侵入前提でのセキュリティ対策のポイント
-サイバー攻撃への対策3-

Share

サイバー攻撃の被害から自組織を守るためにはどのような対策をとればよいのか?まずは何から実施すればよいのか?今回の記事では、基本的なセキュリティ対策の考え方から、業界別のセキュリティ対策のポイントやガイドラインを紹介しつつ、リスクを最小化するために有効なセキュリティ対策のポイントを解説いたします。

企業のためのセキュリティ対策

管理・経営者に向けた基本対策

・標的型攻撃メール訓練の実施
・定期的なバックアップの実施と安全な保管(別場所での保管推奨)
・バックアップ等から復旧可能であることの定期的な確認
・OS、各種コンポーネントのバージョン管理、パッチ適用
・認証機構の強化
 (14文字以上といった長いパスフレーズの強制や、適切な多要素認証の導入など)
・適切なアクセス制御および監視、ログの取得・分析
・シャドーIT(管理者が許可しない端末やソフトウェア)の有無の確認
・攻撃を受けた場合に想定される影響範囲の把握
・システムのセキュリティ状態、および実装済みセキュリティ対策の有効性の確認
・CSIRTの整備(全社的なインシデントレスポンス体制の構築と維持)

また、セキュリティ対策の実践にはガイドラインの活用もおすすめです。ガイドラインがまとめられた背景には業界別のセキュリティ課題があることがわかります。今回いくつかガイドラインを紹介するにあたり、業界別のセキュリティ対策のポイントに触れます。

業界別セキュリティ対策のポイント

「自動車」「医療」「教育」の各業界に着目してみます。各業界のガイドラインがまとめられた背景および目的から、各業界のセキュリティに係る課題がわかります。

自動車  自動車産業全体のサイバーセキュリティ対策のレベルアップや対策レベルの効率的な点検を推進
医  療医療情報システムの安全管理や情報通信の技術の利用に関する法律等への対策
教  育教育情報セキュリティポリシーの考え方および内容について解説

各ガイドラインでは、それぞれの業界における以下のような業務について、外部ネットワークとの接続に言及しています。この外部ネットワークと接続するシステムが、各業界におけるセキュリティ対策のポイントといえるでしょう。

自動車  ITインフラ環境や工場等の制御システムをはじめとして企業が管理する多くの情報システム
医  療外部の医療機関等や患者自身などと医療情報の共有や連携、医療情報の外部保存を行うシステム
教  育学校ホームページや教職員によるメールの活用、学習活動に使用されるシステム

各業界のセキュリティガイドラインの紹介

自動車

自動車産業サイバーセキュリティガイドライン V2.0
工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer 1.0

医療業界

厚⽣労働省における医療機関のサイバーセキュリティ対策にかかる取組について
医療情報システムの安全管理に関するガイドライン
医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン

教育業界

教育情報セキュリティポリシーに関するガイドライン

まずはリスクの可視化を

サイバー攻撃への対策において、いまや完璧な防御を望むのは困難となっています。こうした脅威への対策における重要なポイントは3つあります。

「攻撃・侵入される前提」で取り組む

侵入への対策
目的:システムへの侵入を防ぐ
  侵入後の対策
目的:侵入された場合の被害を最小化する
・多要素認証の実装 ・不要なアカウント情報の削除(退職者のアカウント情報など)
・公開サーバ、公開アプリケーションの脆弱性を迅速に発見・解消する体制の構築
・VPNやリモートデスクトップサービスを用いる端末
・サーバのバージョン管理(常に最新バージョンを利用) ・ファイアウォールやWAFによる防御 など 
  ・社内環境におけるネットワークセグメンテーション
・ユーザ管理の厳格化、特権ユーザの限定・管理(特にWindowsの場合)
・侵入検知(IDS/IPSなど)、データバックアップといった対策の強化
・SIEMなどでのログ分析、イベント管理の実施
・不要なアプリケーションや機能の削除・無効化
・エンドポイントセキュリティ製品によるふるまい検知の導入
対策の有効性の確認方法
・脆弱性診断
・ペネトレーションテスト
  ・ペネトレーションテスト

侵入を前提とした多層防御が重要

「多層防御」対策を立てる前提として、情報資産の棚卸しも重要です。

情報資産とは
企業や組織などで保有している情報全般のこと。顧客情報や販売情報などの情報自体に加えて、ファイルやデータベースといったデータ、CD-ROMやUSBメモリなどのメディア、そして紙の資料も情報資産に含まれます。
(総務省「安心してインターネットを使うために 国民のためのサイバーセキュリティサイト」より引用)

組織内に存在する情報に関し、機密とするもの、公知であってよいものを分類し、それらがどこに格納されて、どのように利用されているかを可視化した上で、防御の対応をする機器・人・組織といったリソースを適切に振り分けて防御する仕組みを構築することが求められます。

これにより、システムへのマルウェアの侵入等の早期発見にも繋がり、事業活動の継続を左右する重要情報へのアクセスを遮断することで、万一侵入を許しても被害を最小限に抑えられます。

信頼できる第三者機関の脆弱性診断サービスを実施

企業として実施できるサイバー攻撃への対策として、信頼できる第三者機関による脆弱性診断が挙げられます。第三者の専門家からの診断を受けることで、現状の問題点や対応の優先順位などリスクを可視化することができるため、早急に効率よく対策を実施するのに役立ちます。

サイバー攻撃手法は日々更新されており、さらに取引先や子会社などを含むサプライチェーンを踏み台にした攻撃など、どんなにセキュリティ対策を実施していても自組織のみではインシデント発生を防ぎきれないのが実情です。脆弱性診断の定期的な実施といった基本的なセキュリティ対策を行うとともに、万が一インシデントが発生してしまった場合の備えとして信頼できる第三者の専門企業に相談することをおすすめします。

まとめ

管理者や経営者へ向けた基本的なセキュリティ対策の実施項目として、標的型攻撃メールの訓練実施、定期的なバックアップ及びその保管、オペレーティングシステムやアプリケーションのバージョン管理、強固な認証メカニズムの導入、適切なアクセス制御と監視、シャドーITの監査、想定される攻撃の影響範囲の理解、システムのセキュリティ状況の定期的な確認、および全社的なインシデントレスポンス計画の策定と維持等が挙げられます。

さらに、自動車、医療、教育各業界に特有のセキュリティ課題と、それに対応するための業界別ガイドラインを紹介しています。これらのガイドラインは、特に外部ネットワークに接続されるシステムのセキュリティ強化に注目しています。

また、サイバー攻撃への対策として、侵入を前提とした多層防御、情報資産の可視化を推奨します。これにより、万が一侵入を許してしまった場合でも、被害を最小限に留めることが可能です。また、信頼できる第三者機関による脆弱性の定期的な診断を実施することも有効です。

Security Report TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

ランサムウェアの攻撃手口・脅威
-ランサムウェアあれこれ 2-

Share
水色の背景に歯車とお金を持っている手のアイコンイラスト

この記事では、ランサムウェアの攻撃手口、特にサプライチェーン攻撃の概念、標的型攻撃の特徴、そしてこれらの攻撃による被害事例を紹介します。また、ランサムウェアの脅威には、多重脅迫や「ノーウェアランサム」などの新たな形態が含まれており、これらによる被害事例も紹介します。最後にランサムウェアのビジネスモデル「Ransomware as a Service(RaaS)」について、その仕組みと活発化した背景を解説します。

ランサムウェアの攻撃手口

ランサムウェアの攻撃手口は、時間とともに大きく進化し、より複雑かつ高度になっています。初期のランサムウェア攻撃は主に「バラマキ型」と呼ばれる手法を用いていました。この手法では、攻撃者はランダムに多くのコンピュータにマルウェアを配布し、その中の一部が感染するのを期待していました。このアプローチは、フィッシングメールや悪意のあるウェブサイトを通じて、広範囲にわたる無差別的な攻撃を行うことが特徴です。

しかし、最近では攻撃手法が特定の組織や個人をターゲットにした「標的型攻撃」へとシフトしています。これは、特定の企業や政府機関など高い価値のあるデータを持つターゲットに焦点を当てたもので、攻撃はより精密かつ計画的に行われます。攻撃者はしばしば、その組織のセキュリティ体制やネットワーク構造を事前に調査し、特定の脆弱性やセキュリティの盲点を狙います。

さらに、最新の傾向として「サプライチェーン攻撃」が注目されています。サプライチェーン攻撃では、攻撃者は直接ターゲット組織に攻撃を仕掛けるのではなく、その組織が依存しているサプライチェーンの一部を攻撃します。

サプライチェーン攻撃によるランサムウェア被害

サプライチェーン攻撃とは、ターゲット企業に直接攻撃を仕掛けるのではなく、その企業のサプライチェーン(取引先や関連企業など)に含まれるセキュリティの弱点を利用して侵入を試みるサイバー攻撃のことです。この攻撃手法では、攻撃者はターゲット企業のセキュリティ対策が厳しい場合、よりセキュリティが手薄なサプライチェーンの一部を利用して攻撃を行います。サプライチェーン攻撃は、悪意のあるライブラリやコンポーネントの注入など、さまざまな形態をとり、機密データの窃取やシステムの遠隔操作などの被害をもたらす危険性があります。

サプライチェーン攻撃におけるランサムウェアのリスクは、データの暗号化や情報窃取などがあります。ランサムウェア攻撃においては、攻撃者が被害者のデータを暗号化し、復元の対価として身代金を要求することが一般的です。しかし、近年の攻撃では、単にデータを暗号化するだけでなく、データを盗み出し、そのデータを公開するといった脅しをすることで、被害者にさらなる圧力をかけるケースが増えています。

関連リンク:「拡大するランサムウェア攻撃! ―ビジネスの停止を防ぐために備えを―

サプライチェーンとは

サプライチェーンとは、製品やサービスが消費者に届くまでの一連の流れやプロセスを指す言葉です。これには、原材料の調達から製造、流通、販売に至るまでのすべての段階が含まれます。

例えば、コンビニチェーンでは生産者や農協などからお米を仕入れ食品工場でオーダー通りのおにぎりを製造します。オーダー通りのおにぎりが完成後、出荷されコンビニエンスストアの店舗に並び、最終的に消費者に届けられます。このように、おにぎりが私たちの手元に届けられるまでには、サプライチェーンを構成する様々なプレーヤーの活動があり、それが連なって成り立っています。

サプライチェーン攻撃による被害事例

2022年3月、国内大手自動車メーカーが部品仕入取引先のマルウェア感染被害によるシステム障害を受け、国内の全14工場の稼働を停止する事態に追い込まれました。この事件は、サプライチェーン攻撃の深刻な影響を示す典型的な例となり、中小企業でもサイバーセキュリティ対策の重要性が高まっています。

ランサムウェア攻撃では通常、被害者のデータを不正に暗号化し、復号のための金銭を要求します。しかし、近年ではデータを窃取し、公開する脅迫(いわゆる「二重脅迫」)も行われています。特に中小企業ではセキュリティに関する予算や人員が十分でない場合が多く、攻撃者にとって魅力的なターゲットとなっています。

国内大手自動車メーカーの事例は、サプライチェーン攻撃が大手企業に与える影響の大きさを示しており、内閣サイバーセキュリティセンター(NISC)を含む関係省庁からもサイバーセキュリティ対策の強化について注意喚起が出されました。

標的型攻撃によるランサムウェア被害

標的型攻撃とは

標的型攻撃は、特定の個人や組織を狙って行われるサイバー攻撃です。攻撃者は、ターゲットの情報を収集し、その情報をもとに巧妙に偽装したメールやファイルを送信することで、ターゲットを騙してマルウェアに感染させ、機密情報の窃取やシステムの乗っ取りなどの被害をもたらします。

標的型攻撃の特徴

高度なカスタマイズ性と、ターゲットに対する詳細な知識に基づいた攻撃方法にあります。また、攻撃の隠密性と持続性も、標的型攻撃の重要な特徴の一つです。標的型攻撃の一般的な方法には以下のものがあります。

標的型メール攻撃
攻撃者は、取引先を装い、関心を引くような内容の電子メールを送信し、受信者がリンクや添付ファイルを開くように誘います。これらのメールは、巧妙に作成されているため、一見正当に見えることがあります。
水飲み場攻撃
攻撃者はターゲットが日常的にアクセスするWebサイトに悪意のあるコードを仕込み、それを通じてウイルス感染やマルウェア感染を引き起こします。この手法は、日常的に訪れるサイトに危険が潜んでいるため、特に検出が困難です。

標的型ランサムウェア攻撃

標的型ランサムウェア攻撃は、ランサムウェア自体の進化と並行していますが、特に2010年代半ば以降に顕著になりました。

標的型ランサムウェア攻撃と従来の「バラマキ型」ランサムウェア攻撃の主な違いは、その精度と戦略性にあります。バラマキ型攻撃は、ランダムに大量のターゲットに対して行われる無差別的な攻撃ですが、標的型攻撃では、攻撃者は特定の組織や企業を慎重に選び、そのセキュリティ体制やネットワークの弱点を狙って攻撃を行います。また、身代金の要求額は被害組織の財務状況や重要性に基づいて計算されることが多く、通常のバラマキ型攻撃よりもはるかに高額に設定される傾向があります。

標的型攻撃による被害事例

標的型ランサムウェア攻撃の契機となったランサムウェアはいくつかありますが、代表的なものには、2018年に登場した「Ryuk」などが挙げられます。このランサムウェアは、米国の医療業界をターゲットにした事例で知られ、患者のカルテ情報などの重要なデータが暗号化されたため、システムが停止する事態となりました。

2021年10月、国内の医療機関がランサムウェア「LockBit」により被害を受けました。VPN機器の脆弱性を悪用して侵入したとみられ、この攻撃により、医療センターのシステムは大幅に影響を受け、患者の電子データが使用できないなどの深刻な被害が発生しました。さらに、2023年11月には、米国大手医療機関のシステムが大規模にダウンしました。LockBitは患者のケアを妨害しないように病院のシステムを暗号化することはありませんでした。代わりに、7Tb以上の医療データを含む1000万以上のファイルを盗み出しました。また、同時期に米国内の他の医療機関も同様の攻撃の対象となりました。

このように、生命維持にも関わってくる病院を狙う冷酷なギャングも台頭しています。

ランサムウェアの脅威

警察庁の調査「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」によれば、国内では令和4年上半期以降、ランサムウェアによるサイバー攻撃の被害は高い水準で推移しています。被害の特徴として、データの暗号化のみならず、データを窃取した上、「対価を支払わなければ当該データを公開する」という二重脅迫(ダブルエクストーション)の割合が多く、手口を確認できたもののうちの約8割を占めています。また、二重脅迫以外にも三重、四重といった「多重脅迫」やデータ暗号化すらせずに対価を要求する「ノーウェアランサム」による被害も新たに確認されています。以下にランサムウェアの脅威の特徴についての例をいくつかご紹介します。

多重脅迫

昨今は身代金要求の条件として、従来の「データの暗号化」に加えて、暗号化前に窃取した「データの暴露(公開)」という二重の脅迫を行う手法が主流になっています。さらに、データを窃取した企業のウェブサイトやサービスに対してDDoS(分散型サービス拒否)攻撃を行う三重脅迫、窃取したデータの所有者であるビジネスパートナーや顧客に通知を送り、攻撃者に圧力を与える四重脅迫など、様々な多重脅迫の手法があります。

暗号化しない「ノーウェアランサム」

データ暗号化すらせずに対価を要求する「ノーウェアランサム」による被害も新たに確認されています。

暗号化しない「ノーウェアランサム」
出典:警察庁「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について

二重脅迫型のランサムウェアによる攻撃の被害事例

二重脅迫型ランサムウェアは、2019年頃から出現しました。特にこの手法を用いているランサムウェアの代表として知られるのが、「Revil」、「Clop」、「Conti」です。 Revilは2021年6月、海外の食肉加工大手企業を狙った攻撃で影響を与え、食肉工場の操業が停止になりました。そして、Clopは2020年から2021年にかけ、ファイル転送アプライアンスである「Accellion FTA」の脆弱性を悪用するランサムウェアグループで、教育機関や通信企業等を狙った攻撃で、奪取したデータの証拠として機密情報を含むいくつかのファイルを流出させました。また、Contiは、特に医療機関などを含む多くの組織に影響を与えています。アイルランドの保健サービス委員会やニュージーランドのワイカト地区保健局などの医療機関への攻撃が確認されており、被害によって医療サービスの提供に深刻な影響が出ました。

これらのランサムウェアギャングは、業界を問わず、大手企業を中心に狙い、新たな手法を用いながら、様々な手段で脅迫を実行します。

ランサムウェアのビジネスモデル Ransomware as a Service(RaaS)

Ransomware as a Service (RaaS)は、ランサムウェアの開発者が、ランサムウェアのツールやサービスを攻撃の実行犯(アフィリエイト)に販売またはリースするビジネスモデルです。攻撃の実行犯は、RaaSプラットフォームからランサムウェアをダウンロードして攻撃を実行します。これにより、高度な技術の知識がなくても、RaaSプラットフォームに登録してランサムウェアを入手すれば、誰でもランサムウェア攻撃を実行できるようになります。これにより、サイバー犯罪のハードルが低下し、犯罪者が容易にランサムウェア攻撃を行える環境が生まれています。

RaaSは、サブスクリプションベースまたは利益分配モデルを採用しています。仕組みは、以下のとおりです。

  1. ランサムウェアの開発者が、攻撃の実行犯にランサムウェアやインターフェイスを提供
  2. 攻撃の実行犯(アフィリエイト)は、RaaSプラットフォームで提供されるツールやサービスを利用し、攻撃対象の組織のコンピュータやネットワークにランサムウェア攻撃を仕掛ける
  3. 攻撃対象の組織は、ランサムウェア攻撃グループ(開発者)に対して、ファイルの暗号解除と引き換えに要求された身代金を支払う
  4. 攻撃が成功した場合、ランサムウェア攻撃グループ(開発者)は成功報酬として、攻撃の実行犯(アフィリエイト)に支払われた身代金の一部を還元する

RaaSの利用料金は、プラットフォームによって異なりますが、月額数万円から数十万円程度が一般的です。

RaaSが活発化した背景には以下のような特徴が挙げられます。

  • TTPの融合
    多くのランサムウェア開発者等が同時に複数のRaaSで提供することで、複数の攻撃者が類似のツールを共有。その結果、Tactics(戦略)・Techniques(テクニック)・Procedures(手順)が統合
  • 拡張ツールの提供
    一部のRaaSが、ランサムウェア自体の開発だけでなくデータ奪取ツールのカスタマイズも提供
  • リブランド(再構築)
    多くの注目を集めた一部のグループは、痕跡を隠すため、リブランドすることで、活動を再開
  • IABとの連携
    ランサムウェア攻撃の実行犯は、初期アクセスブローカー(IAB:Initial Access Broker)と協力し、彼らが侵入後のランサムウェア展開に専念することができるように、事前にネットワークへの侵入方法や身代金の一部を提供

この記事が、進化し続けるランサムウェア攻撃の手口について理解を深め、適切な対策を講じるための一助となれば幸いです。

Security Report TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

ランサムウェアとは何か -ランサムウェアあれこれ 1-

Share
水色の背景にデータとお金の袋を背負っている男性のアイコンイラスト

ランサムウェアはマルウェアの一種です。この記事では、ランサムウェアの基本的な概念から、語源等について解説します。さらに、ランサムウェアがどのようにしてシステムに侵入し、被害を引き起こすのか、特に昨今知られるVPN機器やリモートデスクトップ接続からの感染について解説します。

ランサムウェアには様々な攻撃手法、ランサムウェア攻撃グループが次々に登場しています。攻撃の手口が「バラマキ型」から「標的型攻撃」になるなど、進化し続けています。しかし、セキュリティ対策を講じることで、攻撃を未然に防ぐことも可能です。脆弱性対策や認証管理、従業員教育などセキュリティ対策の基本が効果的であるという前提に立って、今一度自組織のセキュリティを見直すことが重要です。

このシリーズを通じて、ランサムウェアの知識を深めることで、企業・組織がサイバー攻撃に備えるための対策を講じることができるようになることを目指します。

マルウェアの一種である「ランサムウェア」

ランサムウェアとはマルウェアの一種で、感染したコンピュータやシステムにあるファイルやデータを暗号化し、アクセスできないようにした上で、元に戻すことと引き換えに金銭(身代金)を要求するものの総称です。

マルウェアとは、ユーザのコンピュータやネットワークに侵入し、損害を与えるか、被害者から情報を盗む目的で設計されたソフトウェアです。ランサムウェア以外の代表的なマルウェアとしては、以下のようなものが挙げられます。

  • ウイルス…ユーザによりファイルをクリックされ実行されることで自己増殖を行い、データの破壊などの有害な動作を行う
  • ワーム…ワームだけで自己増殖が可能で、感染したコンピュータだけに影響を及ぼすものではなく、コンピュータネットワークを経由して他のコンピュータに拡散する
  • トロイの木馬…無害なあるいは有益なプログラムに偽装してユーザを油断させ、インストールを行わせるマルウェア。ウイルスやワームと異なり自己増殖することはなく、主にバックドアと呼ばれる不正な裏口を作ったり、オンラインバンキングなどのパスワードを盗んだり、別のプログラムをダウンロードするなどの動きをする
  • スパイウェア…個人や組織の情報を同意なしに収集したり、その情報を攻撃者に向けて送信したりすることを目的としたマルウェア
  • アドウェア…多くはユーザが知らないうちにインストールされ、インターネット閲覧の際にユーザが望まない広告を表示する。すべてが違法とは言えない場合もある

関連リンク:「マルウェアに感染したら-マルウェアの種類と対策、ウイルスとの違いは-

ランサムウェアは他のマルウェアと比較すると、主な目的が金銭の獲得であることに特徴があります。

ランサムウェアの語源

ランサムウェアの語源(初心者マークに手を添えた画像)イメージ

「ランサムウェア」とは、英語の「Ransom(ランサム)」と「Software(ソフトウェア)」を組み合わせた造語です。この名前は、この種のマルウェアが行う主な行為、すなわち被害者のコンピュータシステムやデータにアクセスを制限し、それらの解放や復元を身代金と交換するという性質に由来しています。

Ransom」…身代金のこと。誰かまたは何かを人質に取り金銭や他の条件を要求する行為
Software」…コンピュータに動作を指示するプログラムやアプリケーションの総称

ランサムウェア攻撃の主な特徴は、以下のとおりです。

データの暗号化…ランサムウェアは感染したコンピュータやファイルのデータを暗号化し、ユーザのデータにアクセスできないようにします。データが暗号化されてしまうと元の内容を読み取れなくなるため、業務に大きな支障をきたすことになります。

身代金の要求…データが暗号化された後、攻撃者は被害者に通知を送り、データの復号(元の読み取り可能な状態に戻すこと)のために身代金を要求します。身代金の支払い方法には、仮想通貨などの匿名性の高い方法が用いられることもあります。身代金を支払ったとしても、データが完全に復旧する保証はありません。

ランサムウェアの種類

様々な攻撃手法(ランサムウェア攻撃グループ)が次々に登場しています。以下はその一部です。

Avaddon2020年初頭に登場。2020年6月に日本をターゲットにした攻撃を実施し、複数の企業や団体が被害を受けた
DearCry2021年に存在が確認され、Microsoft Exchange Serverの脆弱性を悪用することで多くの企業や組織が影響を受けた
EKANS産業制御システム(ICS)関連の機能を停止させる能力がある。2019年12月に発見され、2020年6月には国内の大手自動車メーカーで工場が停止してしまう被害をもたらした。被害に遭った自動車メーカーを狙った標的型攻撃の可能性があるといわれる
Revil2019年に登場。攻撃者はRaaS(Ransomware as a Service)を利用して攻撃を実行する。2021年に米ITシステム管理サービスを標的としたランサムウェアサプライチェーン攻撃により大規模な被害をもたらした後、活動を停止していたが、同年9月に活動を再開している
Conti2020年5月に確認され、データの暗号化に加え、データを公開することを脅迫する「二重脅迫」の手口を使用することが特徴で、特に医療機関などを含む多くの組織に影響を与えている
LockBit2019年に初めて確認され、現在も攻撃手法を進化し続けている。2021年にはLockBitの進化版である「LockBit 2.0」、2022年には「LockBit 3.0」が登場し、2023年7月には国内物流組織への攻撃、11月には米国の病院施設への攻撃に使用され、サービス停止に追い込まれる事態が発生した
BlackMatter2021年7月に確認され、エネルギーインフラ企業など狙ったランサムウェア「DarkSide」の攻撃手法を引き継ぎ、発展させたものといわれている。米国の主要食品供給会社がBlackMatterによるランサムウェア攻撃の被害に遭った
Night Sky2021年末から2022年初頭にかけて登場。Apache Log4jの脆弱性を悪用し、国内の企業を対象に大きな被害の影響を与えた。

ランサムウェアの感染経路

ランサムウェアを含むマルウェアの感染経路は様々ありますが、以下に主な感染経路の分類と説明をします。

マルウェア(ランサムウェア)の主な感染経路

マルウェア(ランサムウェア)の主な感染経路
出典:ACTIVE「マルウェアについて知る

昨今ではこれ以外の感染経路として、VPN機器・リモートデスクトップ接続からの侵入が知られている。

VPN機器からの侵入
VPN機器の脆弱性を悪用して、ネットワークに侵入。主な原因は、未修正の脆弱性や脆弱性な認証情報の使用など
リモートデスクトップ接続からの侵入
外部に公開されているリモートデスクトップに対し、攻撃を仕掛け、ユーザの認証情報を使用し、不正にアクセス。これにより、接続先のコンピュータの管理者アカウントが乗っ取られ、マルウェアをダウンロードされる恐れがある。主に接続する端末に脆弱性がある場合などが原因

警察庁が発表した「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、令和5年上半期に都道府県警察から警察庁に報告のあった企業・団体等のランサムウェアの被害件数は103件でした。被害に遭った企業へ行ったアンケート調査で感染経路への質問を行ったところ、49件の回答があり、約8割以上がVPN機器・リモートデスクトップ接続からの侵入であることが報告されています。

VPN機器・リモートデスクトップ接続からの侵入

VPN機器・リモートデスクトップ接続からの侵入(セキュリティの画像)イメージ

昨今VPN機器とリモートデスクトップ接続からのランサムウェア感染が知られてきたのは、2020年の新型コロナウイルス感染拡大の影響を受け、多くの企業がテレワークを導入したことが主な背景にあると考えられます。テレワークを導入したことで、従業員が自宅等からオフィスネットワークにアクセスする必要が生じ、VPN機器とリモートデスクトップがより頻繁に使用されるようになりました。攻撃者は、VPN機器やリモートデスクトッププロトコルに存在する脆弱性を悪用し、システムに侵入します。未修正の脆弱性が攻撃の入口となり、感染が広がります。さらにテレワーク環境下では、自宅のルータがデフォルトの設定のままであったり、外部からの業務システム利用のために導入したクラウドサービスのアクセス制限に不備があったりするなど、セキュリティ上の弱点があるため、リスクを増大させます。

ランサムウェアの攻撃手口は、時間とともに大きく進化し、より複雑かつ高度になっています。初期のランサムウェア攻撃は主に「バラマキ型」と呼ばれる手法を用いていました。この手法では、攻撃者はランダムに多くのコンピュータにマルウェアを配布し、その中の一部が感染するのを期待していました。このアプローチは、フィッシングメールや悪意のあるウェブサイトを通じて、広範囲にわたる無差別的な攻撃を行うことが特徴です。

しかし、最近では攻撃手法が特定の組織や個人をターゲットにした「標的型攻撃」へとシフトしています。これは、特定の企業や政府機関など高い価値のあるデータを持つターゲットに焦点を当てたもので、攻撃はより精密かつ計画的に行われます。攻撃者はしばしば、その組織のセキュリティ体制やネットワーク構造を事前に調査し、特定の脆弱性やセキュリティの盲点を狙います。

ランサムウェア攻撃の対象がクライアント(従来のランサムウェア攻撃の対象)から、サーバや業務システムを標的にした攻撃へ変化したのは、サーバが停止した場合の企業・組織への影響が大きく、攻撃者にとってより多くの身代金が手に入る可能性が高いためです。サーバでは組織内の重要情報が保存されており、データ暗号化解除の脅迫をかけやすいため、企業・組織のサーバが攻撃対象に狙われやすくなります。

ランサムウェアの脅威は日々進化しており、その対策もまた常に更新される必要があります。この記事が、ランサムウェアの理解を深め、適切なセキュリティ対策を促進する一助となれば幸いです。

Security Report TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

診断結果にみる情報セキュリティの現状 ~2023年上半期 診断結果分析~

Share

SQAT® Security Report 2023-2024年秋冬号

2023年上半期診断結果分析サムネ画像(PCの画面イメージ)

BBSecの脆弱性診断

システム脆弱性診断で用いるリスクレベル基準

BBSecのシステム脆弱性診断は、独自開発ツールによる効率的な自動診断と、セキュリティエンジニアによる高精度の手動診断を組み合わせて実施しており、高い網羅性とセキュリティ情勢を反映した診断を実現するため、セキュリティエンジニアおよびセキュリティアナリストが高頻度で診断パターンを更新し、診断品質の維持・向上に努めている。検出された脆弱性に対するリスク評価のレベル付けは、右表のとおり。

脆弱性診断サービスの基本メニューである「Webアプリケーション脆弱性診断」・「ネットワーク脆弱性診断」の2023年上半期(1月~6月)実施結果より、セキュリティ対策の実情についてお伝えする。

2023年上半期診断結果

Webアプリ/NW診断実績数

2023年上半期、当社では12業種延べ553企業・団体、3,396システムに対して、脆弱性診断を行った(Webアプリケーション/ネットワーク診断のみの総数)。

2023年上半期システム脆弱性診断 脆弱性検出率の棒・円グラフ

9割のシステムに脆弱性

「Webアプリケーション診断結果」の棒グラフのとおり、Webアプリケーションに おいて、なんらかの脆弱性が存在するシステムは9割前後で推移を続けている。検出された脆弱性のうち危険度レベル「高」以上(緊急・重大・高)の割合は17.5%で、6件に1件近い割合で危険な脆弱性が検出されたことになる。

一方、ネットワーク診断では、なんらかの脆弱性があるとされたシステムは約半数だったが、そのうちの危険度「高」レベル以上の割合は23.8%で、5件に1件以上の割合であった。

以上のとおり、全体的な脆弱性検出率については、前期と比較して大きな変化はない。当サイトでは、「2023年上半期カテゴリ別脆弱性検出状況」とし、検出された脆弱性を各カテゴリに応じて分類しグラフ化している。

Webアプリケーション診断結果

高リスク以上の脆弱性ワースト10

リスクレベル高以上の脆弱性で検出数が多かったものを順に10項目挙げてみると、下表のような結果となった。

長年知られた脆弱性での攻撃

「Webアプリ編」について、1位、2位は前期同様「クロスサイトスクリプティング(以降:XSS)」と「HTMLタグインジェクション」となった。3位以下は、脆弱性項目は前期からあまり変化はないものの、「SQLインジェクション」が順位を上げた。

3位の「サポートが終了したバージョンのPHP使用の可能性」など、サポートが終了したバージョンのコンポーネント(プログラム言語、ライブラリ等)の使用がワースト10の4項目を占めている。サポート終了とはすなわち、新たに脆弱性が発見された場合でもコンポーネントの提供元は基本的に対処しないということであり、危殆化に対する利用者側での対策が困難となるため、継続利用は危険である。例えば、サポートが終了した製品についての脆弱性情報の公開が契機になり、攻撃コードが公開され、攻撃が活発化することも考えられる。最新バージョンへのアップデートを迅速に、定期的に実施すべきである。

ネットワーク診断結果

高リスク以上の脆弱性ワースト10

ネットワーク診断結果に関しても、リスクレベル高以上の脆弱性で検出数が多かったものを順に10項目挙げてみると、下表のような結果となった。

高リスク以上の脆弱性ワースト10(2023年上半期)NW編の表

アクセス制御が不適切な認証機構の検出がランクイン

「ネットワーク編」のワースト10については、ワースト4までが前期と変わらず、5位、6位は順入れ替えという結果で、あまり大きな変動は見られなかったが、8位の「アクセス制御が不適切な認証機構の検出」が前期圏外からランクインした。「アクセス制御が不適切な認証機構」には、特権アカウントやデフォルトアカウント等を使用してログインできる脆弱性も含まれる。特権アカウントがデフォルトのまま、もしくは推測されやすい認証情報で設定されていた場合はさらに危険である。デフォルトアカウントやデフォルトパスワードを使用せず、推測されにくい複雑なパスワードを設定することや、ログイン画面に対するアクセスを強固に制御すること、特権アカウントは必要最小限のユーザにのみ付与することなどが推奨される。

カテゴリ別の検出結果詳細についてはこちら

Security Report TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceのサムネ
BBsecサムネ
セキュリティ緊急対応のバナー画像
セキュリティトピックス告知のサムネ

診断結果にみる情報セキュリティの現状
~2022年下半期 診断結果分析~

Share

SQAT® Security Report 2023年 春夏号

2021年下半期診断結果分析サムネ画像(PCの画面イメージ)

BBSecの脆弱性診断

システム脆弱性診断で用いるリスクレベル基準

BBSecのシステム脆弱性診断は、独自開発ツールによる効率的な自動診断と、セキュリティエンジニアによる高精度の手動診断を組み合わせて実施しており、高い網羅性とセキュリティ情勢を反映した診断を実現するため、セキュリティエンジニアおよびセキュリティアナリストが高頻度で診断パターンを更新し、診断品質の維持・向上に努めている。検出された脆弱性に対するリスク評価のレベル付けは、右表のとおり。

脆弱性診断サービスの基本メニューである「Webアプリケーション脆弱性診断」・「ネットワーク脆弱性診断」の2022年下半期(7月~12月)実施結果より、セキュリティ対策の実情についてお伝えする。

2022年下半期診断結果

Webアプリ/NW診断実績数

2022年下半期、当社では12業種延べ510企業・団体、3,964システムに対して、脆弱性診断を行った(Webアプリケーション/ネットワーク診断のみの総数)。

2022年下半期システム脆弱性診断 脆弱性検出率の棒・円グラフ

9割のシステムに脆弱性

「Webアプリケーション診断結果」の棒グラフのとおり、Webアプリケーションに おいて、なんらかの脆弱性が存在するシステムは9割前後で推移を続けている。検出された脆弱性のうち危険度レベル「高」以上(緊急・重大・高)の割合は19.0%で、5件に 1件近い割合で危険な脆弱性が検出されたことになる。

一方、ネットワーク診断では、なんらかの脆弱性があるとされたシステムは約半数だったが、そのうちの危険度「高」レベル以上の割合は23.3%で、5件に1件以上の割合であった。

以上のとおり、全体的な脆弱性検出率については、前期と比較して大きな変化はない。当サイトでは、「2022年下半期カテゴリ別脆弱性検出状況」とし、検出された脆弱性を各カテゴリに応じて分類しグラフ化している。

Webアプリケーション診断結果

高リスク以上の脆弱性ワースト10

リスクレベル高以上の脆弱性で検出数が多かったものを順に10項目挙げてみると、下表のような結果となった。

高リスク以上の脆弱性ワースト10(2022年下半期)Webアプリ編の表

長年知られた脆弱性での攻撃

Webアプリ編ワースト10の上位3項目は、前期と同じで、いまだ検出数が多い。いずれもよく知られた脆弱性ばかりなため、悪用された場合、セキュリティの基本的な対策を怠っている組織と認識され、信用失墜につながる。

「クロスサイトスクリプティング」に起因する情報漏洩は実際に報告されている。4位の「不適切な権限管理」は前期7位より順位を上げた。この脆弱性は、本来権限のない情報・機能へのアクセスや操作が可能な状態を指し、「OWASP Top 10(2021)」では、首位の「A01:2021-アクセス制御の不備」に該当する。一般ユーザであるはずが、処理されるリクエストを改竄することで管理者権限での操作が可能になる等により、個人情報や機密情報の漏洩・改竄、システムの乗っ取り、といった甚大な被害を招く恐れがある。外部から値を操作できないようにするのはもちろんのこと、各機能に対する適切なアクセス制御を実装することが推奨される。

ネットワーク診断結果

高リスク以上の脆弱性ワースト10

ネットワーク診断結果に関しても、リスクレベル高以上の脆弱性で検出数が多かったものを順に10項目挙げてみると、下表のような結果となった。

高リスク以上の脆弱性ワースト10(2022年下半期)NW編の表

SNMPにおけるデフォルトのコミュニティ名の検出

ネットワーク編のワースト10もほぼお馴染みの顔ぶれであるところ、「SNMPにおけるデフォルトのコミュニティ名の検出」が9位に初ランクインした。SNMPは、システム内 部のステータスや使用ソフトウェア等の各種情報取得に利用されるプロトコルで、管理するネットワークの範囲をグルーピングして「コミュニティ」とする。コミュニティ名に は、ネットワーク機器のメーカーごとに「public」等のデフォルト値がある。SNMPにおけるコミュニティ名はパスワードのようなものであるため、デフォルトのままだと、これ を利用して攻撃者に接続され、攻撃に有用なネットワークの内部情報を取得される恐れがある。コミュニティ名にはデフォルト値を使用しないこと、また、SNMPへの接続には強固なアクセス制御を実施することが推奨される。

カテゴリ別の検出結果詳細についてはこちら

Security Report TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

診断結果にみる情報セキュリティの現状
~2022年上半期 診断結果分析~

Share

SQAT® Security Report 2022-2023年 秋冬号

2021年下半期診断結果分析サムネ画像(PCの画面イメージ)

BBSecの脆弱性診断

システム脆弱性診断で用いるリスクレベル基準

当社のシステム脆弱性診断は、独自開発ツールによる効率的な自動診断と、セキュリティエンジニアによる高精度の手動診断を組み合わせて実施している。検出された脆弱性に対するリスク評価のレベル付けは、右表のとおり。

脆弱性診断サービスの基本メニューである「Webアプリケーション脆弱性診断」・「ネットワーク脆弱性診断」の2022年上半期(1月~6月)実施結果より、セキュリティ対策の実情についてお伝えする。

2022年上半期診断結果

Webアプリ/NW診断実績数

2022年上半期、当社では12業種延べ611企業・団体、3,448システムに対して、脆弱性診断を行った(Webアプリケーション/ネットワーク診断のみの総数)。

システム脆弱性診断 脆弱性検出率グラフ

9割のシステムに脆弱性

「Webアプリケーション診断結果」の棒グラフのとおり、Webアプリケーションにおいて、なんらかの脆弱性が存在するシステムは9割前後で推移を続けている。検出された脆弱性のうち危険度レベル「高」以上(緊急・重大・高)の割合は22.3%で、5件に1件以上の割合でリスクレベルの高いものが出ていることになる。

一方、ネットワーク診断では、脆弱性ありと評価されたシステムは半分強というところだ。ただし、検出された脆弱性に占める危険度高レベル以上の割合は22.1%にのぼり、こちらも5件に1件以上の割合となる。

以上のとおり、全体的な脆弱性検出率については、前期と比較して大きな変化はない。当サイトでは、「2022年上半期カテゴリ別脆弱性検出状況」とし、検出された脆弱性を各カテゴリに応じて分類しグラフ化している。

Webアプリケーション診断結果

高リスク以上の脆弱性ワースト10

リスクレベル高以上の脆弱性で検出数が多かったものを順に10項目挙げてみると、下表のような結果となった。

高リスク以上の脆弱性ワースト10リスト

長年知られた脆弱性での攻撃

上位ワースト10はいずれも、Webアプリケーションのセキュリティ活動を行っている国際的非営利団体OWASP(Open Web Application Security Project)が発行している「OWASP Top 10(2021)」でいうところの、「A03:2021 – インジェクション」「A07:2021 – 識別と認証の失敗」「A06:2021 – 脆弱で古くなったコンポーネント」「A02:2021 – 暗号化の失敗」「A01:2021 – アクセス制御の不備」等に該当する。

1位の「クロスサイトスクリプティング」や6位の「SQLインジェクション」は、長年知られた脆弱性である上、攻撃を受けると深刻な被害となりかねないにも関わらず、いまだ検出され続けているのが実情だ。

攻撃者による悪意あるコードの実行を許さぬよう、開発段階において、外部からのデータに対する検証処理と出力時の適切な文字列変換処理の実装を徹底していただきたい。

ネットワーク診断結果

高リスク以上の脆弱性ワースト10

ネットワーク診断結果に関しても、リスクレベル高以上の脆弱性で検出数が多かったものを順に10項目挙げてみると、下表のような結果となった。

高リスク以上の脆弱性ワースト10リスト

推奨されないバージョンのSSL/TLS

1位の「推奨されないSSL/TLS」が圧倒的に多い。既知の脆弱性がある、あるいはサポートがすでに終了しているコンポーネントの使用も目立つ。このほか、特にリスクレベルが高いものとして懸念されるのが、FTP(4位)やTelnet(7位)の検出だ。これらについては、外部から実施するリモート診断よりもオンサイト診断における検出が目立つ。つまり、内部ネットワークにおいても油断は禁物ということである。FTPやTelnetのような暗号化せず通信するサービスはそもそも使用するべきでなく、業務上の理由等から利用せざるを得ない場合は強固なアクセス制御を実施するか、暗号化通信を使用する代替サービスへの移行をご検討いただきたい。

カテゴリ別の検出結果詳細についてはこちら

Security Report TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

診断結果にみる情報セキュリティの現状
~2021年下半期 診断結果分析~

Share

SQAT® Security Report 2022年 春夏号

2021年下半期診断結果分析サムネ画像(PCの画面イメージ)

BBSecの診断について

当社では、Webアプリケーション、ネットワーク(プラットフォーム)に対する脆弱性診断をはじめとして、スマホアプリ、パブリッククラウド、ソースコード、IoT、ペネトレーションテスト、標的型ランサムウェア攻撃におけるリスク可視化等、様々な局面における診断サービスを提供している。こうした診断による検出・分析結果は、メリハリある的確なセキュリティ対策の実施にお役立ていただいている。

診断品質向上のために

システム脆弱性診断で用いるリスクレベル基準

当社の脆弱性診断サービスは、独自開発ツールによる効率的な自動診断と、セキュリティエンジニアによる高精度の手動診断を組み合わせて実施している。検出された脆弱性に対するリスク評価のレベル付けは、右表のとおり。

高い網羅性のある脆弱性の検出、お客様のシステム特性に応じたリスクレベル評価、個別具体的な解決策の提供が行えるよう、セキュリティエンジニアおよびセキュリティアナリストが高頻度で診断パターンを更新することで、診断品質の維持・向上に努めている。

2021年下半期診断結果

Webアプリ/NW診断実績数

2021年7月から12月までの6ヶ月間に、当社では14業種延べ560企業・団体、3,949システムに対して、システム脆弱性診断を行った(Webアプリケーション/ネットワーク診断のみの総数)。前期2021年上半期(1月~6月)より、診断対象システム数は300件近く増加した。

システム脆弱性診断 脆弱性検出率(2021年下半期)

9割のシステムに脆弱性

「Webアプリケーション診断結果」の棒グラフのとおり、Webアプリケーション診断では、なんらかの脆弱性が存在するシステムの割合が9割前後で推移し続けている。検出された脆弱性のうち、危険度レベル「高」以上(緊急・重大・高)の割合は21.0%で、検出された脆弱性全体のおよそ5件に1件がリスクレベルの高いもの、ということになる。前期の高レベル以上の割合は23.9%だったため今期微減だが、ほぼ横ばいと言える。

「ネットワーク診断結果」の棒グラフでは、脆弱性なしと評価されたシステムが4割強を占めている。しかしながら、検出された脆弱性に占める危険度高レベル以上の脆弱性の割合は30.8%にのぼり、検出脆弱性のおよそ3件に1件が危険度の高い項目、ということになる。前期の高レベル以上の割合は28.3%だったため今期微増だが、ほぼ横ばいである。

以上のとおり、全体的な脆弱性検出率については、前期と比較して大きな変化はない。当サイトでは、「2021年下半期カテゴリ別脆弱性検出状況」とし、検出された脆弱性を各カテゴリに応じて分類しグラフ化している。

Webアプリケーション診断結果

高リスク以上の脆弱性ワースト10

5つに分類された各カテゴリの検出割合( 「2021年下半期カテゴリ別脆弱性検出状況」掲載の円グラフ参照)については、前期とほぼ変わらず、各カテゴリにおける脆弱性の検出数ごとの数量も大幅な変動はなかった。リスクレベル高以上の脆弱性で検出数が多かったものを順に10項目挙げてみると、下表のような結果となった。

高リスク以上の脆弱性ワースト10(2021年下半期)Webアプリ編

代表的な脆弱性はいまだ健在

上位ワースト10はいずれも、Webアプリケーションのセキュリティ活動を行っている国際的非営利団体OWASP(Open Web Application Security Project)が発行している「OWASP Top 10(2021)」に含まれていることがわかる。

ワースト1となった「クロスサイトスクリプティング」(以下、XSS)はWebアプリケーションにおける脆弱性の代表格とも言える。認知度の高い脆弱性でありながら、いまだに根絶されていない。XSSが存在するシステムには、ワースト2の「HTMLタグインジェクション」が共に検出されることが多い。出力データの検証が適切に実施されていないことがうかがえる。

ワースト6の「SQLインジェクション」もまた、メジャーな脆弱性の1つだ。XSSと同じく入出力制御に問題がある。昨今でもなお、SQLインジェクションによる情報漏洩事例が報告されている。データベースの不正操作を許せば、事業活動に必要なデータをすべて消去されるといった最悪の事態も発生しうるため、放置するのは非常に危険である。

独立行政法人情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)に対する届出においても、XSSが58%と約6割を占め、SQLインジェクションもそれに次ぐ多さとのことだ。*1

いずれの脆弱性も、セキュアなWebアプリケーション構築を実践できていないことを証明するものだ。開発の上流工程において、そうした脆弱性が作りこまれないような対策を行うことが大切である。

ネットワーク診断結果

高リスク以上の脆弱性ワースト10

ネットワーク診断結果に関しても、5つに分類された各カテゴリの検出割合 (「2021年下半期カテゴリ別脆弱性検出状況」掲載の円グラフ参照)において、前期と比較して特段目立つような差は見られなかった。ただ、「通信の安全性に関する問題」に関しては、「推奨されない暗号化方式の受け入れ」「推奨されないSSL/TLS方式の使用」「脆弱な証明書の検出」に分類される脆弱性項目が、それぞれ200件前後ずつ増加していることがわかった。

リスクレベル高以上の脆弱性で検出数が多い10項目は下表のとおりである。

高リスク以上の脆弱性ワースト10(2021年下半期)NW編

推奨されないバージョンのSSL/TLS

先に述べた、前期より検出数が増加している「通信の安全性に関する問題」のうち、「推奨されないバージョンのSSL/TLSのサポート」はリスクレベル高以上である。これは、SSL2.0、3.0、またはTLS1.0、1.1を使用した暗号化通信が許可されている場合に指摘している項目で、今期ワースト1の検出数だ。CRYPTREC作成/IPA発行の「TLS 暗号設定ガイドライン」は、2020年7月に第3.0.1版が公開されている。こちらを参考に、SSLの全バージョンとTLS1.1以下を無効にし、もし、TLS1.2、なるべくなら1.3の実装がまだであれば、早急に対応する必要がある。

カテゴリ別の検出結果詳細についてはこちら

Security Report TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

診断結果にみる情報セキュリティの現状
~2020年上半期 診断結果分析~

Share

SQAT® Security Report 2020-2021年 秋冬号

BBSecの診断について

当社では、Webアプリケーション、ネットワーク(プラットフォーム)、スマホアプリ、IoT、パブリッククラウド、ソースコード、標的型攻撃に対するリスク可視化等、様々な局面における診断サービスを提供することで、お客様のニーズにお応えしている。

当社の脆弱性診断サービスは、専門技術者による高精度の手動診断と独自開発のツールによる効率的な自動診断とを組み合わせ、検出された脆弱性に対するリスク評価について、右表のとおりレベル付けしている。お客様のシステム特性に応じた脆弱性の検出、リスクレベルの評価、個別具体的な解決策の提供が適切に行えるよう、高い頻度で診断パターンを更新し、診断品質の維持と向上に努めている。

2020年上半期診断結果

当社では、2020年1月から6月までの6ヶ月間に、14業種延べ533企業・団体、4596システムに対してシステム脆弱性診断を行った。2020年上半期はコロナ禍の影響でテレワークへと移行する企業も多い中、診断のニーズは変わらず存在し、診断案件数は2019年下半期とほぼ同じであった。脆弱性の検出率は以下のとおり。

脆弱性診断脆弱性検出率 2020年上半期

診断の結果、Webアプリケーション診断では、脆弱性が検出されたシステムが全体の83.9%と、前年同期(2019年上半期)の88.2%に比べて微減しているものの、依然として高い割合である。ネットワーク診断においては、脆弱性検出率は減少を続けているものの、42.8%と4割ほどのシステムに何らかの脆弱性が検出されている。

検出された脆弱性のうち、早急な対処が必要な「高」レベル以上のリスクと評価された脆弱性は、Webアプリケーションでは28.7%、ネットワーク診断では29.7%検出されている。前年同期比(2019年上半期「高」レベル検出率:Webアプリケーション27.0%/ネットワーク診断 23.6%)でいうと、Webアプリケーションはほぼ横ばいだったが、ネットワークは6.1%増えた。ネットワークに関しては、リスクレベルの高い脆弱性は増加傾向にある。 当サイトでは、「2020年上半期 カテゴリ別脆弱性検出状況」とし、当社診断で検出された脆弱性を各性質に応じてカテゴライズし、評価・分析をした結果をまとめた。以降、診断カテゴリごとに比較的検出数が多かったものの中からいくつか焦点を当ててリスクや対策を述べる。

Webアプリケーション診断結果

Webカテゴリ結果の36.0%を占める「システム情報・ポリシーに関する問題」のうち、「脆弱なバージョンのOS・アプリケーションの使用」についで検出数が多かった、「推奨されない情報の出力」に着目する(検出割合は以下参照)。

推奨されない情報の出力(2020年上半期診断実績)

システム構築時のデフォルトファイル、ディレクトリや初期画面には、攻撃者にとって有用な情報が含まれていることが多く、攻撃者にシステムへ侵入された場合、その情報をもとにした攻撃に発展し、甚大な被害につながりうる。よって、重要情報を含むファイル等には特に強固なアクセス制御をすべきであり、削除して差し支えない情報は消してしまうことが望ましい。初期画面については、表示しない設定にするのがよいだろう。

不用意な情報の出力の例として、「推奨されない情報の出力」の内訳にある、「WordPress管理者機能へのアクセスについて」をピックアップする。WordPressの管理者機能に対するアクセスが外部から可能だと、「総当り(Brute-Force)攻撃」によって、攻撃者に管理者用の認証を奪取されることで、さまざまな情報の漏洩や改竄をされる危険性がある。そのため、外部から管理者機能へのアクセスが可能な状態にしておかないことがベストだ。業務上外部からのアクセスが必要な場合は、パケットフィルタリング等の強固なアクセス制御をすべきである。

ネットワーク診断結果

NWカテゴリ結果の45.8%が「通信の安全性に関する問題」であった。その中の検出数トップ「推奨されない暗号化方式の受け入れ」に続いて検出数が多かった「推奨されないSSL/TLS通信方式の使用」に焦点をあてる。

DROWN、POODLE、BEASTといった既知の脆弱性が存在するバージョンのSSL/TLSを使用した暗号化通信を許可していると、攻撃者に脆弱性を利用され暗号化通信の内容を解読される恐れがある。推奨対策としては、SSL 2.0、SSL 3.0もしくはTLS 1.0による暗号化通信の使用を停止し、TLS 1.2以上の通信保護に移行することである。

さらに第3位「脆弱な証明書の検出」に注目し、強度の低いハッシュアルゴリズムを使用した証明書を使っている場合について述べる。強度の低いハッシュアルゴリズムは衝突攻撃に弱く、攻撃者が衝突攻撃によって元の証明書と同じ署名の証明書を作ることができ、なりすまし等の被害に繋がる可能性がある。また、主要なブラウザでは強度の低いハッシュアルゴリズムをサポートしておらず、環境によってはユーザがサイトを利用できなくなる可能性もある。よって、本番環境での運用には信頼された認証局から発行された強度の高い証明書が利用されていることを確認すべきである。

カテゴリ別の検出結果詳細についてはこちら

Security Report TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

ランサムウェア攻撃に効果的な対策
‐セキュリティ対策の点検はできていますか?‐

Share
パソコンのキーボードと南京錠とチェーンロック

これまでSQAT.jpの記事においても何度か取り上げている「ランサムウェア」ですが、攻撃パターンが変化し、なお進化を続け、その被害は国内外ともに2020年よりも増加傾向にあります。いまや完全に防ぐことが難しいランサムウェア攻撃に有効な対策としておすすめしたいのが、「攻撃・侵入される前提の取り組み」です。本記事では、ランサムウェア攻撃の拡大理由を探りながら、企業・組織が行うべき「ランサムウェア対策の有効性検証」について解説します。

現在のランサムウェア事情

海外レポートにおけるランサムウェア事情

2021年10月、米財務省金融犯罪取締ネットワーク(FinCEN)は2021年1月~6月におけるランサムウェア攻撃についてのレポートを発行しました。サイバー犯罪は政府全体で優先的に取り組むべき課題であるとしている中で、特にランサムウェアに関しては懸念される深刻なサイバー犯罪であると強調されています。

FinCENがランサムウェアをそのように注視している背景として、各金融機関から報告された2021年上半期のランサムウェアに関する不審な取引報告数が、2020年の1年間の合計件数よりもすでに多い状態であることや、ランサムウェア攻撃関連の取引総額も2020年の合計額よりもすでに多いことをレポートに挙げています。

出典:Financial Crimes Enforcement Network
Financial Trend Analysis – Ransomware Trends in Bank Secrecy Act Data Between January 2021 and June 2021」(2021/10/15)

これまでのバックナンバーでも触れてきましたように、ランサムウェアは変遷が激しく、日々新種や亜種が生まれ、大きな勢力を持っていたものですら、すぐに入れ替わってしまいます。

2020年以降のランサムウェアの変貌について、SQAT.jpでは以下の記事でご紹介しています。
こちらもあわせてご覧ください。
変貌するランサムウェア、いま何が脅威か―2020年最新動向―
ランサムウェア最新動向2021―2020年振り返りとともに―
APT攻撃・ランサムウェア―2021年のサイバー脅威に備えを―

このようにランサムウェアがRaaSとしてビジネス化している中で、依然として攻撃件数や被害総額は増えており、ランサムウェアの種類の移り変わりの激しさを見ても、活発な市場であることがわかります。

国内レポートにおけるランサムウェア事情

次は日本国内における最近のランサムウェア攻撃事情もみていきましょう。2021年9月に警察庁が公開した 「令和3年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、ランサムウェア攻撃による被害が多発している中で、昨今のランサムウェアは下記のような特徴があるとしています。

二重恐喝
(ダブルエクストーション)
データの暗号化だけでなく、窃取したデータを使って
「対価を支払わなければデータを公開する」などと二重に金銭を要求する手口
標的型ランサムウェア攻撃特定の個人や企業・団体を狙って、事前にターゲットの情報を収集し、より確度の高い攻撃手法で実行する攻撃
暗号資産による金銭の要求身代金の支払いを暗号資産で要求する
VPN機器からの侵入従来は不特定多数を狙って電子メールを送る手口が一般的だったが、現在はVPN機器からの侵入が増えている
出典:https://www.npa.go.jp/publications/statistics/cybersecurity/data/R03_kami_cyber_jousei.pdfより弊社作成

同報告書によると、2021年上半期に都道府県警察から報告があった企業・団体等のランサムウェアの被害件数は61件であり、前年下半期の21件と比べると大幅に増加しました。被害を受けた企業・団体等は、大企業・中小企業といった規模や業界業種は問わずに被害が報告されている状況です。表でご紹介した昨今のランサムウェアの特徴である二重恐喝は、手口を確認できた被害企業のうち77%で実施され、また暗号資産による支払い請求は90%にもおよびました。

さらにランサムウェアの感染経路に関してもVPN機器からの侵入が55%で最も多く、次いでリモートデスクトップからの侵入が23%となっており、リモートワークが浸透してきた昨今の時勢からみると、まだセキュリティ対応の追いついていない穴をつく攻撃が多いことがわかります。

警察庁が被害を受けた企業・団体等に向けて実施したアンケートによると、被害後、復旧に要した期間は「即時~1週間」が最も多く全体の43%にあたります。次いで多いのは「1週間~1ヶ月」であることから、多くの企業は早々に復旧できているようです。

しかしながら、被害後の調査および復旧時の費用総額を見てみると、最も多いのは「1,000万円以上5,000万円未満」で全体の36%となっています。復旧の期間だけで見ればそれほど被害を大きく感じないところではありますが、調査および復旧時の費用総額を考えると、かなりのコストがかかってしまっているのが実情です。


注:図中の割合は小数点第1位以下を四捨五入しているため、総計が必ずしも100にならない

出典:https://www.npa.go.jp/publications/statistics/cybersecurity/data/R03_kami_cyber_jousei.pdf

またそういったコスト以外にも、ランサムウェアによる被害が業務に与えた影響について、「一部の業務に影響あり」と90%が回答しているものの、被害を受けた企業のうち2件は「すべての業務が停止」したため、もしランサムウェアの被害にあった場合はインシデント対応以外にも業務に支障が出てしまうことも忘れてはいけません。

なぜランサムウェア攻撃が増加していくの

ここまでみてきたとおり、国内外問わず依然として活発となっているランサムウェア攻撃ですが、なぜ拡大していく一方なのでしょうか。その理由として大きくは、下記のことが考えられます。

● RaaSビジネスとして儲かる市場ができている*2
● ランサムウェア攻撃をしても捕まりにくく、ローリスクハイリターンの状態である

既述の国外のランサムウェア事情でも触れましたように、ランサムウェアの市場は“稼げるビジネス”として活発であり、ビジネスとして儲けやすい状態にあります。

さらに攻撃者を捕まえるためにはこのように国際協力が必要不可欠であり、最近ようやく法整備などが整いつつある状況ではありますが、未だランサムウェア攻撃者が逮捕されにくいのが現状です。そういった状況からランサムウェア市場は今後も衰えることなく拡大していくことが想定されます。被害にあわないためにも、ランサムウェアを一時的な流行りの攻撃としてとらえるのではなく、今後も存在し続ける脅威だということを念頭において対策を行うことを推奨します。

進化し続けるランサムウェア

先に述べましたようにRaaSビジネス市場の活発さやランサムウェアの特徴の変化など、ランサムウェアは日々目まぐるしいスピードで進化し続けています。それに伴い、実際に被害件数や身代金の被害総額などが増加しているのも見てきたとおりです。また、テレワークやクラウドサービスの利用を緊急で対応した企業が多い中で、昨今のランサムウェアの特徴の一つである「VPN機器からの侵入」がメインの手法となっている今、そこが弱点となり得る企業が多く存在しています。

ランサムウェアの脅威は一時的なものではなく、来年、ないしはその先でも攻撃の手が伸びてくる可能性があることを忘れてはなりません。引き続きテレワーク・クラウド環境のセキュリティの見直しを行うことはもちろん、そういった働き方の変化に伴って増加している標的型攻撃メールやフィッシング攻撃についても警戒が必要です。

企業が行うべきランサムウェア対策の実効性評価

しかしながら、いくら警戒を強めて対策を行っていても、ランサムウェア攻撃を完全に防ぐことは難しいのが現実です。そこでBBsecが提案しているのは、完全に防ぐのではなく、攻撃への抵抗力を高めるという考え方です。そのために重要となってくるのは「攻撃・侵入される前提の取り組み」です。第一段階に侵入を防ぐ対策を行い、第二段階にもし侵入されてしまった場合に被害を最小化する対策を行うことで、多層防御を行うというものです。詳しくは「APT攻撃・ランサムウェア―2021年のサイバー脅威に備えを―」をご確認ください。

また、なかには思い浮かぶ限りの基本的な対策はすでに実施済みという方もいらっしゃるでしょう。そういった方々へ次のステップとしておすすめしているのは、「対策の有効性を検証する」という工程です。

BBsecでは多層防御実現のために「ランサムウェア対策総点検+ペネトレーションテスト」の組み合わせを推奨しています。

ランサムウェア対策総点検

「ランサムウェア対策総点検」では現状のリスクの棚卸を行うことが可能です。システム環境の確認や、環境内で検知された危険度(リスクレベル)を判定いたします。

ランサムウェア対策総点検サービス概要図
BBSecランサムウェア総点検サービスへのバナー
ランサムウェア感染リスク可視化サービス デモ動画

また弊社では、11月に「リスクを可視化するランサムウェア対策総点検」と題したウェビナーで、サービスのデモンストレーションとご紹介をしております。こちらも併せてご覧ください。

ペネトレーションテスト

「ペネトレーションテスト」では実際に攻撃者が侵入できるかどうかの確認を行うことが可能です。「ランサムウェア総点検」で発見したリスクをもとに、実際に悪用可能かどうかを確認いたします。

ペネトレーションテストサービス概要図

【例】

ペネトレーションテストシナリオ例

このように実際に対策の有効性を検証したうえで、企業・組織ごとに、環境にあった対策を行い、万が一サイバー攻撃を受けてしまった場合でも、被害を最小限にとどめられるような環境づくりを目指して、社員一人一人がセキュリティ意識を高めていくことが重要です。

Security Report TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

APT攻撃・ランサムウェア
―2021年のサイバー脅威に備えを―

Share

2021年の半分が終わりましたが、世界に衝撃を与えたセキュリティに関するトピックスと言えば、「APT攻撃」と「ランサムウェア」の二つが該当するでしょう。本記事ではこの二つのキーワードについて最新の攻撃事例をまとめてご紹介。被害を抑えるために有効な対策の考え方のポイントを解説していきます。

サイバー攻撃の種類

まず、意味を混同されがちな「フィッシング」「標的型攻撃」「APT攻撃」「ランサムウェア」という4つの攻撃についておさらいしましょう。また、過去記事の「サイバー攻撃を行う5つの主体と5つの目的」にも表を掲載しておりますので、あわせてご参照ください。

キーワード概要
フィッシング偽サイトやそこに誘導するメール等によって、無差別に被害者が罠にかかるのを待つサイバー攻撃
標的型攻撃特定のターゲットに的を絞り、実行されるサイバー攻撃
APT攻撃Advanced Persistent Threatの略。日本語では持続的標的型攻撃などと訳される。長い時間をかけて準備され、継続して行われる非常に高度な攻撃で、発覚に数年かかることもある
ランサムウェアファイルを暗号化することで、元に戻す復号化のための身代金を要求するマルウェア(悪質なソフトウェア)

こうしたサイバー攻撃は以前からありましたが、従来無差別に行われていたフィッシングはスピアフィッシングという高度にカスタマイズされた標的型の手法が展開されたり、ランサムウェアもばらまき型から標的型へシフトしたりするなど、近年は明確な目的を持った標的型の攻撃が増加傾向にあります。その中でも、2020年以降、特に取り沙汰されることが多くなったのが「APT攻撃」と「ランサムウェア」の二つです。

「APT攻撃」と「ランサムウェア」

脅威① APT攻撃

「APT攻撃」の最も大きなトピックスとしては2020年12月に起きたSolarWinds社のOrion Platformに端を発した史上最大規模のサプライチェーン攻撃*2があります。このサイバー攻撃については2021年6月現在でも収束に向けた努力が続けられており、先日もアメリカの政府機関が、ロシア対外情報庁(SVR)が支援する攻撃グループ、「APT29」の関与を発表*2するなどの進展を見せています。

下表は最近報告されたAPT攻撃事例の一部をまとめたものです。

APT攻撃の報告事例(2020年12月~2021年4月)
発表時期関連が疑われる攻撃者概要
2020年12月APT29およびロシア対外情報庁SolarWinds社のOrion Platformへの攻撃に端を発したサプライチェーン攻撃。悪意あるアップデートを介して行われ、多数の政府機関や企業を含めた組織に影響を与えた。
2020年12月TA453Charming Kittenなどとも呼ばれる攻撃グループによる、米国やイスラエルの医療専門家を標的にしたフィッシング攻撃*3。12月に確認されたキャンペーンは「BadBlood」という名称で知られている。
2021年1月APT34イランが関与しているとされるグループ「APT34」が偽の求人情報を用いてバックドアの新たな亜種を設置する攻撃*4を実施。
2021年3月APT10およびBlackTech日本の製造業を狙う攻撃キャンペーン「A41APT」が2019年~2020年に観測された*5。攻撃にはマルチレイヤーローダー「Ecipekac」が用いられた。
2021年3月中国政府が支援しているとされるAPTグループ米国、欧州、および東南アジアの主要通信企業をターゲットに5G技術に関連する情報を盗み取ることを目的とした攻撃*6。「オペレーション Diànxùn」と名付けられたスパイキャンペーン。
2021年4月未発表Fortinet社のネットワーク製品に組み込まれたFortiOSを狙った攻撃*7
2021年4月Tickおよび中国軍「61419部隊」JAXA(宇宙航空研究開発機構)へのサイバー攻撃および、国内約200の企業への攻撃に関与していると警察庁長官が発表*8した。

APT攻撃を行うグループは、国家規模の支援を受けるグループが多く、その手口も洗練されており、攻撃を受けたとしても気づけず、発覚までに時間がかかることもあるのが特徴の一つです。彼らの多くは、国家的利益や、標的国家に損害を与えることを目的としていますが、少数派ながら金銭目的で活動するグループも存在します。

こうしたグループの場合は、金融機関などを狙うこともあります。彼らは入念に情報を収集し、得た情報を用いてネットワーク上のみならず、人的あるいは物理的な攻撃手段までをも検討し、綿密な攻撃計画を立てたうえで攻撃を行います。そして攻撃を成功させたなら、攻撃が露見しないようにひそやかに活動を続け、長期にわたって被害組織から情報を窃取するなどの攻撃を続けます。彼らは自分たちが攻撃した痕跡を消してしまうこともあるため、一度攻撃を受ければどれだけの期間、どれだけの影響範囲で攻撃を受けていたのかを突き止めるのは困難となります。加えて、APT攻撃グループは入念な情報収集から、標的組織の脆弱な部分を割り出して狙うことが多く、その特性からサプライチェーン攻撃となることもあります。

例えば、特定の複数の金融機関をターゲットとしたものの、セキュリティ対策が強固であったために直接的な攻撃が困難なケースを想定します。しかし、情報収集の段階でそれら金融機関が共通の管理ソフトウェアを使用していることが判明したため、当該ソフトウェアの提供元を攻撃し、ソフトウェアアップデートを改竄することで、標的の金融機関を一斉にマルウェア感染させる、といったサプライチェーン攻撃が実行可能となります。

脅威② ランサムウェア

一方、「ランサムウェア」についてはアメリカの大手石油パイプライン運営企業のColonial Pipeline社が、ランサムウェアによるサイバー攻撃を受け*9、5日にわたってシステムを停止することになった事件がありました。その結果、ガソリンを求める市民がガソリンスタンドに押し寄る事態に発展し、米運輸省は混乱鎮静のために燃料輸送に関する緊急措置導入を発表*10するなどして対応しました。こうしたことからも、社会インフラを襲ったこのサイバー攻撃の影響度をはかることができます。

ランサムウェア攻撃の報告事例(2020年12月~2021年6月)
時期 被害組織 ランサムウェア 概要
2020年12月
2021年1月
教育機関や
通信企業等
Cl0p ファイル転送アプライアンスである「Accellion FTA」の脆弱性を悪用するランサムウェア*11。攻撃グループは、奪取したデータの証拠として機密情報を含むいくつかのファイルを流出させた。
2021年3月 広範囲に及ぶ DearCry 「WannaCry」に類似したランサムウェアでMicrosoft Exchange Serverの脆弱性を悪用する*12
2021年5月 Colonial Pipeline DARKSIDE 攻撃されたことによってシステムが5日間停止した。同社は東海岸へのガソリン、ディーゼル、ジェット燃料の大部分を担っており大きな問題となった。
2021年5月 アメリカ国内の医療機関や警察、自治体 Conti FBIが昨年1年間でアメリカ国内の医療機関や警察、自治体を標的としたContiによるランサムウェア攻撃を少なくとも16件確認したと発表*13している。
2021年6月 JBS REvil ブラジルの食肉加工大手企業JBSのアメリカ部門が攻撃*14された。アメリカやオーストラリアの食肉工場の操業が停止になった。
2021年6月 国内精密化学企業 未発表 同社は6月1日夜に不正アクセスを認識し、2日にランサムウェアによる攻撃であると発表*15した。


ランサムウェアは、その存在自体は前世紀から存在しており、猛威を振るうようになったのは2005年以降ですが、ここ数年で大きく変化しています。2021年現在の主流となっているランサムウェアの特徴の一つがRaaS(Ransomware-as-a-Service)であることです。

これは、ランサムウェアがダークウェブ上で利用できるサービスとして提供されているというものです。RaaSの中には、身代金要求額の算定や、標的選定の支援、提供する開発グループからカスタマーサービスを受けられるものすらあります。RaaSを利用する攻撃者は、得た身代金の何割かを開発者に取り分として渡すことになっている場合もあり、ランサムウェアがビジネスとしてサービス化されています。こうしたサービスの登場により、高度な技術的知識がなくても攻撃者がランサムウェアを扱えるようになり、ランサムウェアビジネスに参入する攻撃者が増加しているとみられています。

また、ダークウェブ上にアップローダーを持つことがトレンドとなっている点も大きな変化です。これは従来のようにただ脅迫するのではなく、攻撃した企業から窃取した情報の一部を用意したアップローダーに公開することで、「身代金の支払いをしなければ、情報を漏えいさせる」と脅し、身代金要求の圧力を強める役割を持っています。こうしたランサムウェアは「二重脅迫型」と呼ばれています。また、「身代金要求に応じなければさらにDDoS攻撃を行う」といった脅迫をするケースも現れており、こうしたものも含めて「他重脅迫型」とも呼ばれることもあります。

現在のランサムウェアは、犯罪ビジネスとして洗練されてきており、今後も攻撃は拡大すると予測されます。

「APT攻撃」と「ランサムウェア」の共通点

国家規模の支援を受けて行われるAPT攻撃と、金銭目的で行われるランサムウェアに、共通点は少ないように思えます。しかし、2021年現在、両者には非常に大きな共通点がみられます。それは資金的・人的リソースが豊富で、高度で洗練された攻撃手法を確立しているという点です。

ランサムウェア市場はRaaSによって参入障壁が下がったこともあり、これまで別の犯罪ビジネスを行っていた組織が参入していると考えられ、また高額な身代金要求によって、豊富な資金が攻撃者の手にわたっています。資金と人的リソースが確保できたことで、ランサムウェア攻撃はさらに高度化が進み、従来の単純な攻撃モデルから、今やAPT攻撃に近しいレベルにまで洗練させたビジネスモデルへと変貌を遂げています。特定の組織や企業を標的としたランサムウェア攻撃の脅威はAPT攻撃に匹敵するものとなっており、より一層の警戒が必要です。

APT攻撃・ランサムウェアに有効な対策

APT攻撃にせよ、ランサムウェアにせよ、いまや完璧な防御を望むのは困難となっています。こうした脅威への対策における重要なポイントは2つあります。

① 「攻撃・侵入される前提」で取り組む
 こちらについては、「拡大・高度化する標的型攻撃に有効な対策とは
―2020年夏版
」にある「侵入」「侵入後」の対策の確認方法もあわせてご覧ください。

侵入への対策
目的:システムへの侵入を防ぐ
  侵入後の対策
目的:侵入された場合の被害を最小化する
・多要素認証の実装 ・不要なアカウント情報の削除(退職者のアカウント情報など)
・公開サーバ、公開アプリケーションの脆弱性を迅速に発見・解消する体制の構築
・VPNやリモートデスクトップサービスを用いる端末
・サーバのバージョン管理(常に最新バージョンを利用) ・ファイアウォールやWAFによる防御 など 
  ・社内環境におけるネットワークセグメンテーション
・ユーザ管理の厳格化、特権ユーザの限定・管理(特にWindowsの場合)
・侵入検知(IDS/IPSなど)、データバックアップといった対策の強化
・SIEMなどでのログ分析、イベント管理の実施
・不要なアプリケーションや機能の削除・無効化
・エンドポイントセキュリティ製品によるふるまい検知の導入
対策の有効性の確認方法
・脆弱性診断
・ペネトレーションテスト
  ・ペネトレーションテスト

②侵入を前提とした多層防御が重要
 あらためて、多層防御の状況を点検し、攻撃耐性を高めていくことが求められています。こちらについては、「高まるAPT攻撃の脅威」もあわせてご覧ください。

・標的型攻撃メール訓練等による社員のセキュリティ
・教育インシデント時の対応フロー・ポリシー・ガイドラインの整備策定・見直し
・情報資産の棚卸

今年は1年延期されていた東京オリンピック/パラリンピックの開催が予定されています。こうした世界的イベントはサイバー攻撃の恰好の標的であり、攻撃者にとっては準備期間が1年余分に確保できていたことにもなります。セキュリティ対策が不十分な組織は、7月から8月にかけて発生が予想される様々なサイバー攻撃に対して脆弱となり得る可能性があります。攻撃・侵害されることが前提の時代において、被害を受けてから慌てて対応するのではなく、予防的対策をしっかり行い、かつセキュリティ事故発生時に影響を最小限に抑えられる体制および環境作りを心掛けましょう。

参考情報:
https://www.jpcert.or.jp/research/apt-guide.html
https://www.ipa.go.jp/archive/security/security-alert/2020/ransom.html


BBSecでは

当社では以下のようなご支援が可能です。

<侵入前・侵入後の対策の有効性確認>

<APT攻撃・ランサムウェアのリスクを可視化>+
<資産管理>

<セキュリティ教育>

標的型攻撃メール訓練

Security Report TOPに戻る
TOP-更新情報に戻る

「資料ダウンロードはこちら」ボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

「お問い合わせはこちら」ボタン

サービスに関する疑問や質問はこちらからお気軽にお問合せください。


SQATセキュリティ診断サービスの告知画像

BBSecロゴ

リクルートページtop画像

セキュリティトピックス告知画像