ソーシャルエンジニアリングとは?その手法と対策

Share

今回は、サイバー攻撃の変わり種、システムではなく人間の弱点に付け入る攻撃、ソーシャルエンジニアリングを紹介します。

まずソーシャルエンジニアリングの具体的な手法を挙げ、どのように人間の弱点が利用されるのかを説明し、日本で起こったソーシャルエンジニアリングによる被害実例を紹介します。

途中ちょっと寄り道をして、オレオレ詐欺はソーシャルエンジニアリングなのかどうかについて考えつつ、最後に具体的かつ実践的な対策方法と、逆効果となる、とある対策・管理方針について言及します。

ソーシャルエンジニアリングとは

ソーシャルエンジニアリングは、人の心理を巧みに操り、重要な情報を引き出す手法です。この手法を使った攻撃がソーシャルエンジニアリング攻撃で、攻撃者は情報収集やシステムへの不正アクセスなどを目的に、人を心理的に操作して、攻撃者にとって都合のいい行動を起こさせます。

認知能力、心理など「人間の脆弱性」を攻撃するソーシャルエンジニアリング

アメリカの非営利のセキュリティ研究団体MITRE社の説明によると、ソーシャルエンジニアリングとは、人心を巧みに操り、その弱みにつけこんで、悪意ある相手に利するような行動や情報を引き出すというものです。具体的な例を挙げると、技術的な手段によらずに、口頭による会話といった「社会的(ソーシャル)」な手段で、ID・パスワードなどの重要情報を、巧みなやり方で関係者から直接聞き出す行為などがソーシャルエンジニアリングです。大きくは、人間の認知能力のさまざまな弱点やスキにつけ込む手法全般のことだといえるでしょう。

脆弱性診断サービスを提供するBBSecとして「脆弱性」という観点で申し上げるなら、ソーシャルエンジニアリング攻撃は「システムやソフトウェアではなく人間の脆弱性を突く攻撃」と言うことができます。

ソーシャルエンジニアリングの手法

以下に典型的なソーシャルエンジニアリングの手法を挙げます。

・ショルダーハッキング
  例)パスワード等をユーザの肩越しに覗き見る
・トラッシング(スカベンジング)
  例)清掃員などに変装して標的組織に侵入し、書類やHDDなどのゴミや廃棄物をあさる
・なりすまし電話
 例)システム担当者などになりすましてパスワードなどを聞き出す
・ベイティング
 例)マルウェアを仕込んだUSBメモリを廊下に落とす
・フィッシング(ヴィッシング、スミッシング等 含む)
  例)信頼できる存在になりすまし、ID・パスワード、クレジットカードなどの情報を入手する
・ビジネスメール詐欺
 例)取引先などになりすまし、犯人の口座へ振込を行わせる
・標的型攻撃メール
 例)ターゲットに対する入念な調査に基づいて作成した、完成度の高いなりすましメールを送る

たとえば「なりすまし電話」ですが、上記に挙げた例とは逆に、入社したばかりの何も知らない社員を装ってシステム担当者に架電し、やり方がわからないふりをするなどして徹底的にイライラさせて、思わずパスワードを口に出させるなどの方法も存在します。人間の認知能力のスキをつくソーシャルエンジニアリングには、実にさまざまな方法があるのです。

ソーシャルエンジニアリングの最大の特徴とは

人の脆弱性を突くソーシャルエンジニアリングの最大の特徴は、ターゲットを信頼させ、攻撃者に有益な情報の提供などを自発的に行わせてしまう点にあります。MITRE社の説明に「人を操る」とあった通り、権力や暴力を振りかざして重要情報を聞き出した場合、それは単なる脅迫であってソーシャルエンジニアリングではありません。

ターゲットの心を意のままに操作して、自発的に、ときに笑顔で協力させてしまう点にこそ、ソーシャルエンジニアリングを行う犯罪者の真骨頂があります。

ソーシャルエンジニアリングはどのように人間の弱点につけ込むのか

ソーシャルエンジニアリングは攻撃対象が信頼してしまう存在などになりすましてターゲットを信頼させ、心を開かせたり油断させることで行われます。

そのために攻撃者がしばしば目を付けるのが、「権威」に対する人間の弱さです。会社の取締役を装って電話をかける、得意客になりすましたビジネスメールを送る、大手金融機関や有名ブランドをかたったフィッシングメールを送る、などの手口に騙されるのが典型的なケースです。

なお、メールアカウントを乗っ取って旧知の取引先などになりすましたメールを送信することで拡散を図るEmotetは、フィッシングを行うマルウェアであり、ソーシャルエンジニアリングの一類型と言うことができます。

オレオレ詐欺はソーシャルエンジニアリングか

権威以外にも「義務感」「正義感」あるいは「好意」につけ込む方法もよく用いられます。多くの人は、困っている人に出会ったら「助けなければ」と感じます。助ける相手が親しい人物や好感を持てる人物であればなおさらです。

そこで思い浮かぶのがオレオレ詐欺ですが、ちなみに、この手の犯罪は、「ソーシャルエンジニアリング」なのでしょうか?

答えはNoです。ソーシャルエンジニアリングは、コンピュータセキュリティの文脈で使われる言葉であり、コンピュータやシステムへの不正アクセスを行うことを目的のひとつに含むという前提があります。そのため、オレオレ詐欺がソーシャルエンジニアリングと呼ばれることは一般にはほとんどありません。

ニューノーマル、テレワーク時代に気をつけたいソーシャルエンジニアリング

大きな環境変化の最中や直後などは、ソーシャルエンジニアリングの絶好の機会です。平時にはない緊張を強いられることで人々の不安やストレスが増し、感情的に動揺しやすくなるためといわれています。2020年、新型コロナウイルスの感染が一気に拡大した当初も、品薄状態だったマスクの配布をうたうメールやWebサイト、保健所からの連絡を装った攻撃などが複数確認されました。ニューノーマル時代、こうした攻撃に引き続き警戒が必要であることはいうまでもありません。

また、テレワークによって従業員どうしが切り離された就業環境においては、フィッシングメール標的型攻撃メールの感染確率が上がると言われています。これは、オフィスにいたなら同僚や情報システム部門に「変なメールが届いた」と気軽に相談できていたことが、テレワークによって難しくなるからです。

日本で起こったソーシャルエンジニアリングの実例

2015年に発生した日本年金機構の情報漏えい事件は、「【医療費通知】」という件名の標的型攻撃メールが公開メールアドレスに届き、その添付ファイルを開いたことが発端であったとされています。

また、2017年に大手航空会社がビジネスメール詐欺で数億円をだましとられた事件も、2018年に仮想通貨取引所から暗号資産が流出した事件も、いずれもソーシャルエンジニアリングが攻撃のステップのひとつとして用いられています。

ソーシャルエンジニアリング対策・防止策

では、こうしたソーシャルエンジニアリングを防止する対策方法には、どのようなものがあるのでしょうか。

ソーシャルエンジニアリングの手法」で挙げた攻撃に対しては、たとえばショルダーハッキングならプライバシーフィルターを利用する、ビジネスメール詐欺ならメールの指示をうのみにせず本人に電話をして確認するなど、さまざまな対策方法が存在します。また、近年攻撃者はSNSを活用してターゲットに関する情報を集めることが知られていますので、SNSの利用に組織としてルールを設けるなどの方法も有効です。研修や教育なども効果があります。

しかしその一方で、人間の脆弱性を突く攻撃を完全に防ぐことはできない、という観点に基づいた対策も、併せて必要になります。攻撃を防ぐ対策と同時に、攻撃が防げなかった場合(成功してしまった後)の対策も考える必要があるのです。BBSecはこの考えのもと、標的型攻撃リスク診断やペネトレーションテストなどのサービスを提供し、攻撃を受けることを前提としたセキュリティ対策に取り組む企業・組織の皆様をご支援しています。

企業が絶対にやってはいけないソーシャルエンジニアリング対策

ソーシャルエンジニアリングは人間の脆弱性を突く攻撃です。だからこそ、対策として絶対にやってはいけないことがあります。それは、騙された人を叱責する、何らかのペナルティを与える等の懲罰主義の管理です。

罰を受けるのを恐れることによって、事故が発生しても報告がなされず、それが、インシデントの発見の遅れを招き、組織にとっての致命傷を生むことがあります。あなたも私も、人間は皆、あやまちを犯す生き物なのです。あやまちを犯すことが覆い隠されてしまうような管理は、何の成果も上げられないでしょう。

まとめ

  • ソーシャルエンジニアリングとは、人の心を操って重要情報等を聞き出したりすることです。
  • ショルダーハッキング、フィッシング、ビジネスメール詐欺、標的型攻撃メールなど、さまざまな手法があります。
  • ソーシャルエンジニアリングは、「権威」「義務」「好感」などに惑わされる人間の弱さをあらゆる手口で突いてきます。
  • 環境が急激に変化する時は、ソーシャルエンジニアリングの付け入るスキが生まれます。ニューノーマルや急速なテレワーク化への対応を迫られる現在も、その例外ではありません。
  • 懲罰主義による管理は、ソーシャルエンジニアリング対策として何の効果もなく、インシデント発生の対応が遅れる要因になります。

Security Report TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

IPA 情報セキュリティ10大脅威からみる
― 注目が高まる犯罪のビジネス化 ―

Share
瓦版vol.20アイキャッチ画像(犯罪ビジネスとハッカーのイメージ写真)

近年、サイバー犯罪はビジネス化が危惧されています。これまで高度な技術をもつ人だけが実行できていたサイバー攻撃も、攻撃のための情報がサービスとして公開されていたり、ツールを活用したりすることで、誰でも容易に実行することが可能となっています。犯罪のビジネス化が進む世の中で我々が対抗できる手段はあるのでしょうか。本記事では、注目される犯罪のビジネス化としてRaaSやDDoS攻撃などのビジネスモデルをご紹介しつつ、サイバー攻撃に備えるにはどのような手段をとればいいのか、という点について解説いたします。

「犯罪のビジネス化」が「情報セキュリティ10 大脅威」に5年ぶりのランクイン

2023年1月25日、独立行政法人情報処理推進機構(IPA)は「情報セキュリティ10大脅威 2023」(組織・個人)を発表しました。組織編の脅威に2018年を最後に圏外となっていた「犯罪のビジネス化(アンダーグラウンドサービス)」が再びランクインしました。

アンダーグラウンドサービスとは、サイバー攻撃を目的としたツールやサービスを売買しているアンダーグラウンド市場で取引が成立し、経済が成り立つサービスのことです。これらのツールやサービスを悪用することで、攻撃者が高度な知識を有していなくとも、容易にサイバー攻撃を行うことが可能となります。そのため、ランサムウェアやフィッシング攻撃といったサイバー攻撃がますます誘発され、脅威となるのです。

出典:独立行政法人情報処理推進機構(IPA)「情報セキュリティ10大脅威 2023」(2023年3月29日)組織向け脅威

ランサムウェアをサービスとして提供するRaaS(Ransomware-as-a-Service)

勢いを増しているサイバー犯罪のビジネスモデルとしてRaaS(Ransomware-as-a-Service)があります。RaaSとはランサムウェアが主にダークウェブ上でサービスとして提供されている形態のことで、RaaSを利用した攻撃者は、得た身代金の何割かを開発者に取り分として渡す仕組みになっていて、そうやって利益を得ていることなどがあります。

ランサムウェアが増加している理由についてはSQAT.jpでは以下の記事でご紹介しています。こちらもあわせてご覧ください。
ランサムウェア攻撃に効果的な対策‐セキュリティ対策の点検はできていますか?‐

図1:Raasビジネスを利用した攻撃の一例

Raasビジネスを利用した攻撃の一例画像

昨今のランサムウェア攻撃の特徴として、ランサムウェア攻撃により行われる脅迫は暗号化したデータを復旧するための身代金の要求に加えて、支払わなければ奪取したデータを外部に公開するといった二重の脅迫から、さらに支払うまでDDoS攻撃(※)を行うといった三重の脅迫から、さらにはそれでも支払いを拒否された場合には、盗んだ情報をオークションで売られてしまうといった事態に発展するなど、より被害が拡大しています。
※DDoS攻撃・・・多数の発信元から大量のデータを送り付けることでサーバを停止させる攻撃のこと。

図2:データの暗号化+データの公開+DDos攻撃による三重脅迫

データの暗号化+データの公開+DDos攻撃による三重脅迫画像

また、従来のランサムウェアの攻撃の手口は不特定多数に対して無差別に行うばらまき型と呼ばれる手法でしたが、近年では攻撃手法が多様化しています。以下の表は攻撃手法と事例です。

年月攻撃手法事例
2020/6標的型ランサムウェア攻撃 国内自動車メーカーの社内システムが、EKANSの攻撃を受け、日本を含む各国拠点で一時生産停止に陥るなど大きな被害を受ける。
2022/1USBデバイスを使用した
ランサムウェア攻撃
米国で攻撃者が官公庁や有名販売サイトを装い、パソコンに接続することでランサムウェアを感染させる細工を施したUSBデバイスを送付。2021年8月には運輸および保険業界の企業、11月には防衛産業企業に送られており、FBIが注意喚起を行う*1
2022/10サプライチェーン攻撃に
よるランサムウェア感染
2022年10月の大阪府の病院を狙った事例では、同病院へ給食を提供している委託事業者のサービスを通じて、ネットワークに侵入された可能性が高いと報道があった。

取り上げた事例の詳細について、SQAT.jpでは以下の記事でご紹介しています。こちらもあわせてご覧ください。
2022年6月の事例:「ランサムウェア最新動向2021 ―2020年振り返りとともに―
2022年10月の事例「拡大するランサムウェア攻撃!―ビジネスの停止を防ぐために備えを―

このように、被害者が身代金の要求により応じやすくなるような脅迫に変化し、また攻撃手法も多様化することにより、攻撃の巧妙化によって高い収益をあげられることから、今後もランサムウェア攻撃は続くことでしょう。その背景には攻撃の実行ハードルを下げるRaaSの存在があることが考えられます。

フィッシング攻撃やDDoS攻撃もサービス化へ

フィッシング攻撃とは、有名企業等になりすますなどして偽装したメールやSMSにより、本物そっくりの偽サイトに誘導したり、悪意ある添付ファイルを実行させようとしたりするサイバー攻撃です。このフィッシング攻撃により、マルウェアを使った重要情報の奪取や、ランサムウェアの感染拡大などを行う事例*2も確認されています。

2022年11月から感染が再拡大しているマルウェア「Emotet」も、この手口を利用することで拡大しました。Emotetに感染し、メール送信に悪用される可能性がある.jpメールアドレスの数は、Emotetの感染が大幅に拡大した2020年に迫る勢いとなっています。

図3:Emotetの攻撃例イメージ図

Emotetの攻撃例イメージ図画像

フィッシング攻撃もサービス化が進んでいます。2022年9月、米国のResecurity社はダークウェブにおいて二要素認証を回避する新たなPhaaS(Phishing-as-a-Service)が登場したと発表しました。このPhaaSは「EvilProxy」と命名され、二要素認証による保護を回避する手段として、「リバースプロキシ」と「クッキーインジェクション」を使用し、被害者のセッションをプロキシング(代理接続)するというものです。このような複雑な仕組みの攻撃がサービス化されたことにより、今後フィッシング攻撃がますます活発化することが考えられます。

そのほかにも、直近では米国で定額料金を支払うことで代行してDDoS攻撃を行うサービス「DDoS攻撃代行サブスクリプションサービス」を提供するサイトの運営者が逮捕される事件*3がありました。DDoS攻撃を行う目的は「金銭目的」「嫌がらせ」「抗議の手段」「営利目的」など攻撃者の背景によって異なります。逮捕に至ったこのサービスでは2000人以上の顧客を抱えており、これまでに20万件以上のDDoS攻撃を実行したと報道がありました。ここからみえてくるのは、様々な事情を抱えた攻撃者にとって、「求められているサービス」であったということです。

犯罪ビジネスサービス利用者の標的にならないために

ここまでランサムウェアやフィッシング等のサイバー攻撃がビジネス化されている例をみてきました。このように犯罪に使用するためのサービスは、アンダーグラウンド市場で取引され、これらを悪用したサイバー攻撃が行われるというビジネスモデルが存在しているのです。サービスを利用するだけで、高度な知識をもたない攻撃者であっても、容易にサイバー攻撃を行えることから、犯罪のビジネス化は今後さらに進み、特にランサムウェア攻撃やフィッシング攻撃は活発化することが考えられます。

これらの犯罪ビジネスサービス化の拡大により増えることが想定されるランサムウェア攻撃とフィッシング攻撃に対して、攻撃を行う機会を与えないために以下のような基本的な対策が有効でしょう。

ランサムウェア対策

■定期的なバックアップの実施と安全な保管
 (物理的・ネットワーク的に離れた場所での保管を推奨)
 ⇒バックアップに使用する装置・媒体は、バックアップ時のみパソコンと接続
 ⇒バックアップに使用する装置・媒体は複数用意する
 ⇒バックアップから復旧(リストア)可能であることの定期的な確認
■OSおよびソフトウェアを最新の状態に保つ
■セキュリティソフトを導入し、定義ファイルを常に最新の状態に保つ
■認証情報の適切な管理(多要素認証の設定を有効にするなど) など

フィッシング対策

■ソフトウェアを最新にするなどパソコンやモバイル端末を安全に保つ
■従業員教育を行う
 ⇒不審なメールやSMSに注意する
 ⇒メールやSMS内に記載されたURLを安易にクリックしない
 ⇒メールやSMSに添付されたファイルを安全である確信がない限り開かない
■標的型攻撃メール訓練の実施 など

なお、セキュリティ対策は一度実施したらそれで終わりというものではありません。サイバー攻撃の手口は常に巧妙化し、攻撃手法も進化し続けているためです。脆弱性診断を定期的に行うなど、継続してサイバー攻撃に備えていくことが必要です。また、セキュリティ対策を実施した後も、侵入される可能性はないのか、万が一感染した場合はその影響範囲はどの程度かといった現状把握を行い、実装したセキュリティ対策の有効性を確認することが大切です。

BBSecでは以下のようなご支援が可能です。 お客様のご状況に合わせて最適なご提案をいたします。

<侵入前・侵入後の対策の有効性確認>

BBSecでは、第一段階に侵入を防ぐ対策を行い、第二段階にもし侵入されてしまった場合に被害を最小化する対策を行うことで、多層防御を実現する、「ランサムウェア対策総点検+ペネトレーションテスト」の組み合わせを推奨しています。

※外部サイトにリンクします。

Security Report TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

Emotet再来!マルウェア感染被害をどう防ぐか

Share
マルウェア感染したPCのイメージ

マルウェア「Emotet」の感染が、今年3月より急速に拡大しています。主な手口はメール攻撃ですが、過去の流行時に中心となっていた不特定多数に対するばらまき型でなく、特定の企業・組織を狙った標的型攻撃ツールとしての手法に進化しています。本記事では、これまでのEmotetの攻撃活動を整理したうえで、企業・組織がマルウェアの被害を防御・最小限にとどめるためにどのような対策をとればよいのかについて、解説していきます。

悪名高きEmotetが帰ってきた!

2021年11月、”世界で最も危険なマルウェア(world’s most dangerous malware)”と称された「Emotet」の活動再開が、明らかになりました。*4

Emotetとは?の説明
Emotetの活動年表

Emotet興亡の様相は、おおむね右年表のとおりです。2019年から2020年にかけて、国内でも多くの企業・組織が被害を受けました。2021年1月に一度終焉を迎えた様子については、「ランサムウェア最新動向2021―2020年振り返りとともに―」でも取り上げました。

一網打尽にされたはずだったEmotetの復活には、マルウェアボットネット「TrickBot」が関係していると見られています*2 。以前TrickBotに感染したシステムに対してEmotetをインストールすることで、再び感染開始が可能になったと報告されています。こうしたTrickBotとEmotetの補完関係を利用した復活は、一部の専門家は予想済みの展開だったようです。

復活したEmotetの脅威は…

再開が観測されて以後、2018~2020年に発生したような大規模なスパム送信攻撃は、2021年12月では報告されていません。しかしながら、巧みに不正の痕跡を隠ぺいするといった、Emotetのマルウェアとしての有能さを考慮すると、深刻な脅威であることに変わりはありません。TrickBotに類する攻撃に有効な新しいボットネットの登場も予想されるため、引き続き警戒が必要です。

実際、IPA(独立行政法人情報処理推進機構)によると、活動再開が確認されてから、Emotet攻撃メールと見られる着信が複数観測されています*3 。また、警察庁の解析によると、攻撃対象のメールソフトとして、これまで知られていたOutlookのほか、Thunderbirdのようなオープンソースのメールソフトにも対象が拡大している*4とのことです。

主な感染経路:メール添付ファイルにご注意!

Emotetの主要な手口は、メール攻撃です。2020年にNICT(国立研究開発法人情報通信研究機構)は同機構宛に届いたEmotet攻撃メールには、「doc ファイル添付型」「URL記載型」「zipファイル添付型」が見られた*5という分析結果を公表しました。2021年には、IPAに寄せられた相談事例から、新たな手口として 「Excelファイルの悪用」と「PDF閲覧ソフトの偽装」が紹介*6されています。

メールを感染経路としたEmotetの動作概要は下図のとおりです。

メールによるEmotetの感染後の影響
出典:「Emotetの解析結果について」(警察庁 @police)https://www.npa.go.jp/cyberpolice/important/2020/202012111.html

感染防止のためにユーザが実践すべき注意事項の基本は変わりません。確実に信用できるメール以外は、メールに添付されたファイルを開かない、編集しない、そして「コンテンツの有効化」ボタンをクリックしないこと。また、メール本文に記載されたURLリンクを不用意にクリックしないこと、たとえクリックしてしまった場合でも遷移先のサイトでデータの閲覧やダウンロードを行わないこと、といった内容になります。

Emotetの感染、関連するネットワークへの感染拡大、ランサムウェアをはじめとした別のマルウェアへの感染……といった深刻な被害の連鎖を生んでしまうか否か、受信者の行動が明暗を分けます。

注意するだけでは防げない巧妙なメール攻撃も…

被害相談例の図(IPA)
出典:IPA(独立行政法人情報処理推進機構)
「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて」(2021年12月)

今時そんな見え透いたメール攻撃にはひっかからない、と思われる方もいらっしゃるかもしれません。確かに、ばらまき型メール攻撃なら、うっかり開けることはないという方も多いでしょう。しかし、標的型攻撃の場合はどうでしょうか。どう見ても取引先からとしか思えないような、絶妙なタイミングと巧妙な内容で偽装されたメール攻撃を受けることがあります。

右図は実際にIPAに2021年12月に寄せられた相談例だそうです。このようなケースでは、いくら注意しても完全に防ぎきることが難しいのが現実です。

マルウェア対策は組織一丸で

以上のような状況を踏まえ、企業・組織がEmotetをはじめとしたマルウェアの被害を防御、あるいは最小限にとどめるためにはどのような対策を講じるべきでしょうか。以下のような例が挙げられます。

マルウェアの組織的対策の項目例

マルウェア対策のモデルケース

限りある予算と時間の中で、すべての対策を講じることは困難なので、それぞれの企業・組織の現状に応じて取り組む必要があります。

マルウェア対策のモデルケースサイクル図

自企業・組織の位置づけに応じて、今取り組むべき具体的な対策を見つけるには、例えば、右図のようなマルウェア対策のフェーズの視点で検討してみるとよいかもしれません。

スパムメールに対する従業員の知識が全くない組織であれば、標的型メール訓練を行ってリテラシーの向上を図ることから始めるといいかもしれません。従業員教育は行っているけれども、技術的な対策はウイルス対策ソフトを導入しているのみという組織であれば、感染してしまった場合にどのくらいの被害を受けるか調査してみると、優先的に実施すべき対策を検討する糸口となることでしょう。あるいは、メールセキュリティサービスをすでに利用しており、不正アクセス対策にもある程度自信があるという組織であれば、そういったセキュリティ対策が本当に有効に機能しているか、ペネトレーションテストのようなサービスを利用して実際に確認してみることをおすすめします。

マルウェア対策の回答は1つではなく、多層防御がカギとなります。マルウェア課題の解消をお手伝いする、BBSecご提供サービスの一部をこちらにご紹介します。

Emotetご相談窓口開設中!

BBSecでは急増するお問い合わせに対し、Emotet専用ご相談フォームをご用意しています。何かおかしい、気になる、そんな時はすぐご相談ください。

※外部サイトへリンクします。

標的型攻撃メール訓練サービス

https://www.bbsec.co.jp/service/training_information/mail-practice.html
※外部サイトへリンクします。

ランサムウェア対策総点検

https://cr.bbsec.co.jp/ransomware
※外部サイトへリンクします。

標的型攻撃メール訓練・ランサムウェア対策総点検のサービス概要図

SQAT® ペネトレーションテスト

「ペネトレーションテスト」では実際に攻撃者が侵入できるかどうかの確認を行うことが可能です。「ランサムウェア総点検」で発見したリスクをもとに、実際に悪用可能かどうかを確認いたします。

【シナリオ例】 疑似マルウェア連携

https://www.sqat.jp/sqat-penetration-test/

関連リンク:

●SQAT® 情報セキュリティ瓦版 2020年1月号
 「高まるAPT攻撃の脅威」
 https://www.sqat.jp/information/235/
●SQAT® 情報セキュリティ瓦版 2020年8月号
 「拡大・高度化する標的型攻撃に有効な対策とは―2020年夏版」
 https://www.sqat.jp/kawaraban/8599/

Security Report TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

ランサムウェア最新動向2021
―2020年振り返りとともに―

Share
PCの画面と南京錠

昨年11月の記事「変貌するランサムウェア、いま何が脅威か -2020年最新動向」では、最近のランサムウェアは「Ransomware-as-a-Service」(通称「RaaS」)と呼ばれる形態が主流となっている、という現状をお伝えしました。本記事は2021年に新たに登場した様々な特徴や攻撃バリエーションを持つランサムウェアの最新情報をご紹介するとともに、2020年のニュースを振り返り、改めてランサムウェア対策に有効な対策を考えます。

ランサムウェア感染を招くマルウェア「Emotet」の猛威と終焉

ボット型マルウェアEmotetは、メール添付ファイルを主とする手法で感染させたPCのメールアカウントやアドレス帳などを窃取して感染拡大を図り、さらなるマルウェアに感染させるという多段階攻撃を行っていたことが確認されています。このため、Emotet感染をトリガーとするランサムウェア攻撃を多く生み出しました。

2019年から2020年にかけて世界的な流行を見せたEmotet*7は、2021年1月、欧州刑事警察機構(Europol)と欧州司法機構(Eurojust)を中心とした欧米各国による共同作戦「Operation LadyBird」によって制圧されました。*2

残存するEmoteの影響は?

Emotetインフラは無害化されましたが、その脅威がなくなったわけではありません。制圧前にすでに感染していた端末が多数存在する可能性があるためです。実際、各国法執行機関からの情報によると、制圧後の2021年1月27日時点で、日本のEmotet感染端末による約900IPアドレスからの通信が確認されたとのことです (下図)。

JPCERT/CCのEmotetに感染端末の数の推移を示したグラフ

すでに感染している場合、端末やブラウザに保存された認証情報、メールアカウントとパスワード、メール本文とアドレス帳データの窃取、また、ランサムウェアなど別のマルウェアへの二次感染といった被害が発生している恐れがあります。

Emote感染端末への対応

2021年2月5日以降、感染したコンピュータ名の情報も提供されるようになったため、総務省、警察庁、一般社団法人ICT-ISACは、ISP(インターネットサービスプロバイダ)各社と連携してEmotet感染端末の利用者に注意喚起する取組を実施しています。*3該当する通知を受けた場合にとるべき対応は次のとおりです。

◆ JPCERT/CC「マルウエアEmotetへの対応FAQ」を参照の上、
  EmoCheckにより感染有無を確認し、感染していた場合はEmotetを停止させる
◆ メールアカウントのパスワードを変更する
◆ ブラウザに保存されていたアカウントのパスワードを変更する
◆ 別のマルウェアに二次感染していないか確認し、感染していた場合は削除する

「情報セキュリティ10大脅威 2021」(組織編)
でランサムウェアが1位に

ランサムウェアに話を戻しますと、独立行政法人情報処理推進機構(IPA)より発表された「情報セキュリティ10大脅威 2021」(組織編)で、「ランサムウェアによる被害」が1位に躍り出ました(昨年5位)。以下のような実情が脅威度アップにつながったと考えられます。

● 「二重の脅迫
  (暗号化+情報の暴露)」の台頭
● 特定の標的を狙った進化型の登場
● 新たな攻撃手法による標的対象の拡大

ランサムウェアによる二重の脅迫

身代金要求の条件として、従来の「データの暗号化」に加えて、暗号化前に窃取した「データの暴露」という2段階の脅迫を行う手法です。

米国セキュリティ企業はじめ、複数の企業を襲ったMaze、新型コロナウイルスの話題に便乗したフィッシングメールなどにより各国政府やインフラ事業、教育機関を中心に被害をもたらしたNetwalker。そして、暗号化による脅迫のみで使用されていた従来のランサムウェアの数々も二重の脅迫を行うようになり、実際にデータが暴露されるに至ったケースも見られます。*4「暴露型」は、もはやランサムウェアの常套手段となりました。

特定の標的を狙った進化型ランサムウェア

不特定多数に対するばらまき型でなく、特定の企業・組織を狙った標的型攻撃ツールとして使用する手法です。

2020年6月に国内自動車メーカーの社内システムが、EKANSの攻撃を受け、日本を含む各国拠点で一時生産停止に陥るなど大きな被害がありました。*5同インシデントの調査を行ったセキュリティ企業によると、同社の社内ネットワークで感染拡大するよう作りこまれていたことが確認されており、*6当該企業を狙った標的型攻撃だったことがわかります。

続く7月には、別の国内自動車メーカーの取引先が、Mazeに感染した*7と報じられ、同自動車メーカーを標的としたサプライチェーン攻撃であることがうかがえました。

さらに、2020年11月に公表された国内ゲームメーカーに対するRagnar Lockerによる攻撃では、二重の脅迫の結果、攻撃者により相次いで情報が公開(暴露)されました。最大約39万人分の個人情報流出の可能性があるとした報告の中で同社は、「オーダーメイド型ランサムウェアによる不正アクセス攻撃」と述べており、*8これもまた、巧妙に仕組まれた標的型攻撃といえます。

新たな攻撃手法をとるランサムウェア

様々な特徴や攻撃バリエーションを持つランサムウェアが新たに登場しています。以下に紹介するのは、そのほんの一部です。

Avaddon
2020年国内宛に
多数のスパム拡散を確認
Nefilim
主にMicrosoftのRDPの
脆弱性を突いて
重要インフラを狙う
Tycoon
VPNツールの不備を突いて
教育機関や政府機関を攻撃
Egregor
停止したMazeの後継ともいわれ
世界の大手企業が次々被害に
EKANS
制御システムを停止させる機能で
製造業など工場系に特化
DoppelPaymer
重要インフラへの被害急増にFBIも注意喚起

ランサムウェアは手を替え品を替え、次々に新種や亜種が生まれ続けています。例えば、2021年3月、Microsoft Exchange Serverについて報告された4件のゼロデイ脆弱性*9を利用したサイバー攻撃が活発化しましたが、その中の1つに、中国に関係する攻撃グループによる新種のマルウェア「DearCry」を利用したキャンペーンがあり、主に米国やカナダ、オーストラリアに存在する多くの脆弱なメールサーバが感染の被害を受けたとされています。

ランサムウェア市場の活況

2020年における世界のランサムウェアの被害額は200億米ドルに及ぶとするデータ*10があり、ここ数年、うなぎのぼりです(棒グラフ)。要求される身代金は1件平均17万米ドルにのぼるとの調査結果(2020年)*11も公表されています。

ランサムウェアを活発にしている原因の1つに、RaaS(Ransomware-as-a-Service)の存在が挙げられます。2020年のランサムウェア攻撃における攻撃元の6割以上をRaaSが占めているとするデータ*12もあります(円グラフ)。

Group-IBによるランサムウェア調査レポートの棒グラフ(ランサムウェア被害額)と円グラフ(ランサムウェア攻撃元)

専用サイトやコミュニティにより、犯罪グループなどにランサムウェアを提供して互いに利益を生み出す市場が成り立っています。金額、技術、サービスのレベルは様々で、単にランサムウェア自体をリースや売買するだけでなく、身代金ステータスを追跡できる仕組みや犯罪を実行するにあたってのサポートなども提供されている模様です。技術的なスキルがなくても容易にランサムウェアを拡散させることができるほか、カスタマイズを通じた亜種の誕生にもつながっていると思われます。

企業が行うべきランサムウェア対策とは?

2021年、ランサムウェアは実質的にサイバー攻撃手段第一の選択肢となっており、その脅威がますます高まることは間違いありません。では、組織・企業はこれにどう立ち向かえばよいのでしょうか。

ランサムウェアを含むマルウェアの感染経路は様々ありますが、総務省が中心となって運用するマルウェアの感染防止と駆除の取組を行う官民連携プロジェクト「ACTIVE(Advanced Cyber Threats response InitiatiVE)」では、以下のように分類しています。

マルウェアの感染経路の分類タイプ(Web閲覧感染型・Web誘導感染型・ネットワーク感染型・メール添付型・外部記憶媒体感染型)
出典:ACTIVEホームページ (https://www.ict-isac.jp/active/security/malware/)

こうした感染経路や本稿で紹介したような手口に対する防御、および感染した場合を想定した以下のような対策が重要です。

◆ 標的型攻撃メール訓練の実施
◆ 定期的なバックアップの実施と安全な保管(別場所での保管推奨)
◆ バックアップ等から復旧可能であることの定期的な確認
◆ OSほか、各種コンポーネントのバージョン管理、パッチ適用
◆ 認証機構の強化
  (14文字以上といった長いパスワードの強制や、多要素認証の導入など)
◆ 適切なアクセス制御および監視、ログの取得・分析
◆ シャドーIT(管理者が許可しない端末やソフトウェア)の有無の確認
◆ 標的型攻撃を受けた場合に想定される影響範囲の確認
◆ システムのセキュリティ状態、および実装済みセキュリティ対策の有効性の確認
◆ CSIRTの整備(全社的なインシデントレスポンス体制の構築と維持)

ランサムウェア特有の対策もさることながら、情報セキュリティに対する基本的な対策が欠かせません。また、セキュリティ対策は一過性のものではなく、進化し続けるサイバー攻撃に備えて、定期的に確認・対応する必要があることも忘れてはならないでしょう。

BBSecランサムウェア総点検サービスへのバナー

Security Report TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

ランサムウェア その被害と対応策、もし感染したら企業経営者はどう向き合うべきか

Share

企業内のデータを勝手に暗号化して使用不能にし、元に戻すための身代金を要求するサイバー攻撃「ランサムウェア」について解説します。人命に関わる事態を引き起こした、海外のランサムウェア被害事例や、20年以上前から存在していたランサムウェアが、近年これほど多く被害が報告されるようになった理由を考え、感染経路と対策方法、注意事項をお知らせします。

ランサムウェアとは

ランサムウェアとは、PCのハードディスクやファイルサーバのデータ等を攻撃者が暗号化し、大事なデータにアクセスできないようにしたうえで、元に戻してやるからと称して「身代金(Ransom)」を支払うよう個人や企業を脅迫・恐喝するマルウェアです。

たとえば、ある日全データが使えなくなってしまったら、業務が止まって組織の存続に関わる影響が生じます。

身代金はビットコインなどの仮想通貨で要求されることがほとんどです。ただし、支払ってもデータ等が必ず元に戻るとは限りません。また、暗号化されたファイルのパスワードを解析して、自力で元に戻すことは、ほぼ不可能です。

ランサムウェア感染事例、間接的な死亡者も

2017年5月、「WannaCry(ワナクライ)」と呼ばれるランサムウェアが世界中で猛威を振るい、日本の大手企業も被害を受けたことが新聞やテレビで大きく報道されました。この報道でランサムウェアを知ったという方もいらっしゃるのではないでしょうか。

今年に入ってからもランサムウェアの被害は増え続けており、2020年7月には、スポーツ用のスマートウォッチで知られる米ガーミン社がランサムウェアの攻撃を受け、サービスが一部停止しました。

つづく2020年9月には、ドイツの病院のシステムがランサムウェアに感染、搬送予定だった患者の受け入れができなくなることで、治療が遅れ、その結果亡くなるという痛ましい事件も起こっています。

ランサムウェアの歴史と隆盛の理由

世界初と考えられている「AIDS(エイズ)」と呼ばれるランサムウェアは1989年に発見されました。それから20年以上にわたってランサムウェアは、サイバー犯罪の地味な手法のひとつに過ぎませんでした。

しかし、その後、2013年に発見された「CryptoLocker(クリプトロッカー)」のように、ビットコインなどの仮想通貨を用いることで、警察などの追跡から逃れやすくなるとともに世界中から身代金を請求できるようになるという革新が起き、グローバルで急速に蔓延するようになりました。FBIによれば、2013年10月1日~2019年11月7日のおよそ6年間でビットコインだけで約1億4400万アメリカドルが身代金として支払われるなど、大きな被害を生んでいるのです。

ランサムウェアの新しい傾向「暴露型」「破壊型」とは?

従来はファイルを暗号化して身代金を要求するだけだったランサムウェアですが、新しい傾向として「暴露型」と「破壊型」と呼ばれる類型のものが出てきています。

「暴露型」のランサムウェア攻撃とは、暗号化する前にデータを盗み出し、身代金に加え、企業の機密情報をインターネットに公開するぞと、二重に脅迫を行う新しい手法です。

また、「ランサム(身代金)ウェア」とは、そもそも「お金を払えばデータは元に戻る」という想定のもとに成り立つ犯罪ですが、近年、その想定を外れる、「破壊型」などと呼ばれるランサムウェア攻撃の例も報告されています。

「破壊型」は、システムやビジネス、施設等にダメージを与えることを目的としてデータの暗号化を行うもので、内閣サイバーセキュリティセンターが2018年に公開した資料では、こうしたランサムウェアは「機微な情報や重要な社会インフラ等を取り扱う組織にとって(中略)機能停止を引き起こす別次元の攻撃となり得る」と言及されています。

ランサムウェアだから身代金を支払えば済むと思っていたら、ファイルを暴露されたり、システムを破壊されたり・・・そんなケースが起こりうるのです。

ランサムウェアの感染経路

ランサムウェアは、すでに感染したUSBメモリやCD-ROMなどの可搬媒体の使用によって感染することもありますが、最も注意すべき感染経路は、電子メールとWeb閲覧のふたつ、つまり、電子メールに含まれた悪意ある添付ファイルを開くことと、本文中のURLをクリックすることによる感染です。

中でも知っておきたいのが、マルウェアを介してランサムウェアに感染するというケースです。たとえば、「Emotet(エモテット)」に感染したとしましょう。Emotet自体はランサムウェアではなくマルウェアで、ご存じの通りメールアカウントの乗っ取りや、過去のメールデータを盗み出すことで知られています。しかしEmotetはこれ以外に、「Trickbot(トリックボット)」「Qbot(キューボット)」などのトロイの木馬ウイルスをダウンロードすることでも知られています。

それらをダウンロードした後どうなるかというと、たとえばTrickbotであれば、Trickbot自体のランサムウェアとしての機能があり、その機能を使ったランサムウェア攻撃を行うことがあります。また、Trickbotは他のランサムウェア、たとえば「Ryuk(リューク)」「Conti(コンティ)」などを追加でダウンロードしたうえでランサムウェア攻撃を実行することもあります。

このように、1つのマルウェアに感染することで様々なランサムウェアに感染する可能性があり、攻撃のパターンも複数あるということを認識しておく必要があります。

EDR、SIEM、標的型攻撃メール訓練がランサムウェア対策に有効

ランサムウェアの対策として、EDR(Endpoint Detection and Response)やSIEM(Security Information and Event Management)製品を活用して、早期検知とブロックを行う方法がよく知られていますが、最大の感染経路のひとつである「メール」を対象にした訓練を行うことも有効でしょう。

ランサムウェア対策のメール訓練としては、「定型のメールを一斉送信し、部署毎に開封率のレポートを出す」ことに加え、事前に会社の組織図や業務手順等のヒアリングを行ったうえで、よりクリックされやすいカスタマイズした攻撃メールを作成し、添付ファイルや危険なURLをクリックすることで最終的にどんな知財や資産に対してどんな被害が発生するか、具体的なリスク予測までを実施することをおすすめします。

セキュリティ企業のサービスを検討する際は、こうした対応が行えるかどうかを選定の条件にするとよいでしょう。さらに、ひとたび社内に入り込んだマルウェアやランサムウェアがどのように感染拡大する可能性があるかを診断するサービスを利用することも、対策を立てるうえでの選択肢として考慮すべきでしょう。

以前、不正アクセスに関する記事の解説で、「かかりつけ医」ならぬ「かかりつけセキュリティ企業」を持つことの、有事の際の心強さをご説明しましたが、こうしたサービスの利用をきっかけとして、信頼できるセキュリティ企業を見つけるのもいいかもしれません。

なお、ブロードバンドセキュリティでは、標的型メール訓練、標的型攻撃リスク診断「SQAT®APT」ほか、多彩なラインナップで、ランサムウェア対策への取り組みをご支援しています。

感染したときのための無料復号ツール

ランサムウェアで暗号化されたデータを復号する無料ツールが、インターネットにいくつも公開されています。欧州刑事警察機構(ユーロポール)やセキュリティ企業による共同プロジェクト「No More Ransom」によるものなどが有名です。

こうしたツールを使用してデータ復旧を試みることはもちろん可能です。しかし、そのデータが企業にとって重要であればあるほど、デジタルフォレンジックを行う専門企業の支援を受けるのが最善の対応であると、SQAT.jpは考えます。

セキュリティインシデント対応の経験がない技術者がランサムウェアの対応をするのは、全く得策ではありません。その理由は、証拠保全ができなくなり説明責任を果たせなくなる可能性があること、感染経路がわからなくなることで対策が打てなくなり、その結果、企業として自信を持って終息宣言を出せなくなることなど、いくつか挙げられます。

また、もし暴露型のランサムウェア攻撃の場合、データが暴露されることで被害を受けるステークホルダーは、グループ会社や取引先など多岐にわたり、もはや自社だけの問題ではなくなります。そもそも暴露型であることなど、攻撃の初期段階ではわからないのです。

ランサムウェアの身代金を支払うとマネーロンダリングの犯罪に?

なんらかの理由で攻撃者に対して身代金を支払うという決定を組織が行った場合、たとえばアメリカ合衆国財務省はランサムウェアへの身代金支払いをマネーロンダリングの一種、すなわち違法行為とみなすことがあり、事前に米財務省への申請が必要になる場合があることをご存じでしょうか。支払いのためのアドバイザリーが公開されていますので、外資系企業や米国子会社のある企業は注意しましょう。

また、たとえ日本企業であっても、反社会的勢力に対して金銭を供与するという事実は何ら変わりません。事前の充分な法的配慮が必要となることは言うまでもないでしょう。

なお、支払っても元に戻るとは限らないことをここで再度申し上げておきます。

まとめ

  • ランサムウェアとは大事なデータを暗号化して元に戻す際に身代金(Ransom)として、お金の支払いを要求するマルウェアのことです。
  • 世界中でランサムウェアの被害が報告されており、ドイツの病院のランサムウェア攻撃事例では死者が出ています。
  • 身代金支払いにビットコインなどの仮想通貨を用いるなど、ランサムウェアは進化し、世界中で大流行するようになりました。
  • データを暗号化するだけでなく、データを盗み出してインターネットに公開する「暴露型」など、新しいランサムウェア攻撃の事例も報告されています。
  • ランサムウェアの主な感染経路のひとつがメールであるため、ランサムウェア対策には、EDR、SIEMに加え、標的型攻撃メール訓練が有効です。
  • アメリカではランサムウェアの身代金を支払うと、マネーロンダリングに加担したとみなされることがあるので、注意が必要です。

Security Report TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像