定められた対応フロー通りに報告が行われるか、報告を受けて対策に着手するまでにどれくらいの時間を要するかを可視化して、インシデント時の対応フローおよびポリシーやガイドラインの有効性を評価することをお勧めします。また、従業員のセキュリティ意識を向上させるために、教育および訓練と演習を実施するのが望ましいでしょう。

標的型攻撃の対策方法

「侵入されることを前提に考える」とは、もはや完全に防ぐことはできないと認めることです。これは標的型攻撃がセキュリティ対策や産業に与えた最も大きな影響のひとつといえるでしょう。標的型攻撃やAPT攻撃以降に、「この製品を買えば100％防げます」オーバーコミット気味のセキュリティ製品の営業マンが、もしこんなセリフを言ったとしたら、もはや安請け合いどころか明白な嘘です。

標的型攻撃以降、「出口対策」「内部対策」という順番で、新しいセキュリティ対策の言葉が次々と生まれました。

「出口対策」とは、ファイアウォールやアンチウイルスソフトで防ぎ切ることができずに感染してしまったマルウェアが、重要な情報を盗み出し、外部に重要情報を送信する（盗み出す）前に、その通信を検知しブロックする対策のことです。

「内部対策」とは、標的型攻撃メールで特定のPCに感染したマルウェアが、隣のPCや、参照権限のあるサーバなど、ネットワークを「横移動（ラテラル･ムーブメント）」して、Active Directoryなどのクレデンシャル情報や、知的財産が置かれたサーバにたどりつかないよう横展開を阻害する対策のことです。ネットワークの区画化やSIEMによる分析、ユーザーの行動を分析するUEBA、果てはニセのクレデンシャル情報をネットワークに地雷のように置くデセプション製品など、各社工夫をこらした高価な先端製品が各社によって開発･提供されています。

一方で、従来の「入口対策」をパワーアップした対策として、添付されたファイルがマルウェアではないかどうかをSandboxという環境で安全に検証してからユーザーに届ける製品などが国内でも普及しました。

どれも優れた製品ですが、いずれにせよ完全に防げる神話はもう崩れています。侵入前提の対策や組織作りが必要です。しかし、高価なSandboxやSIEMなど先端の製品による対策をすべての組織でできるわけではありません。

しかし悲観する必要はありません。実は、昔から言われている基本対策も標的型攻撃に対して有効な対策の一つなのです。まずはWindowsOSやMicrosoft Office、Adobeなどの主要アプリケーションを最新の状態に保つことです。

また、Webサイトやアプリケーションなどの公開サーバ、社内ネットワークを対象に、見過ごしているセキュリティホールがないかどうかを見つける脆弱性診断の定期的実施や、いざ侵入できたらどこまで被害が拡大しうるのかを調べるペネトレーションテストの実施も同様に有効でしょう。

「我が社には盗まれるような特許も個人情報もない」これもよく言われる言葉です。しかし、近年「サプライチェーン攻撃」と呼ばれるサイバー攻撃が話題になっています。たとえば、大手グローバル自動車会社のB社を最終目的として、部品製造を行う系列の中小企業などから攻撃を行い、本丸を目指す方法などを指します。もはや関係ないと言える企業は少ないといえるでしょう。

まとめ

・標的型攻撃は、攻撃者が明確な目的を持ち、特定の企業や組織･個人などを狙って行うサイバー攻撃
・標的型攻撃には、業務を装った巧妙なメールの添付ファイルやメール文中のリンク先にマルウェアを仕込む「標的型攻撃メール」によるものが多い
・従業員のセキュリティリテラシーを上げて標的型メールを開封しないようにするためには、「標的型攻撃メール訓練」などのセキュリティサービスがある
・標的型攻撃を100％防御することは不可能なため、感染することを前提とした「出口対策」「内部対策」を講じることで攻撃成功の確率を下げる

BBSecでは

「ランサムウェア対策総点検」のうちのサービスの一つ、「ランサムウェア感染リスク可視化サービス」では標的型攻撃を受けてしまった場合の現状のリスクの棚卸を行うことが可能です。従来の標的型メール攻撃訓練からもう一歩踏み込み、「ヒト」の対策ではなく、「情報」の対策として、システム環境の確認や、環境内で検知された危険度（リスクレベル）を判定いたします。

Security Report TOPに戻る
TOP-更新情報に戻る

2022年3月15日2024年2月29日

Emotet再来！マルウェア感染被害をどう防ぐか

マルウェア「Emotet」の感染が、今年3月より急速に拡大しています。主な手口はメール攻撃ですが、過去の流行時に中心となっていた不特定多数に対するばらまき型でなく、特定の企業・組織を狙った標的型攻撃ツールとしての手法に進化しています。本記事では、これまでのEmotetの攻撃活動を整理したうえで、企業・組織がマルウェアの被害を防御・最小限にとどめるためにどのような対策をとればよいのかについて、解説していきます。

悪名高きEmotetが帰ってきた！

2021年11月、”世界で最も危険なマルウェア（world’s most dangerous malware）”と称された「Emotet」の活動再開が、明らかになりました。*1

Emotet興亡の様相は、おおむね右年表のとおりです。2019年から2020年にかけて、国内でも多くの企業・組織が被害を受けました。2021年1月に一度終焉を迎えた様子については、「ランサムウェア最新動向2021―2020年振り返りとともに―」でも取り上げました。

一網打尽にされたはずだったEmotetの復活には、マルウェアボットネット「TrickBot」が関係していると見られています*2 。以前TrickBotに感染したシステムに対してEmotetをインストールすることで、再び感染開始が可能になったと報告されています。こうしたTrickBotとEmotetの補完関係を利用した復活は、一部の専門家は予想済みの展開だったようです。

復活したEmotetの脅威は…

再開が観測されて以後、2018～2020年に発生したような大規模なスパム送信攻撃は、2021年12月では報告されていません。しかしながら、巧みに不正の痕跡を隠ぺいするといった、Emotetのマルウェアとしての有能さを考慮すると、深刻な脅威であることに変わりはありません。TrickBotに類する攻撃に有効な新しいボットネットの登場も予想されるため、引き続き警戒が必要です。

実際、IPA（独立行政法人情報処理推進機構）によると、活動再開が確認されてから、Emotet攻撃メールと見られる着信が複数観測されています*3 。また、警察庁の解析によると、攻撃対象のメールソフトとして、これまで知られていたOutlookのほか、Thunderbirdのようなオープンソースのメールソフトにも対象が拡大している*4とのことです。

主な感染経路：メール添付ファイルにご注意！

Emotetの主要な手口は、メール攻撃です。2020年にNICT（国立研究開発法人情報通信研究機構）は同機構宛に届いたEmotet攻撃メールには、「doc ファイル添付型」「URL記載型」「zipファイル添付型」が見られた*5という分析結果を公表しました。2021年には、IPAに寄せられた相談事例から、新たな手口として「Excelファイルの悪用」と「PDF閲覧ソフトの偽装」が紹介*6されています。

メールを感染経路としたEmotetの動作概要は下図のとおりです。

メールによるEmotetの感染後の影響 — 出典：「Emotetの解析結果について」（警察庁 @police）https://www.npa.go.jp/cyberpolice/important/2020/202012111.html

感染防止のためにユーザが実践すべき注意事項の基本は変わりません。確実に信用できるメール以外は、メールに添付されたファイルを開かない、編集しない、そして「コンテンツの有効化」ボタンをクリックしないこと。また、メール本文に記載されたURLリンクを不用意にクリックしないこと、たとえクリックしてしまった場合でも遷移先のサイトでデータの閲覧やダウンロードを行わないこと、といった内容になります。

Emotetの感染、関連するネットワークへの感染拡大、ランサムウェアをはじめとした別のマルウェアへの感染……といった深刻な被害の連鎖を生んでしまうか否か、受信者の行動が明暗を分けます。

注意するだけでは防げない巧妙なメール攻撃も…

被害相談例の図（IPA） — 出典：IPA（独立行政法人情報処理推進機構）
「「Emotet（エモテット）」と呼ばれるウイルスへの感染を狙うメールについて」（2021年12月）

今時そんな見え透いたメール攻撃にはひっかからない、と思われる方もいらっしゃるかもしれません。確かに、ばらまき型メール攻撃なら、うっかり開けることはないという方も多いでしょう。しかし、標的型攻撃の場合はどうでしょうか。どう見ても取引先からとしか思えないような、絶妙なタイミングと巧妙な内容で偽装されたメール攻撃を受けることがあります。

右図は実際にIPAに2021年12月に寄せられた相談例だそうです。このようなケースでは、いくら注意しても完全に防ぎきることが難しいのが現実です。

マルウェア対策は組織一丸で

以上のような状況を踏まえ、企業・組織がEmotetをはじめとしたマルウェアの被害を防御、あるいは最小限にとどめるためにはどのような対策を講じるべきでしょうか。以下のような例が挙げられます。

マルウェア対策のモデルケース

限りある予算と時間の中で、すべての対策を講じることは困難なので、それぞれの企業・組織の現状に応じて取り組む必要があります。

自企業・組織の位置づけに応じて、今取り組むべき具体的な対策を見つけるには、例えば、右図のようなマルウェア対策のフェーズの視点で検討してみるとよいかもしれません。

スパムメールに対する従業員の知識が全くない組織であれば、標的型メール訓練を行ってリテラシーの向上を図ることから始めるといいかもしれません。従業員教育は行っているけれども、技術的な対策はウイルス対策ソフトを導入しているのみという組織であれば、感染してしまった場合にどのくらいの被害を受けるか調査してみると、優先的に実施すべき対策を検討する糸口となることでしょう。あるいは、メールセキュリティサービスをすでに利用しており、不正アクセス対策にもある程度自信があるという組織であれば、そういったセキュリティ対策が本当に有効に機能しているか、ペネトレーションテストのようなサービスを利用して実際に確認してみることをおすすめします。

マルウェア対策の回答は1つではなく、多層防御がカギとなります。マルウェア課題の解消をお手伝いする、BBSecご提供サービスの一部をこちらにご紹介します。

Emotetご相談窓口開設中！

BBSecでは急増するお問い合わせに対し、Emotet専用ご相談フォームをご用意しています。何かおかしい、気になる、そんな時はすぐご相談ください。

標的型攻撃メール訓練サービス

https://www.bbsec.co.jp/service/training_information/mail-practice.html
※外部サイトへリンクします。

ランサムウェア対策総点検

https://cr.bbsec.co.jp/ransomware
※外部サイトへリンクします。

SQAT^® ペネトレーションテスト

「ペネトレーションテスト」では実際に攻撃者が侵入できるかどうかの確認を行うことが可能です。「ランサムウェア総点検」で発見したリスクをもとに、実際に悪用可能かどうかを確認いたします。

【シナリオ例】疑似マルウェア連携

https://www.sqat.jp/sqat-penetration-test/

IPA情報セキュリティ10大脅威にみるセキュリティリスク―内在する脆弱性を悪用したゼロデイ攻撃とは―

修正パッチが公開される前に、パッチ未適用な状態のソフトウェアやアプリの脆弱性を悪用するゼロデイ攻撃。その脆弱性の数は2021年の年間で前年比約2倍というデータもあることから、警戒が必要になってきています。ゼロデイ攻撃は完全に防ぎきることはできませんが、いまできうる対策としてはどのようなものがあるのでしょうか。本記事では、ゼロデイ攻撃の概要と直近のApache Log4jの脆弱性について紹介しつつ、最善策としてとりうる備えと対策についてご案内いたします。

「情報セキュリティ10大脅威 2022」に
新たに「修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）」がランクイン

2022年1月27日、独立行政法人情報処理推進機構（IPA）は毎年発表している「情報セキュリティ10大脅威」の2022年版を発表しました。そのうち、「組織」における脅威の注目すべき点として、昨年8位だった「インターネット上のサービスへの不正ログイン」に替わるかたちで、新たに「修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）」が7位にランクインしていることがあげられます。

IPA情報セキュリティ10大脅威（組織編） — 出典：独立行政法人情報処理推進機構（IPA）「情報セキュリティ10大脅威 2022 」
（2022年8月29日）組織向け脅威

ゼロデイ攻撃の増加（グラフ） — 出典：ZER0-DAY.cz tracking project「Zero-day vulnerability 2006-2022(comparison)」

ゼロデイ攻撃
修正プログラムが提供される前の、修正パッチ未適用なソフトウェアやアプリの脆弱性（ゼロデイ脆弱性）を悪用した攻撃。2021年は前年と比較して、ゼロデイ脆弱性が約2倍に増加したとするデータもあり、警戒が必要である。ゼロデイ攻撃の場合、修正プログラムが提供された時点ですでに攻撃が行われているため、脆弱性対策に加え、外部からの侵入を検知／防御する機器を導入するなどの備えが重要となる*7

Apache Log4jの脆弱性

特にインパクトが大きかった修正パッチ未適用の脆弱性として、2021年末に話題となったApache Log4jの脆弱性（Log4Shell）があります。常に新しい攻撃手法を探求し続けている攻撃者たちは、すぐにこの重大な脆弱性を悪用し始めました。そして、12月から1月にかけて、Log4Shellを悪用した攻撃として、仮想通貨採掘マルウェアや「Mirai」などのボットネットやバックドアでの悪用、さらには「Conti」などのランサムウェアグループによる攻撃転用が確認されています。

Log4Shell
Javaのログ出力ライブラリであるApache Log4jの深刻な脆弱性。悪用された場合、任意のコードをリモートから実行される恐れがある。すでに世界中で大規模な脅威を及ぼしており、IPA等からもアラートが発表されている。Apache Log4jは広く使われているJavaのログ出力ライブラリであるため、本脆弱性は影響範囲が非常に大きいことが特徴となる。Javaの普及度合いについて情報セキュリティ会社の米Cybereasonは「Apacheソフトウェア財団製プログラムは世界のWebサーバの3分の1が使っている」*2としている。

Log4Shellへの備え
Log4Shellの影響範囲は非常に広いため、2013年以降にリリースされているシステムやソフトウェアなどでJavaを利用している場合は、影響を受けている可能性を前提に対応することが望まれる。影響を受ける製品情報についてはNCSC-NL（オランダ国家サイバーセキュリティセンター）が、GitHubに影響有無を公開しているので、それを参考にするのも有効である。またLog4Shell関連の情報は変化が早いことも特徴である。今日対応できていたものが、明日には対応できていない可能性もあるため、しばらくのあいだ情報収集を欠かさず、影響を受ける製品を使用している場合は、ベンダ情報にしたがってアップデートやワークアラウンドを実施するなどの対策が必要である。情報収集の際には、最新情報をベンダやJPCERT/CC等の信頼できる機関のソースを参照してもらいたい。

Log4Shellを悪用したマルウェアによる攻撃事例

①　仮想通貨マイナーをインストールするマルウェア「Kinsing」による攻撃
　　PCにインストールされてしまうと、個人情報を盗み取られるだけでなく、
　　CPUやメモリの計算リソースを勝手に使い込まれ、端末の処理速度を低下させ、
　　最終的に故障させてしまう恐れがある *3
②　新たなランサムウェアファミリー「Khonsari」による攻撃
　　WindowsのCドライブを除くすべてのファイルが暗号化され、開封しようとすると、
　　身代金支払い要求の記載されたメモ帳が開かれてしまう*4
③　ランサムウェアファミリー「Conti」による攻撃
　　VMware vCenter Server標的にした攻撃において、初期アクセスで侵入されたのち、
　　Log4shellによって、ネットワーク上でランサムウェアを横展開されてしまう*5

ゼロデイ攻撃への対策と備え

サイバー攻撃は近年ますます洗練化・巧妙化しています。また、それに応じて日々新たな脆弱性が発見されており、いつ・だれが攻撃のターゲットになってもおかしくありません。そんな中、増加の兆しを見せているゼロデイ脆弱性を悪用した攻撃は、内在する脆弱性を狙った攻撃のため、実際に攻撃され、インシデントが起こってからでないと自組織のシステムが攻撃されていること自体に気づきにくいという特性があります。

では、この攻撃による被害を未然に防ぐために、どのような対策をとればいいのでしょうか。重要なポイントは、「自システムの状態を知り、必要な対策をとる」ということです。ゼロデイ攻撃は完全に防ぎきることは難しい攻撃です。しかし、事前に対策することで、被害をあってしまった場合の被害を小さくすることは可能です。これにはまず、基本的なセキュリティ対策の実施をすることが前提となります。脆弱性の最新情報を収集し、セキュリティ更新プログラムのアップデートを行うことをはじめ、マルウェア対策にはEDR（Endpoint Detection and Response）による監視も推奨されます。組織の端末を24時間365日体制で監視し、インシデント発生時の初動対応まで実施できるようにしましょう。そのうえで、原因や侵入経路、被害状況などを把握することで、実際に被害にあってしまった場合でも、被害を最小限にすることが可能となります。

Webサイトの脆弱性対策について、SQAT.jpでは以下の記事でご紹介しています。こちらもあわせてご覧ください。
「中小企業がサイバー攻撃の標的に！Webサイトのセキュリティ対策の重要性 ―個人情報保護法改正のポイント―」

Log4Shellなどの深刻な脆弱性を検知するためには、企業等が提供する脆弱性スキャンツールを使用し、リスクを可視化することも重要です。また、安全性を維持するために定期的に診断を実施することも考え方の一つです。これにより、日々変化する脅威に対するシステムのセキュリティ状態を確認できるため、適時、適切な対策を実施することが可能となります。信頼できるセキュリティベンダ・専門家のサポートを検討するとよいでしょう。

BBSecでは

当社では以下のようなご支援が可能です。

脆弱性を悪用した攻撃への備え～自システムの状態を知る

本記事で紹介した「Log4Shell」のような脆弱性は日々新しい脆弱性や関連するアップデートが確認されています。こうした状況の備えとして、BBSecが提供する、デイリー自動脆弱性診断「Cracker Probing-Eyes^®」では、シグネチャの見直しを弊社エンジニアが定期的に行っており、ツール診断による脆弱性の検出結果を、お客様側での簡単な操作で、日々確認、即時に適切な対応をすることが可能になります。新規設備投資不要で、コスト削減にもつながります。

弊社診断エンジニアによる、より広範囲で網羅的な診断を検討している方は、手動で診断する、「SQAT^®脆弱性診断サービス」がおすすめです。

攻撃を受けてしまった場合の対策の有効性の確認

完全に防ぎきることは難しくても、「攻撃・侵入される前提の取り組み」を行うことで、攻撃を受けてしまった場合にも被害を最小化する対策をする、「多層防御」が重要です。詳しくは「APT攻撃・ランサムウェア―2021年のサイバー脅威に備えを―」をご確認ください。

「SQAT^® ペネトレーションテスト」では実際に攻撃者が侵入できるかどうかの確認を行うことが可能です。「ランサムウェア対策総点検」で発見したリスクをもとに、実際に悪用可能かどうかを確認いたします。

Security Report TOPに戻る
TOP-更新情報に戻る

2021年12月8日2024年2月28日

ランサムウェア攻撃に効果的な対策
‐セキュリティ対策の点検はできていますか？‐

これまでSQAT.jpの記事においても何度か取り上げている「ランサムウェア」ですが、攻撃パターンが変化し、なお進化を続け、その被害は国内外ともに2020年よりも増加傾向にあります。いまや完全に防ぐことが難しいランサムウェア攻撃に有効な対策としておすすめしたいのが、「攻撃・侵入される前提の取り組み」です。本記事では、ランサムウェア攻撃の拡大理由を探りながら、企業・組織が行うべき「ランサムウェア対策の有効性検証」について解説します。

現在のランサムウェア事情

海外レポートにおけるランサムウェア事情

2021年10月、米財務省金融犯罪取締ネットワーク（FinCEN）は2021年1月～6月におけるランサムウェア攻撃についてのレポートを発行しました。サイバー犯罪は政府全体で優先的に取り組むべき課題であるとしている中で、特にランサムウェアに関しては懸念される深刻なサイバー犯罪であると強調されています。

FinCENがランサムウェアをそのように注視している背景として、各金融機関から報告された2021年上半期のランサムウェアに関する不審な取引報告数が、2020年の１年間の合計件数よりもすでに多い状態であることや、ランサムウェア攻撃関連の取引総額も2020年の合計額よりもすでに多いことをレポートに挙げています。

出典：Financial Crimes Enforcement Network
「Financial Trend Analysis – Ransomware Trends in Bank Secrecy Act Data Between January 2021 and June 2021」（2021/10/15）

これまでのバックナンバーでも触れてきましたように、ランサムウェアは変遷が激しく、日々新種や亜種が生まれ、大きな勢力を持っていたものですら、すぐに入れ替わってしまいます。

2020年以降のランサムウェアの変貌について、SQAT.jpでは以下の記事でご紹介しています。
こちらもあわせてご覧ください。
「変貌するランサムウェア、いま何が脅威か―2020年最新動向―」
「ランサムウェア最新動向2021―2020年振り返りとともに―」
「APT攻撃・ランサムウェア―2021年のサイバー脅威に備えを―」

このようにランサムウェアがRaaSとしてビジネス化している中で、依然として攻撃件数や被害総額は増えており、ランサムウェアの種類の移り変わりの激しさを見ても、活発な市場であることがわかります。

国内レポートにおけるランサムウェア事情

次は日本国内における最近のランサムウェア攻撃事情もみていきましょう。2021年9月に警察庁が公開した「令和３年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、ランサムウェア攻撃による被害が多発している中で、昨今のランサムウェアは下記のような特徴があるとしています。

二重恐喝（ダブルエクストーション）	データの暗号化だけでなく、窃取したデータを使って「対価を支払わなければデータを公開する」などと二重に金銭を要求する手口
標的型ランサムウェア攻撃	特定の個人や企業・団体を狙って、事前にターゲットの情報を収集し、より確度の高い攻撃手法で実行する攻撃
暗号資産による金銭の要求	身代金の支払いを暗号資産で要求する
VPN機器からの侵入	従来は不特定多数を狙って電子メールを送る手口が一般的だったが、現在はVPN機器からの侵入が増えている

出典：https://www.npa.go.jp/publications/statistics/cybersecurity/data/R03_kami_cyber_jousei.pdfより弊社作成

同報告書によると、2021年上半期に都道府県警察から報告があった企業・団体等のランサムウェアの被害件数は61件であり、前年下半期の21件と比べると大幅に増加しました。被害を受けた企業・団体等は、大企業・中小企業といった規模や業界業種は問わずに被害が報告されている状況です。表でご紹介した昨今のランサムウェアの特徴である二重恐喝は、手口を確認できた被害企業のうち77%で実施され、また暗号資産による支払い請求は90%にもおよびました。

さらにランサムウェアの感染経路に関してもVPN機器からの侵入が55%で最も多く、次いでリモートデスクトップからの侵入が23%となっており、リモートワークが浸透してきた昨今の時勢からみると、まだセキュリティ対応の追いついていない穴をつく攻撃が多いことがわかります。

警察庁が被害を受けた企業・団体等に向けて実施したアンケートによると、被害後、復旧に要した期間は「即時～1週間」が最も多く全体の43%にあたります。次いで多いのは「1週間～1ヶ月」であることから、多くの企業は早々に復旧できているようです。

しかしながら、被害後の調査および復旧時の費用総額を見てみると、最も多いのは「1,000万円以上5,000万円未満」で全体の36%となっています。復旧の期間だけで見ればそれほど被害を大きく感じないところではありますが、調査および復旧時の費用総額を考えると、かなりのコストがかかってしまっているのが実情です。

注：図中の割合は小数点第1位以下を四捨五入しているため、総計が必ずしも100にならない

出典：https://www.npa.go.jp/publications/statistics/cybersecurity/data/R03_kami_cyber_jousei.pdf

またそういったコスト以外にも、ランサムウェアによる被害が業務に与えた影響について、「一部の業務に影響あり」と90%が回答しているものの、被害を受けた企業のうち2件は「すべての業務が停止」したため、もしランサムウェアの被害にあった場合はインシデント対応以外にも業務に支障が出てしまうことも忘れてはいけません。

なぜランサムウェア攻撃が増加していくの

ここまでみてきたとおり、国内外問わず依然として活発となっているランサムウェア攻撃ですが、なぜ拡大していく一方なのでしょうか。その理由として大きくは、下記のことが考えられます。

●　RaaSビジネスとして儲かる市場ができている*6
●　ランサムウェア攻撃をしても捕まりにくく、ローリスクハイリターンの状態である

既述の国外のランサムウェア事情でも触れましたように、ランサムウェアの市場は“稼げるビジネス”として活発であり、ビジネスとして儲けやすい状態にあります。

さらに攻撃者を捕まえるためにはこのように国際協力が必要不可欠であり、最近ようやく法整備などが整いつつある状況ではありますが、未だランサムウェア攻撃者が逮捕されにくいのが現状です。そういった状況からランサムウェア市場は今後も衰えることなく拡大していくことが想定されます。被害にあわないためにも、ランサムウェアを一時的な流行りの攻撃としてとらえるのではなく、今後も存在し続ける脅威だということを念頭において対策を行うことを推奨します。

進化し続けるランサムウェア

先に述べましたようにRaaSビジネス市場の活発さやランサムウェアの特徴の変化など、ランサムウェアは日々目まぐるしいスピードで進化し続けています。それに伴い、実際に被害件数や身代金の被害総額などが増加しているのも見てきたとおりです。また、テレワークやクラウドサービスの利用を緊急で対応した企業が多い中で、昨今のランサムウェアの特徴の一つである「VPN機器からの侵入」がメインの手法となっている今、そこが弱点となり得る企業が多く存在しています。

ランサムウェアの脅威は一時的なものではなく、来年、ないしはその先でも攻撃の手が伸びてくる可能性があることを忘れてはなりません。引き続きテレワーク・クラウド環境のセキュリティの見直しを行うことはもちろん、そういった働き方の変化に伴って増加している標的型攻撃メールやフィッシング攻撃についても警戒が必要です。

企業が行うべきランサムウェア対策の実効性評価

しかしながら、いくら警戒を強めて対策を行っていても、ランサムウェア攻撃を完全に防ぐことは難しいのが現実です。そこでBBsecが提案しているのは、完全に防ぐのではなく、攻撃への抵抗力を高めるという考え方です。そのために重要となってくるのは「攻撃・侵入される前提の取り組み」です。第一段階に侵入を防ぐ対策を行い、第二段階にもし侵入されてしまった場合に被害を最小化する対策を行うことで、多層防御を行うというものです。詳しくは「APT攻撃・ランサムウェア―2021年のサイバー脅威に備えを―」をご確認ください。

また、なかには思い浮かぶ限りの基本的な対策はすでに実施済みという方もいらっしゃるでしょう。そういった方々へ次のステップとしておすすめしているのは、「対策の有効性を検証する」という工程です。

BBsecでは多層防御実現のために「ランサムウェア対策総点検＋ペネトレーションテスト」の組み合わせを推奨しています。

ランサムウェア対策総点検

「ランサムウェア対策総点検」では現状のリスクの棚卸を行うことが可能です。システム環境の確認や、環境内で検知された危険度（リスクレベル）を判定いたします。

また弊社では、11月に「リスクを可視化するランサムウェア対策総点検」と題したウェビナーで、サービスのデモンストレーションとご紹介をしております。こちらも併せてご覧ください。

ペネトレーションテスト

【例】

このように実際に対策の有効性を検証したうえで、企業・組織ごとに、環境にあった対策を行い、万が一サイバー攻撃を受けてしまった場合でも、被害を最小限にとどめられるような環境づくりを目指して、社員一人一人がセキュリティ意識を高めていくことが重要です。

Security Report TOPに戻る
TOP-更新情報に戻る

2021年9月27日2024年2月26日

なにはともあれリスクの可視化を！
―テレワーク運用時代に伴う課題とは―

2021年に入ってからも新型コロナウィルス（COVID-19）の感染拡大は収まることを知らず、外出自粛などの影響により、いまや7割近くの企業・組織にテレワークが導入されています。しかしそこには、緊急事態宣言の発令後、やむを得ず急な対応を迫られた結果、セキュリティ対策が十分にされないままテレワークの導入が進み、様々なリスクにつながってしまっている、という落とし穴があります。

本記事では、テレワーク運用時代における課題を挙げ、対応すべき対策例を考えていきます。

ニューノーマルがニューでなくなった日常

東京都における企業のテレワーク実施率は、2021年8月時点で7割近くにのぼるという報告*2が出ています。

クラウド利用もさらに進み、オンラインによるコミュニケーションやデータ共有、迅速なシステム構築などに活用されています。いまや全国でクラウドサービスを利用している組織は68.7％にのぼるとの調査結果*2もあり、ITビジネス環境に欠かせない存在です。

こうした調査結果は、「ニューノーマル」がもはや私たちの日常となったことを示しているといえるでしょう。

出典：
左図（■東京都内企業のテレワーク実施率）：
東京都産業労働局「8月の都内企業のテレワーク実施状況」（2021年9月3日）https://www.metro.tokyo.lg.jp/tosei/hodohappyo/press/2021/09/03/09.html
右図（■クラウドサービスの利用状況）：
総務省「通信利用動向調査」（令和3年6月18日）
https://www.soumu.go.jp/johotsusintokei/statistics/statistics05.html

テレワーク運用時代の新たなリスク

テレワーク導入期を過ぎ、運用期に入った組織が多数となった現在、新たなリスクが指摘されています。独立行政法人情報処理推進機構（IPA）が2021年4月に公表した「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」では、次のような実態が明らかにされています。

出典：IPA「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」（2021年4月）より当社作成

※BYOD（Bring Your Own Device）…業務に私用の端末を利用すること

例外や特例を継続することによるリスク

多くの組織がテレワーク導入を迫られた2020年、以下のような例外や特例を認めた組織は少なくないようです。

●支給IT機器の調達が間に合わず、利用ルールが整備されないままBYODを容認
●自宅環境からの接続を早急に実現するため、管理外の自宅ルータの使用を許可
●即日使用可能なツールの必要性に迫られ、習熟しないままクラウドサービスを導入　など

テレワークやクラウド利用により機密情報を含む各種データへのアクセス環境が多様化するなか、事業継続優先を理由にやむを得ず許容されたはずの“当座の対応”が、そのままになっていることが問題視されています。置き去りにされたセキュリティ対策が十分に対応されないままだと、以下のような被害につながる危険があります。

◇業務に使用していた私用スマートフォンの紛失による情報漏洩
◇自宅から業務システムへのアクセスに使用していたルータの脆弱性を突いた不正侵入
◇業務利用のクラウドサービスに機密情報が公開状態で保存されていたことによる情報漏洩　など

ギャップが生むサプライチェーンのリスク

出典：内閣府「第3回新型コロナウイルス感染症の影響下における生活意識・行動の変化に関する調査」（令和３年６月４日）

ITサプライチェーン※において、委託先の情報セキュリティの知識不足、という課題も指摘されています。

※サプライチェーン問題については、過去記事「テレワーク導入による開発現場での課題―セキュアプログラミングの重要性―」も参考ください。

確かに、テレワーク導入率は情報通信業が目立って高く、8割近くにのぼるとする調査結果 *3 もあります。システム構築業務が委託および再委託で成り立っている日本の産業界においては、たとえ委託元のシステム開発会社がクラウド利用やテレワーク環境におけるセキュリティポリシーを整備していたとしても、オンラインでデータのやりとりなどをする委託先のセキュリティ意識が十分でないと、ITサプライチェーン全体のリスクにつながる恐れがあるのです。

また、地域における差異も気になるところです。東京23区以外の地域のテレワーク実施率は2割程度*4とのことで、東京とそれ以外の地域では明らかに差があります。もちろん、新型コロナウイルス感染者数の差によるところも大きいでしょう。しかしながら、多くの事業活動が組織単体または地域限定で行われているわけではないため、テレワーク環境が当たり前の組織とそうでない組織の差異は、商習慣、ひいてはセキュリティ対策ギャップにつながりかねず、注意が必要です。

サイバー攻撃者は狙いやすいところを目ざとく見つけて突いてきます。サプライチェーンの中の一組織におけるセキュリティ不備が、そこに連なる様々な地域、規模、業種の関連組織に影響を及ぼしかねません。

まずはリスクの可視化を！

自組織からの情報漏洩を防ぎ、自らの被害ばかりでなくサプライチェーンリスクの起点とならずに済むようにするために、まずはリスクを可視化することを推奨します。

「リスクがどこにあるのか」「そのリスクはどの程度か」を明確にするのです。存在していることに気づいていないリスクを把握するのはもちろんのこと、存在自体は認識していても意図せず放置されたままになっているリスクを確認することも大切です。

リスクが明らかになってはじめて、なにに対してどのように対策を講じるか、すなわち優先的に取り組むべきポイントやそれぞれどの程度手厚く取り組む必要があるかを、具体的に検討することができます。

“なに”を”どう”守るか

リスクの洗い出しにおいては、保護すべき資産は“なに”か、そしてそれらを“どう”守るべきか、という視点で考えます。情報セキュリティリスクにおける保護すべき資産とは、「情報（データ）」です。例えば以下のようなステップを踏んで絞り込んでいきます。

リスクの可視化の重要性

すでにある程度セキュリティ対策は実施済み、という場合にもリスクの可視化は必要でしょうか。

「国内企業のサイバーリスク意識・対策実態調査2020」（一般社団法人　日本損害保険協会、2020年12月）によると、8割以上の組織において「ソフトウェア等の脆弱性管理・ウイルス対策ソフトの導入」が行われているとのことです。確かに、現在、最も代表的なセキュリティ被害の1つがランサムウェア※であることを鑑みると、最低限のセキュリティ対策としてやっていて当たり前という意識が感じられる結果です。

※ランサムウェアについては過去記事「ランサムウェア最新動向2021―2020年振り返りとともに―」も参考ください。

しかし、残念ながらセキュリティ対策にはこれだけやっておけば万事解決、という最適解はありません。インシデントが発生する恐れがゼロではないという現実がある以上、ランサムウェアに感染した場合や、システムに潜む脆弱性を悪用されて攻撃された場合に、どのような影響を受ける可能性があるのか、リスクを可視化しておくべきでしょう。

セキュリティ対策には専門家の力を

組織が抱えるリスクは、業種や規模のほか、サプライチェーンの特性や取り扱う情報の種類、テレワークやクラウド利用といったシステム環境の状況、セキュリティ対策の度合い……といった様々な事情に応じて異なります。まずは、自組織が抱えるリスクは何かを正確に見極め、優先度に応じた対策を検討できるようにすることが重要です。

その際、第三者視点の正確なリスクの検知と評価、そして講じるべき具体的な対策について、的確なアドバイスがほしいものです。ぜひ心強いパートナーとなり得る、リスクアセスメントに精通したセキュリティベンダを探してみてください。

【参考】テレワークに関するガイドライン・参考資料等

●総務省
　「テレワークセキュリティガイドライン第５版」（令和３年５月）
　https://www.soumu.go.jp/main_content/000752925.pdf
　「中小企業等担当者向けテレワークセキュリティの手引き
　（チェックリスト）（初版）」（令和２年９月11日）
　https://www.soumu.go.jp/main_content/000706649.pdf

●経済産業省 / 独立行政法人情報処理推進機構（IPA）
　「テレワークを行う際のセキュリティ上の注意事項」
　（2021年7月20日更新）
　https://www.ipa.go.jp/security/anshin/measures/telework.html
　「テレワーク時における秘密情報管理のポイント(Ｑ＆Ａ解説)」
　（令和２年５月７日）　https://www.meti.go.jp/policy/economy/chizai/chiteki/pdf/teleworkqa_20200507.pdf
　「クラウドサービス利用のための情報セキュリティマネジメントガイドライン 2013年度版」　https://www.meti.go.jp/policy/netsecurity/downloadfiles/cloudsec2013fy.pdf
　「中小企業のためのクラウドサービス安全利用の手引き」
　　https://www.ipa.go.jp/security/guide/sme/ug65p90000019cbk-att/000072150.pdf

●内閣サイバーセキュリティセンター（NISC）
　「テレワーク実施者の方へ」（令和2年6月11日更新）
　https://www.nisc.go.jp/security-site/telework/index.html
　「インターネットの安全・安心ハンドブックVer 4.10」
　（令和2年4月20日）
　https://www.nisc.go.jp/security-site/files/handbook-all.pdf

Security Report TOPに戻る
TOP-更新情報に戻る

2021年6月25日2023年7月20日

APT攻撃・ランサムウェア
―2021年のサイバー脅威に備えを―

2021年の半分が終わりましたが、世界に衝撃を与えたセキュリティに関するトピックスと言えば、「APT攻撃」と「ランサムウェア」の二つが該当するでしょう。本記事ではこの二つのキーワードについて最新の攻撃事例をまとめてご紹介。被害を抑えるために有効な対策の考え方のポイントを解説していきます。

サイバー攻撃の種類

まず、意味を混同されがちな「フィッシング」「標的型攻撃」「APT攻撃」「ランサムウェア」という4つの攻撃についておさらいしましょう。また、過去記事の「サイバー攻撃を行う5つの主体と5つの目的」にも表を掲載しておりますので、あわせてご参照ください。

キーワード	概要
フィッシング	偽サイトやそこに誘導するメール等によって、無差別に被害者が罠にかかるのを待つサイバー攻撃
標的型攻撃	特定のターゲットに的を絞り、実行されるサイバー攻撃
APT攻撃	Advanced Persistent Threatの略。日本語では持続的標的型攻撃などと訳される。長い時間をかけて準備され、継続して行われる非常に高度な攻撃で、発覚に数年かかることもある
ランサムウェア	ファイルを暗号化することで、元に戻す復号化のための身代金を要求するマルウェア（悪質なソフトウェア）

こうしたサイバー攻撃は以前からありましたが、従来無差別に行われていたフィッシングはスピアフィッシングという高度にカスタマイズされた標的型の手法が展開されたり、ランサムウェアもばらまき型から標的型へシフトしたりするなど、近年は明確な目的を持った標的型の攻撃が増加傾向にあります。その中でも、2020年以降、特に取り沙汰されることが多くなったのが「APT攻撃」と「ランサムウェア」の二つです。

「APT攻撃」と「ランサムウェア」

脅威①　APT攻撃

「APT攻撃」の最も大きなトピックスとしては2020年12月に起きたSolarWinds社のOrion Platformに端を発した史上最大規模のサプライチェーン攻撃*5があります。このサイバー攻撃については2021年6月現在でも収束に向けた努力が続けられており、先日もアメリカの政府機関が、ロシア対外情報庁(SVR)が支援する攻撃グループ、「APT29」の関与を発表*2するなどの進展を見せています。

下表は最近報告されたAPT攻撃事例の一部をまとめたものです。

**APT攻撃の報告事例（2020年12月～2021年4月）**
発表時期	関連が疑われる攻撃者	概要
2020年12月	APT29およびロシア対外情報庁	SolarWinds社のOrion Platformへの攻撃に端を発したサプライチェーン攻撃。悪意あるアップデートを介して行われ、多数の政府機関や企業を含めた組織に影響を与えた。
2020年12月	TA453	Charming Kittenなどとも呼ばれる攻撃グループによる、米国やイスラエルの医療専門家を標的にしたフィッシング攻撃*3。12月に確認されたキャンペーンは「BadBlood」という名称で知られている。
2021年1月	APT34	イランが関与しているとされるグループ「APT34」が偽の求人情報を用いてバックドアの新たな亜種を設置する攻撃*4を実施。
2021年3月	APT10およびBlackTech	日本の製造業を狙う攻撃キャンペーン「A41APT」が2019年～2020年に観測された*5。攻撃にはマルチレイヤーローダー「Ecipekac」が用いられた。
2021年3月	中国政府が支援しているとされるAPTグループ	米国、欧州、および東南アジアの主要通信企業をターゲットに5G技術に関連する情報を盗み取ることを目的とした攻撃*6。「オペレーション Diànxùn」と名付けられたスパイキャンペーン。
2021年4月	未発表	Fortinet社のネットワーク製品に組み込まれたFortiOSを狙った攻撃*7。
2021年4月	Tickおよび中国軍「61419部隊」	JAXA（宇宙航空研究開発機構）へのサイバー攻撃および、国内約200の企業への攻撃に関与していると警察庁長官が発表*8した。

APT攻撃を行うグループは、国家規模の支援を受けるグループが多く、その手口も洗練されており、攻撃を受けたとしても気づけず、発覚までに時間がかかることもあるのが特徴の一つです。彼らの多くは、国家的利益や、標的国家に損害を与えることを目的としていますが、少数派ながら金銭目的で活動するグループも存在します。

こうしたグループの場合は、金融機関などを狙うこともあります。彼らは入念に情報を収集し、得た情報を用いてネットワーク上のみならず、人的あるいは物理的な攻撃手段までをも検討し、綿密な攻撃計画を立てたうえで攻撃を行います。そして攻撃を成功させたなら、攻撃が露見しないようにひそやかに活動を続け、長期にわたって被害組織から情報を窃取するなどの攻撃を続けます。彼らは自分たちが攻撃した痕跡を消してしまうこともあるため、一度攻撃を受ければどれだけの期間、どれだけの影響範囲で攻撃を受けていたのかを突き止めるのは困難となります。加えて、APT攻撃グループは入念な情報収集から、標的組織の脆弱な部分を割り出して狙うことが多く、その特性からサプライチェーン攻撃となることもあります。

例えば、特定の複数の金融機関をターゲットとしたものの、セキュリティ対策が強固であったために直接的な攻撃が困難なケースを想定します。しかし、情報収集の段階でそれら金融機関が共通の管理ソフトウェアを使用していることが判明したため、当該ソフトウェアの提供元を攻撃し、ソフトウェアアップデートを改竄することで、標的の金融機関を一斉にマルウェア感染させる、といったサプライチェーン攻撃が実行可能となります。

脅威②　ランサムウェア

一方、「ランサムウェア」についてはアメリカの大手石油パイプライン運営企業のColonial Pipeline社が、ランサムウェアによるサイバー攻撃を受け*9、5日にわたってシステムを停止することになった事件がありました。その結果、ガソリンを求める市民がガソリンスタンドに押し寄る事態に発展し、米運輸省は混乱鎮静のために燃料輸送に関する緊急措置導入を発表*10するなどして対応しました。こうしたことからも、社会インフラを襲ったこのサイバー攻撃の影響度をはかることができます。

**ランサムウェア攻撃の報告事例（2020年12月～2021年6月）**
時期	被害組織	ランサムウェア	概要
2020年12月 2021年1月	教育機関や通信企業等	Cl0p	ファイル転送アプライアンスである「Accellion FTA」の脆弱性を悪用するランサムウェア*11。攻撃グループは、奪取したデータの証拠として機密情報を含むいくつかのファイルを流出させた。
2021年3月	広範囲に及ぶ	DearCry	「WannaCry」に類似したランサムウェアでMicrosoft Exchange Serverの脆弱性を悪用する*12。
2021年5月	Colonial Pipeline	DARKSIDE	攻撃されたことによってシステムが5日間停止した。同社は東海岸へのガソリン、ディーゼル、ジェット燃料の大部分を担っており大きな問題となった。
2021年5月	アメリカ国内の医療機関や警察、自治体	Conti	FBIが昨年1年間でアメリカ国内の医療機関や警察、自治体を標的としたContiによるランサムウェア攻撃を少なくとも16件確認したと発表*13している。
2021年6月	JBS	REvil	ブラジルの食肉加工大手企業JBSのアメリカ部門が攻撃*14された。アメリカやオーストラリアの食肉工場の操業が停止になった。
2021年6月	国内精密化学企業	未発表	同社は6月1日夜に不正アクセスを認識し、2日にランサムウェアによる攻撃であると発表*15した。

ランサムウェアは、その存在自体は前世紀から存在しており、猛威を振るうようになったのは2005年以降ですが、ここ数年で大きく変化しています。2021年現在の主流となっているランサムウェアの特徴の一つがRaaS（Ransomware-as-a-Service）であることです。

これは、ランサムウェアがダークウェブ上で利用できるサービスとして提供されているというものです。RaaSの中には、身代金要求額の算定や、標的選定の支援、提供する開発グループからカスタマーサービスを受けられるものすらあります。RaaSを利用する攻撃者は、得た身代金の何割かを開発者に取り分として渡すことになっている場合もあり、ランサムウェアがビジネスとしてサービス化されています。こうしたサービスの登場により、高度な技術的知識がなくても攻撃者がランサムウェアを扱えるようになり、ランサムウェアビジネスに参入する攻撃者が増加しているとみられています。

また、ダークウェブ上にアップローダーを持つことがトレンドとなっている点も大きな変化です。これは従来のようにただ脅迫するのではなく、攻撃した企業から窃取した情報の一部を用意したアップローダーに公開することで、「身代金の支払いをしなければ、情報を漏えいさせる」と脅し、身代金要求の圧力を強める役割を持っています。こうしたランサムウェアは「二重脅迫型」と呼ばれています。また、「身代金要求に応じなければさらにDDoS攻撃を行う」といった脅迫をするケースも現れており、こうしたものも含めて「他重脅迫型」とも呼ばれることもあります。

現在のランサムウェアは、犯罪ビジネスとして洗練されてきており、今後も攻撃は拡大すると予測されます。

「APT攻撃」と「ランサムウェア」の共通点

国家規模の支援を受けて行われるAPT攻撃と、金銭目的で行われるランサムウェアに、共通点は少ないように思えます。しかし、2021年現在、両者には非常に大きな共通点がみられます。それは資金的・人的リソースが豊富で、高度で洗練された攻撃手法を確立しているという点です。

ランサムウェア市場はRaaSによって参入障壁が下がったこともあり、これまで別の犯罪ビジネスを行っていた組織が参入していると考えられ、また高額な身代金要求によって、豊富な資金が攻撃者の手にわたっています。資金と人的リソースが確保できたことで、ランサムウェア攻撃はさらに高度化が進み、従来の単純な攻撃モデルから、今やAPT攻撃に近しいレベルにまで洗練させたビジネスモデルへと変貌を遂げています。特定の組織や企業を標的としたランサムウェア攻撃の脅威はAPT攻撃に匹敵するものとなっており、より一層の警戒が必要です。

APT攻撃・ランサムウェアに有効な対策

APT攻撃にせよ、ランサムウェアにせよ、いまや完璧な防御を望むのは困難となっています。こうした脅威への対策における重要なポイントは２つあります。

① 「攻撃・侵入される前提」で取り組む
　こちらについては、「拡大・高度化する標的型攻撃に有効な対策とは
―2020年夏版」にある「侵入」「侵入後」の対策の確認方法もあわせてご覧ください。

侵入への対策目的：システムへの侵入を防ぐ		侵入後の対策目的：侵入された場合の被害を最小化する
・多要素認証の実装・不要なアカウント情報の削除（退職者のアカウント情報など）・公開サーバ、公開アプリケーションの脆弱性を迅速に発見・解消する体制の構築・VPNやリモートデスクトップサービスを用いる端末・サーバのバージョン管理（常に最新バージョンを利用）・ファイアウォールやWAFによる防御など		・社内環境におけるネットワークセグメンテーション・ユーザ管理の厳格化、特権ユーザの限定・管理（特にWindowsの場合）・侵入検知（IDS/IPSなど）、データバックアップといった対策の強化・SIEMなどでのログ分析、イベント管理の実施・不要なアプリケーションや機能の削除・無効化・エンドポイントセキュリティ製品によるふるまい検知の導入
対策の有効性の確認方法
・脆弱性診断・ペネトレーションテスト		・ペネトレーションテスト

②侵入を前提とした多層防御が重要
　あらためて、多層防御の状況を点検し、攻撃耐性を高めていくことが求められています。こちらについては、「高まるAPT攻撃の脅威」もあわせてご覧ください。

・標的型攻撃メール訓練等による社員のセキュリティ
・教育インシデント時の対応フロー・ポリシー・ガイドラインの整備策定・見直し
・情報資産の棚卸

今年は1年延期されていた東京オリンピック/パラリンピックの開催が予定されています。こうした世界的イベントはサイバー攻撃の恰好の標的であり、攻撃者にとっては準備期間が1年余分に確保できていたことにもなります。セキュリティ対策が不十分な組織は、7月から8月にかけて発生が予想される様々なサイバー攻撃に対して脆弱となり得る可能性があります。攻撃・侵害されることが前提の時代において、被害を受けてから慌てて対応するのではなく、予防的対策をしっかり行い、かつセキュリティ事故発生時に影響を最小限に抑えられる体制および環境作りを心掛けましょう。

参考情報：
https://www.jpcert.or.jp/research/apt-guide.html
https://www.ipa.go.jp/archive/security/security-alert/2020/ransom.html

BBSecでは

当社では以下のようなご支援が可能です。

＜侵入前・侵入後の対策の有効性確認＞

＜APT攻撃・ランサムウェアのリスクを可視化＞＋
＜資産管理＞

＜セキュリティ教育＞

標的型攻撃メール訓練

Security Report TOPに戻る
TOP-更新情報に戻る

2021年4月12日2024年2月26日

ランサムウェア最新動向2021
―2020年振り返りとともに―

昨年11月の記事「変貌するランサムウェア、いま何が脅威か -2020年最新動向」では、最近のランサムウェアは「Ransomware-as-a-Service」（通称「RaaS」）と呼ばれる形態が主流となっている、という現状をお伝えしました。本記事は2021年に新たに登場した様々な特徴や攻撃バリエーションを持つランサムウェアの最新情報をご紹介するとともに、2020年のニュースを振り返り、改めてランサムウェア対策に有効な対策を考えます。

ランサムウェア感染を招くマルウェア「Emotet」の猛威と終焉

ボット型マルウェアEmotetは、メール添付ファイルを主とする手法で感染させたPCのメールアカウントやアドレス帳などを窃取して感染拡大を図り、さらなるマルウェアに感染させるという多段階攻撃を行っていたことが確認されています。このため、Emotet感染をトリガーとするランサムウェア攻撃を多く生み出しました。

2019年から2020年にかけて世界的な流行を見せたEmotet*16は、2021年1月、欧州刑事警察機構（Europol）と欧州司法機構（Eurojust）を中心とした欧米各国による共同作戦「Operation LadyBird」によって制圧されました。*2

残存するEmoteの影響は？

Emotetインフラは無害化されましたが、その脅威がなくなったわけではありません。制圧前にすでに感染していた端末が多数存在する可能性があるためです。実際、各国法執行機関からの情報によると、制圧後の2021年1月27日時点で、日本のEmotet感染端末による約900IPアドレスからの通信が確認されたとのことです（下図）。

すでに感染している場合、端末やブラウザに保存された認証情報、メールアカウントとパスワード、メール本文とアドレス帳データの窃取、また、ランサムウェアなど別のマルウェアへの二次感染といった被害が発生している恐れがあります。

Emote感染端末への対応

2021年2月5日以降、感染したコンピュータ名の情報も提供されるようになったため、総務省、警察庁、一般社団法人ICT-ISACは、ISP（インターネットサービスプロバイダ）各社と連携してEmotet感染端末の利用者に注意喚起する取組を実施しています。*3https://notice.go.jp/Emotet該当する通知を受けた場合にとるべき対応は次のとおりです。

◆　JPCERT/CC「マルウエアEmotetへの対応FAQ」を参照の上、
　　EmoCheckにより感染有無を確認し、感染していた場合はEmotetを停止させる
◆　メールアカウントのパスワードを変更する
◆　ブラウザに保存されていたアカウントのパスワードを変更する
◆　別のマルウェアに二次感染していないか確認し、感染していた場合は削除する

「情報セキュリティ10大脅威 2021」(組織編)
でランサムウェアが1位に

IPA「情報セキュリティ10大脅威 2021」組織向け脅威のランキングの表 — 出典：IPA「情報セキュリティ10大脅威 2021」https://www.ipa.go.jp/security/10threats/2021/2021.html
https://www.ipa.go.jp/security/10threats/ps6vr7000000bn90-att/000088835.pdf

ランサムウェアに話を戻しますと、独立行政法人情報処理推進機構（IPA）より発表された「情報セキュリティ10大脅威 2021」（組織編）で、「ランサムウェアによる被害」が1位に躍り出ました（昨年5位）。以下のような実情が脅威度アップにつながったと考えられます。

●　「二重の脅迫
　　（暗号化＋情報の暴露）」の台頭
●　特定の標的を狙った進化型の登場
●　新たな攻撃手法による標的対象の拡大

ランサムウェアによる二重の脅迫

身代金要求の条件として、従来の「データの暗号化」に加えて、暗号化前に窃取した「データの暴露」という2段階の脅迫を行う手法です。

米国セキュリティ企業はじめ、複数の企業を襲ったMaze、新型コロナウイルスの話題に便乗したフィッシングメールなどにより各国政府やインフラ事業、教育機関を中心に被害をもたらしたNetwalker。そして、暗号化による脅迫のみで使用されていた従来のランサムウェアの数々も二重の脅迫を行うようになり、実際にデータが暴露されるに至ったケースも見られます。*4「暴露型」は、もはやランサムウェアの常套手段となりました。

特定の標的を狙った進化型ランサムウェア

不特定多数に対するばらまき型でなく、特定の企業・組織を狙った標的型攻撃ツールとして使用する手法です。

2020年6月に国内自動車メーカーの社内システムが、EKANSの攻撃を受け、日本を含む各国拠点で一時生産停止に陥るなど大きな被害がありました。*5同インシデントの調査を行ったセキュリティ企業によると、同社の社内ネットワークで感染拡大するよう作りこまれていたことが確認されており、*6当該企業を狙った標的型攻撃だったことがわかります。

続く7月には、別の国内自動車メーカーの取引先が、Mazeに感染した*7http://www.tmw-integral.com/と報じられ、同自動車メーカーを標的としたサプライチェーン攻撃であることがうかがえました。

さらに、2020年11月に公表された国内ゲームメーカーに対するRagnar Lockerによる攻撃では、二重の脅迫の結果、攻撃者により相次いで情報が公開（暴露）されました。最大約39万人分の個人情報流出の可能性があるとした報告の中で同社は、「オーダーメイド型ランサムウェアによる不正アクセス攻撃」と述べており、*8これもまた、巧妙に仕組まれた標的型攻撃といえます。

新たな攻撃手法をとるランサムウェア

様々な特徴や攻撃バリエーションを持つランサムウェアが新たに登場しています。以下に紹介するのは、そのほんの一部です。

Avaddon 2020年国内宛に多数のスパム拡散を確認	Nefilim 主にMicrosoftのRDPの脆弱性を突いて重要インフラを狙う	Tycoon VPNツールの不備を突いて教育機関や政府機関を攻撃
Egregor 停止したMazeの後継ともいわれ世界の大手企業が次々被害に	EKANS 制御システムを停止させる機能で製造業など工場系に特化	DoppelPaymer 重要インフラへの被害急増にFBIも注意喚起

ランサムウェアは手を替え品を替え、次々に新種や亜種が生まれ続けています。例えば、2021年3月、Microsoft Exchange Serverについて報告された4件のゼロデイ脆弱性*9を利用したサイバー攻撃が活発化しましたが、その中の1つに、中国に関係する攻撃グループによる新種のマルウェア「DearCry」を利用したキャンペーンがあり、主に米国やカナダ、オーストラリアに存在する多くの脆弱なメールサーバが感染の被害を受けたとされています。

ランサムウェア市場の活況

2020年における世界のランサムウェアの被害額は200億米ドルに及ぶとするデータ*10があり、ここ数年、うなぎのぼりです（棒グラフ）。要求される身代金は1件平均17万米ドルにのぼるとの調査結果（2020年）*11も公表されています。

ランサムウェアを活発にしている原因の1つに、RaaS（Ransomware-as-a-Service）の存在が挙げられます。2020年のランサムウェア攻撃における攻撃元の6割以上をRaaSが占めているとするデータ*12もあります（円グラフ）。

Group-IBによるランサムウェア調査レポートの棒グラフ（ランサムウェア被害額）と円グラフ（ランサムウェア攻撃元）

専用サイトやコミュニティにより、犯罪グループなどにランサムウェアを提供して互いに利益を生み出す市場が成り立っています。金額、技術、サービスのレベルは様々で、単にランサムウェア自体をリースや売買するだけでなく、身代金ステータスを追跡できる仕組みや犯罪を実行するにあたってのサポートなども提供されている模様です。技術的なスキルがなくても容易にランサムウェアを拡散させることができるほか、カスタマイズを通じた亜種の誕生にもつながっていると思われます。

企業が行うべきランサムウェア対策とは？

2021年、ランサムウェアは実質的にサイバー攻撃手段第一の選択肢となっており、その脅威がますます高まることは間違いありません。では、組織・企業はこれにどう立ち向かえばよいのでしょうか。

ランサムウェアを含むマルウェアの感染経路は様々ありますが、総務省が中心となって運用するマルウェアの感染防止と駆除の取組を行う官民連携プロジェクト「ACTIVE（Advanced Cyber Threats response InitiatiVE）」では、以下のように分類しています。

マルウェアの感染経路の分類タイプ（Web閲覧感染型・Web誘導感染型・ネットワーク感染型・メール添付型・外部記憶媒体感染型） — 出典：ACTIVEホームページ（https://www.ict-isac.jp/active/security/malware/）

こうした感染経路や本稿で紹介したような手口に対する防御、および感染した場合を想定した以下のような対策が重要です。

◆　標的型攻撃メール訓練の実施
◆　定期的なバックアップの実施と安全な保管（別場所での保管推奨）
◆　バックアップ等から復旧可能であることの定期的な確認
◆　OSほか、各種コンポーネントのバージョン管理、パッチ適用
◆　認証機構の強化
　（14文字以上といった長いパスワードの強制や、多要素認証の導入など）
◆　適切なアクセス制御および監視、ログの取得・分析
◆　シャドーIT（管理者が許可しない端末やソフトウェア）の有無の確認
◆　標的型攻撃を受けた場合に想定される影響範囲の確認
◆　システムのセキュリティ状態、および実装済みセキュリティ対策の有効性の確認
◆　CSIRTの整備（全社的なインシデントレスポンス体制の構築と維持）

ランサムウェア特有の対策もさることながら、情報セキュリティに対する基本的な対策が欠かせません。また、セキュリティ対策は一過性のものではなく、進化し続けるサイバー攻撃に備えて、定期的に確認・対応する必要があることも忘れてはならないでしょう。

Security Report TOPに戻る
TOP-更新情報に戻る

2020年12月8日2024年2月26日

狙われる医療業界
―「医療を止めない」ために、巧妙化するランサムウェアに万全の備えを

いま、医療機関を標的としたランサムウェア攻撃が増え続けています。
足元で顕著になっているのは、攻撃による被害インパクトが大きい特定のシステム・事業を狙い、「より確実に、より高額の」身代金を得ることをもくろむ、手の込んだ持続的な攻撃です。事業継続に直結するシステムや機微情報等が保存されているシステム、事業が中断・停止した場合に甚大な影響をもたらす重要インフラなどが標的にされやすく、医療機関のシステムはその最たるものといえます。本記事では、医療機関を狙うランサムウェアの現状を紹介し、取りうる対策について考えます。

勢いづく攻撃、日本も「対岸の火事」ではない

米国では、2020年秋、数週間のうちに20を超える医療機関でランサムウェア攻撃が確認されました。*13下記にその一部を紹介しますが、パンデミック下で医療現場が逼迫（ひっぱく）する中、追い打ちをかけるように攻撃の勢いが増しているのです。10月末には、米CISA、FBI、米保健福祉省が共同でセキュリティ勧告を発する事態となっています（後述）。

表1：医療機関を狙ったランサムウェア被害（一部）

2020年9月	Universal Health Services（米国の医療サービス最大手）がシステム停止*2
	ニュージャージー州の大学病院が患者データを暗号化され、一部データを不正に公開される*3
2020年10月	オレゴン州の病院でコンピュータシステムが使用不能に*4
	ニューヨーク州の複数の病院でシステムが使用不能に*5

なお、日本では2018年10月、近畿地方の公立病院がランサムウェア攻撃の被害を受け、一部の患者カルテ情報が暗号化されてしまい、診療記録等の参照ができない状況に陥りました。今後攻撃者がターゲットを広げ、米国のように日本国内でも被害が活発化するのは、もはや時間の問題かもしれません。

攻撃者はなぜ医療業界を狙うのか

もちろん、攻撃を受けた場合の被害インパクトが大きい（＝高額の身代金を設定し得る）重要インフラとみなされるのは、医療のみではありません。日本では、医療のほか、情報通信、金融、航空、空港、鉄道、電力、ガス、政府・行政サービス、水道、物流、化学、クレジット、石油という、計14分野が重要インフラと位置づけられています。では、なぜ攻撃者は医療業界に目をつけるのでしょう。それは、次のような特徴があるためです。

患者に関する情報はブラックマーケットで特に高額で売買される
「事業の停止が直接生命に関わる」という点が、身代金要求に応じさせるうえでの強力な要因になる
地域医療連携など医療機関同士のやり取りでは、インターネットVPNやインターネット（TLS 1.2）、またはIP-VPN（地域医療連携専用閉域ネットワーク）が採用されており、連携先の端末のセキュリティ対策がされていない、情報共有が上手くされていないという課題がある
診断・医療に用いられるシステムは多くの場合非常に高額で長期使用を前提として作られており、コスト・技術的理由などから、古いまま使われ続けている傾向がある
情報セキュリティの三要素（C（機密性）、I（完全性）、A（可用性））のうち、医療では可用性が何よりも重視される傾向があり、相対的に他の2要素への対応がおろそかになりがち

また、昨今の医療情報は、患者のデータだけではなく、IoT等の新技術やサービス等の普及により、様々な端末とつながっている場合があり、攻撃者側からすれば、「カネになるビジネス」として狙われるターゲットとなり得ます。

なお、弊社が2020年8月、国内のIT担当者を対象に実施した「脆弱性管理に関するアンケート」の結果では、医療業界は、情報システム部門を持たず別部門の担当者が兼務している状況が他業種よりも顕著で、かつ、情報システム部門を有する場合もその規模が小さいことが明らかになっています。セキュリティへの対応に十分なリソースを避けないという構造的な問題も、攻撃者を引き付ける一因といえるでしょう。

【参考情報】
医療機関では古いシステムが使われ続けている傾向が強い

新型コロナウイルス感染症拡大に伴い利用が急増しているG SuiteやMicrosoft 365については、セキュリティのチェックリストや推奨設定例が公開されていますので、以下にご紹介します。古いシステムが使われ続けているという傾向に関し、医療システムに関する世界最大規模の業界団体HIMSS（Healthcare Information and Management Systems Society）による年次調査の結果を紹介しましょう（下図）。組織内で何らかの旧式化したシステム（レガシーシステム）を使っている、という回答は、2020年において8割に達しています。最も多いのはWindows Server 2008で50%の組織に存在、昨年サポートが終了したWindows 7は49%、さらに前の世代のWindows XPは35%です。この業界が攻撃者に特に好まれることに納得する結果といえないでしょうか。

「2020 HIMSS Cybersecurity Survey」より
出典：https://www.himss.org/sites/hde/files/media/file/2020/11/16/2020_himss_cybersecurity_survey_final.pdf

なお、身代金目的とは異なりますが、このパンデミック下、ワクチン開発競争を背景に研究情報を狙った国家ぐるみのサイバー攻撃が活発化しているという点も、医療機関に対する攻撃増加の追い風になっているとみられます。

ランサムウェア攻撃の変貌2020

従来のランサムウェアでは、ウイルスを添付したメールのばらまき、悪意あるWebページへの誘導などにより、不特定多数を対象に広範な攻撃を行うことで身代金獲得を狙う、というやり方が主流でした。現在も依然としてそうした形の攻撃は存在しますが、前述のように、「より確実に、より高額の」身代金を獲得することを狙った変化が目につきます。最近のランサムウェアの特徴として指摘されているのは主に次の2点です。

人手による攻撃 ‐標的を定めて周到に準備‐

ランサムウェアを自動化されたやり方で幅広くばらまくのではなく、特定の組織を標的にして手動で侵入を試み、侵入成功後はネットワーク内に潜伏してさまざまな活動を行い、攻撃の成果を最大化することを狙います。こうした人手による攻撃には、APT（Advanced Persistent Threat：持続的標的型攻撃）との類似点が多く、その結果、ランサムウェア攻撃への対策にはAPTと同水準の取り組みが求められるようになっています。

二重の脅迫 ‐より悪質なやり方で被害者を追い詰める‐

「身代金を払え」という脅迫に加え、「身代金を支払わないと機密データを公開するぞ」という脅迫を重ねて行い、支払いを迫ります。実際にデータを公開されてしまったという事例が複数確認されているほか、データが破壊されてしまったケースも出ており、攻撃を受けた場合のダメージの大規模化、深刻化がみられます。現在、こうした特徴を持つ新しいタイプのランサムウェアがいくつも生み出され、世界各地で猛威を振るっているのです。詳細については「変貌するランサムウェア、いま何が脅威か‐2020年最新動向‐」にまとめていますので、ぜひこちらもあわせてご覧ください。

ランサムウェア対策への取り組み ‐医療情報システムに関するガイドライン‐

先に触れたとおり、ランサムウェア攻撃の活発化を受け、米CISA、FBI、米保健福祉省はセキュリティ勧告「Ransomware Activity Targeting the Healthcare and Public Health Sector」を公表しました。同勧告では、各種ランサムウェアの分析結果を踏まえ、下記のようなベストプラクティスを提示しています。

図：ネットワークセキュリティ・ランサムウェア対策に関するベストプラクティス

*「Ransomware Activity Targeting the Healthcare and Public Health Sector」より*

こうしたベストプラクティスを遂行するうえで重要なのが、ステークホルダー間の効果的な連携です。医療機関では、部門や職務によって異なる企業の製品やサービスが用いられており、システム連携はしばしば複雑です。いま、医療業界が攻撃者の明確な標的となる中、医療機関、および医療機関向けにサービスや製品を提供する事業者は、自らの責任範囲を理解したうえで、これまで以上に緊密な連携を図り、システムのセキュリティ強化に取り組んでいく必要があります。

なお、日本においては、医療情報システムの安全管理に関し、技術・制度的な動向を踏まえてガイドラインの継続的な策定・更新が行われており、現時点で医療機関、事業者のそれぞれを対象とした下記2種が提示されています。責任分界点の考え方や合意形成の考え方など、連携をより効果的にするための課題も取り上げられており、目を通しておきたい資料です。

表2：医療情報システムの安全管理に関するガイドライン

1）	厚生労働省「医療情報システムの安全管理に関するガイドライン」（第5版、2017年5月）	対象読者は、医療情報システムを運用する組織の責任者医療情報の扱いを委託したり情報を第三者提供したりする場合の責任分界点の考え方を示し、医療システムを安全に管理するために求められる対応を規定
2）	経産省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」（2020年8月）	対象読者は、医療システムやサービスを提供する事業者。なお、医療機関等と直接的な契約関係のない事業者も医療システム等のサプライチェーンの一部として機能している場合、このガイドラインの適用範囲となる事業者に求められる義務と責任の考え方、医療機関等への情報提供と合意形成の考え方、リスクマネジメントの実践やリスク対応のための手順などを規定

APTと同水準の対策を立て、全方位での備えを

繰り返しになりますが、現在活発化しているランサムウェア攻撃の手口は高度かつ執拗です。守る側には、従来よりも踏み込んだ、APTと同水準の対策が求められます。そこで鍵になるのは、「侵入される」「感染する」ことを前提とした取り組みです。想定される被害範囲をあらかじめ洗い出し、優先順位をつけて対策をとりまとめていくことで、万一攻撃を受けた場合でもその被害を最小化することが可能になります。

なお、こうした対策を立てるにあたっては、セキュリティ専門企業が提供しているサービスもうまく活用しましょう。たとえば、想定される被害範囲を把握する際は、システムへの擬似攻撃等をメニューに含んだサービスを利用すると、精度もスピードも高められるでしょう。激化するランサムウェア攻撃から医療システムを守るため、医療機関、関連事業者をはじめとするステークホルダーが連携し、全方位的なセキュリティに取り組むこと。それは、日々現場で闘う医療者を支えるための社会的ミッションともいえるでしょう。

Security Report TOPに戻る
TOP-更新情報に戻る

2020年11月24日2024年2月26日

変貌するランサムウェア、いま何が脅威か
―2020年最新動向―

データ等を不正に暗号化し、「身代金（Ransom）」を支払うよう個人や企業を脅迫・恐喝するランサムウェア。近年世界各地で猛威を振るい、日本国内での被害も複数報じられています。本記事では、そのランサムウェアをめぐる最新情報をご紹介します。なお、ランサムウェアに関する基本的情報については、「ランサムウェアその被害と対応策、もし感染したら企業経営者はどう向き合うべきか」をご参考ください。

ランサムウェア特集2021年版を公開しました！
2021年の最新動向については、「ランサムウェア最新動向2021
―2020年振り返りとともに―」をご覧ください。

ランサムウェアの現状

現在のランサムウェアは、「Ransomware-as-a-Service」（通称「RaaS」）と呼ばれる形態、すなわち、ランサムウェアそのものを提供するのではなく、サービスとして犯罪行為を提供する形態が主流となっています。また、従来のメールのばらまきやワームによる拡散のように機械的にランサムウェアをばらまく方式に加えて、攻撃者が手動で侵入し、ネットワーク内で慎重に被害範囲を拡大させて攻撃の影響を最大化する「人手によるランサムウェア攻撃（human operated ransomware attacks/campaigns）」が増えています。人手によるランサムウェア攻撃の手法には、APT（Advanced Persistent Threat：持続的標的型攻撃）との類似点が多く、APTへの対策がそのままランサムウェア攻撃への対策となりつつあるという現状があります。

また、単に身代金の支払いを要求するだけではなく、身代金を支払わなかったらデータの暴露を行うと脅すタイプのランサムウェア（とその犯行グループ）もあり、身代金を支払ったにもかかわらずデータが暴露されてしまったケースも出ています（なお、こうした犯行では、データを暴露するサイトがダークウェブに開設されています）。さらに、一部のランサムウェアはデータ破壊の機能も備えているため、以前にもましてオフラインバックアップの重要性が増しているともいえます。

身代金の額も年々上昇しており、ENISA（欧州ネットワーク情報セキュリティ庁）の2020年版年次レポートによると、2019年に支払われたと推計される身代金は100億ユーロ（約1.2兆円）を超えました。その他、各種調査機関の四半期レポートでも、2020年はさらに身代金の支払い額が増えていることが報告されています。

このような状況下においては、サイバー保険が一層重要性を増し、多くの企業ではランサムウェア等の被害からの復旧を前提として契約を行っていると考えられます。しかし、スイスの保険会社の米法人がランサムウェア攻撃をサイバー保険の免責事項にあたる戦争に該当するとして支払いを拒否したことから、現在係争中となっているケースがあり、「サイバー保険を掛けていれば大丈夫」と言い切れない点に注意が必要です。

各種ランサムウェアの概要

現在、活況を呈しているともいえるランサムウェア。2020年の時点でどのようなランサムウェアが確認されているのでしょう。主なものを以下に紹介していきます（類似の特徴を持つランサムウェアは、ランサムウェアファミリーとして、まとめて解説しています）。

REVil/Sodinokibi

＜概要＞
REVil、またの名をSodinokibi（またはSodin）。当初はアジア圏を中心に、現在は地域を問わず多くの被害が確認されているRaaSです。アフィリエイトプログラムも盛んで、支払われた身代金の30%～40%をアフィリエイトに支払っているとも言われ、組織的な犯行であることが知られています。2019年に活動停止を宣言したランサムウェアGandCrabのコードとの類似性が高いこと、身代金の支払いを行わなかった場合にデータの暴露を行う脅迫を行うことでも知られています。このランサムウェアファミリーの初期アクセス活動は、標的型フィッシングメールによるもののほか、リモートデスクトップサービス（RDP）やVPNゲートウェイなどの脆弱性を悪用したケースもあります。

＜被害事例＞
2020年1月に英・外貨両替商が被害を受け、230万米ドル（約2億5千万円）の身代金が支払われました。この事例では、脆弱性が修正されていないVPNサーバ「Pulse Connect Secure」が攻撃の足掛かりにされたことが知られています。

Nephilim/Nefilim

＜概要＞
このランサムウェアは、身代金の支払いと、身代金の支払いを行わなかった場合のデータ暴露という二重の脅迫を行うことで知られています。2020年6月にニュージーランドのCERTが公開した注意喚起によると、Cirtix ADCなどの脆弱性（CVE-2019-19781、2020年1月に修正プログラム公開済み）を悪用したり脆弱な認証機構を突破したりすることにより不正アクセスを行った後、Mimikatz、psexec、Cobalt Strikeなどのツールを利用して権限昇格や横展開を行って永続性を確保し、その後、このランサムウェアによるファイルの暗号化と身代金の要求が行われます。

＜被害事例＞
日本企業の豪子会社で2020年1月と5月の二度にわたってランサムウェアの被害が発生しましたが、そのうち5月に発生した被害がNefilimによるものであるとされています。なお1月のランサムウェア被害は、次に紹介するNetWalkerによるものでした。

NetWalker/Mailto

＜概要＞
主に欧米諸国とオーストラリアの企業をターゲットとしたランサムウェアで、他のランサムウェア同様に、身代金の支払いと、身代金の支払いを行わなかった場合のデータ暴露という二重の脅迫を行います。初期アクセスはRDP、標的型フィッシングメール、古いバージョンのApache TomcatやOracle WebLogic Serverへの攻撃により行われます。一方、侵入後の権限昇格にはSMBv3の脆弱性（CVE-2020-0796）などの脆弱性が用いられます。

＜被害事例＞
直近の事例では2020年10月にイタリアのエネルギー会社が被害を受け、1400万米ドル（約1億5千万円）の身代金を要求されたという報道*6があります。5TBほどのデータが暗号化されたうえ、持ち出された可能性があり、身代金を支払わない場合にはデータを暴露するという脅迫も受けています。

Ryuk/Conti

＜概要＞
Ryukは2019年に猛威を振るったランサムウェア、Contiは2020年に登場したランサムウェアで、類似性が指摘されています。いずれも北米での被害、それも公的機関や医療機関での被害が多い点に特徴があり、他のマルウェア（Trickbotなど）を介して侵入したのちデータの暗号化と持ち出し、身代金の要求を行います。Contiについては、身代金の支払いを拒否した組織のデータの暴露を行っており、EDRのフッキングをバイパスすることも報告されています。

＜被害事例＞
Contiについては2020年10月に米マサチューセッツ州とジョージア州の医療機関で被害があり、データの暴露が行われたことが確認されています。Ryukに関しては、米CISAが、医療機関での被害を受け、TrickbotおよびバックドアマルウェアであるBazarLoader/BazarBackdoorと合わせての注意喚起を行っています。

ChaCha/Maze/Sekhmet/Egregor

＜概要＞
ChaChaにルーツを持つランサムウェアがMazeで、SekhmetやEgregorはその亜種として位置づけられています。REVil/Sodinokibi同様にアフィリエイトモデルを採用している点に特徴があり、複数のグループが連動して動いているとされています。2020年11月、国内大手企業の被害により日本でも名を知られるようになったRagnar Lockerも、過去にアフィリエイトとして協力関係にあったといわれています。身代金の要求に加えて、支払いを拒否した場合のデータ暴露の脅迫を行う点もREVil/Sodinokibiと共通する点です。被害が発生しているのは特定の地域に限らず、世界規模と言っていいでしょう。Mazeでは、多様なエクスプロイトツールやマルウェアとの組み合わせで初期アクセスや横展開などが行われています。

＜被害事例＞
スイスのサイバー保険大手が2020年3月に被害を受けた事例や、2020年4月の米国の航空機メンテナンス会社の事例などが挙げられます。後者については、Mazeによるデータの窃取と公開を行ったうえで、攻撃後もターゲットのネットワーク内に潜伏し、データを摂取し続けていたことが判明しています。

その他のランサムウェア

Avaddon：botnetによりフィッシングメールが送信される点に特徴があるランサムウェア。RaaS。身代金要求に加えてデータ暴露の脅迫も行う。
CL0P：オランダの大学などが被害に遭ったランサムウェア。データ暴露のためのサイトを持っている。なおオランダの大学では身代金を支払ったことで復号鍵を入手し、データを復号化できた。
Dharma：侵入経路がRDPというオーソドックスなRaaS。MimikatzやLaZagneなどの追加のツールを使い、横展開する。
DopplePaymer：ランサムウェア「BitPaymer」をルーツに持つ。新型コロナウイルス（COVID-19）に関連したフィッシングメールを用いること、botnetやマルウェア感染させたインストーラなど多様な初期アクセスが確認されている点などが特徴。
Ragnar Locker：2020年11月に国内大手企業が被害を受けたランサムウェア。他のランサムウェアオペレータと協力して攻撃が行われる点に特徴がある。
WastedLocker：2020年7月、ウェアラブルデバイスやGPSの測位システムを提供する米企業への攻撃に用いられたランサムウェア。ロシアのサイバー犯罪組織・Evil Corpとの関連が指摘されている。

今後求められるランサムウェア対策とは

冒頭でも触れたとおり、今やランサムウェア攻撃はAPT（持続的標的型攻撃）と同様の戦術を用いるものとなっています。ランサムウェア攻撃とAPTの違いはもはや、攻撃者の最終的な目標が身代金をはじめとする金銭か、そうでないのか、という1点にしか過ぎないといえます。

「APTは国レベルのサイバー攻撃だから自分たちには関係ない」と思っていたとしたら、その認識を改める必要があります。今はランサムウェア攻撃でAPTと同じ手法が使われ、長期にわたる準備期間を経てデータを人質に取られ、身代金を要求される可能性がある―そんな時代になってしまったのです。

人手によるランサムウェア攻撃やAPTに対する対策は非常に複雑です。「今後いつ攻撃を受けることになるかわからない」という前提で、まずは自組織のシステムが攻撃者から見てどのような状態にあるか、現状を知ることが必要になります。セキュリティコンサルタントによるリスクアセスメントやペネトレーションテストによるリスクの洗い出しを行って、攻撃を受けた場合にどのような影響が起こりうるかを把握することを推奨します。

リスクアセスメントやペネトレーションテストなど今すぐには難しい、という場合は、初期アクセスに最も頻繁に用いられる標的型攻撃メールの訓練、公開Webアプリケーションの脆弱性診断、侵入された後の対策として重要なマルウェアによる横展開リスクの診断など、できることから少しずつでも手を付けていくアプローチをぜひ検討してください。

参考情報：
https://www.ipa.go.jp/archive/security/security-alert/2020/ransom.html
https://www.enisa.europa.eu/publications/ransomware
https://www.ipa.go.jp/archive/files/000084974.pdf

Security Report TOPに戻る
TOP-更新情報に戻る

Avaddon 2020年国内宛に多数のスパム拡散を確認	Nefilim 主にMicrosoftのRDPの脆弱性を突いて重要インフラを狙う	Tycoon VPNツールの不備を突いて教育機関や政府機関を攻撃
Egregor 停止したMazeの後継ともいわれ世界の大手企業が次々被害に	EKANS 制御システムを停止させる機能で製造業など工場系に特化	DoppelPaymer 重要インフラへの被害急増にFBIも注意喚起

1）	厚生労働省「医療情報システムの安全管理に関するガイドライン」（第5版、2017年5月）	対象読者は、医療情報システムを運用する組織の責任者医療情報の扱いを委託したり情報を第三者提供したりする場合の責任分界点の考え方を示し、医療システムを安全に管理するために求められる対応を規定
2）	経産省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」（2020年8月）	対象読者は、医療システムやサービスを提供する事業者。なお、医療機関等と直接的な契約関係のない事業者も医療システム等のサプライチェーンの一部として機能している場合、このガイドラインの適用範囲となる事業者に求められる義務と責任の考え方、医療機関等への情報提供と合意形成の考え方、リスクマネジメントの実践やリスク対応のための手順などを規定

はじめに…

SQAT® Security Report寄稿記事をご執筆いただいたご感想・読者へのメッセージ

2022年のセキュリティニュースを振り返って…

最近注目した記事や話題

海外と比較して～日本国内のセキュリティ事情

ランサムウェア市場の活況

ランサムウェア攻撃の手口は進化している

メールから侵入する「標的型攻撃メール」とは

標的型攻撃メールの事例

標的型攻撃メールの見分け方

標的型攻撃への入口対策

標的型攻撃メールを防ぐ「標的型攻撃メール訓練」

標的型攻撃メール訓練サービスの比較のポイント

標的型攻撃の対策方法

まとめ

BBSecでは

悪名高きEmotetが帰ってきた！

復活したEmotetの脅威は…

主な感染経路：メール添付ファイルにご注意！

注意するだけでは防げない巧妙なメール攻撃も…

マルウェア対策は組織一丸で

マルウェア対策のモデルケース

Emotetご相談窓口開設中！

標的型攻撃メール訓練サービス

ランサムウェア対策総点検

SQAT® ペネトレーションテスト

【シナリオ例】 疑似マルウェア連携

関連リンク：

「情報セキュリティ10大脅威 2022」に新たに「修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）」がランクイン

Apache Log4jの脆弱性

Log4Shellを悪用したマルウェアによる攻撃事例

ゼロデイ攻撃への対策と備え

BBSecでは

脆弱性を悪用した攻撃への備え～自システムの状態を知る

攻撃を受けてしまった場合の対策の有効性の確認

現在のランサムウェア事情

海外レポートにおけるランサムウェア事情

国内レポートにおけるランサムウェア事情

なぜランサムウェア攻撃が増加していくの

進化し続けるランサムウェア

企業が行うべきランサムウェア対策の実効性評価

ランサムウェア対策総点検

ペネトレーションテスト

ニューノーマルがニューでなくなった日常

テレワーク運用時代の新たなリスク

例外や特例を継続することによるリスク

ギャップが生むサプライチェーンのリスク

まずはリスクの可視化を！

“なに”を”どう”守るか

リスクの可視化の重要性

セキュリティ対策には専門家の力を

【参考】テレワークに関するガイドライン・参考資料等

サイバー攻撃の種類

「APT攻撃」と「ランサムウェア」

脅威① APT攻撃

脅威② ランサムウェア

「APT攻撃」と「ランサムウェア」の共通点

APT攻撃・ランサムウェアに有効な対策

BBSecでは

＜侵入前・侵入後の対策の有効性確認＞

＜APT攻撃・ランサムウェアのリスクを可視化＞＋＜資産管理＞

＜セキュリティ教育＞

ランサムウェア感染を招くマルウェア「Emotet」の猛威と終焉

残存するEmoteの影響は？

Emote感染端末への対応

「情報セキュリティ10大脅威 2021」(組織編)でランサムウェアが1位に

ランサムウェアによる二重の脅迫

特定の標的を狙った進化型ランサムウェア

新たな攻撃手法をとるランサムウェア

ランサムウェア市場の活況

企業が行うべきランサムウェア対策とは？

勢いづく攻撃、日本も「対岸の火事」ではない

表1：医療機関を狙ったランサムウェア被害（一部）

攻撃者はなぜ医療業界を狙うのか

【参考情報】医療機関では古いシステムが使われ続けている傾向が強い

ランサムウェア攻撃の変貌2020

人手による攻撃 ‐標的を定めて周到に準備‐

二重の脅迫 ‐より悪質なやり方で被害者を追い詰める‐

ランサムウェア対策への取り組み ‐医療情報システムに関するガイドライン‐

図：ネットワークセキュリティ・ランサムウェア対策に関するベストプラクティス

SQAT^® Security Report寄稿記事をご執筆いただいたご感想・読者へのメッセージ

SQAT^® ペネトレーションテスト

【シナリオ例】疑似マルウェア連携

「情報セキュリティ10大脅威 2022」に
新たに「修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）」がランクイン

脅威①　APT攻撃

脅威②　ランサムウェア

＜APT攻撃・ランサムウェアのリスクを可視化＞＋
＜資産管理＞

「情報セキュリティ10大脅威 2021」(組織編)
でランサムウェアが1位に

【参考情報】
医療機関では古いシステムが使われ続けている傾向が強い