2017年に大流行したWannaCryをはじめとしたランサムウェアは、感染するとコンピュータ内の多くのファイルが暗号化されるだけでなく、解除のために身代金を要求するという特徴を持つことで、報道等でも大きく話題になりました。
特に代表格のWannaCryは感染力も強く、ある1台が感染するとネットワークでつながっている別のコンピュータ内にセキュリティホールを通じて感染し、ファイルを次から次へと暗号化させていってしまいます。
1つの会社丸ごと感染、といった実例も見受けられ、被害は甚大なものとなりました。
最近では一時に比べてランサムウェアの感染報告を耳にする機会が減ってきましたが、これを実際にランサムウェアの被害が減っているからだと決めつけるのは、短絡的です。
今回はランサムウェアの実例と、飽和したランサムウェアの行き先、そしてセキュリティ担当者のあなたが気をつけるべき、社内の大きな”穴”について紹介します。
目次
1.留まることなきランサムウェア被害
2.仮想通貨の高騰が引き起こす悪夢
3.運輸・製造…代替の用意が難しい環境が感染を引き起こす
4.たった一台の感染が全体へ、そして経営の停止へ
5.攻撃者はもはや専門家ではない可能性も。RaaSという狂気
6.目の届かぬ海外拠点にこそリスクは存在する
7.セキュリティ担当者に必要な目線
8.万全の体制を整えるには、過剰に思える対応も必要。
留まることなきランサムウェア被害
ランサムウェアが世の中に広く知れ渡ったのは、2017年5月にWannaCryというマルウェアによる大規模サイバー攻撃が世界中で深刻な被害をもたらしたことがきっかけでした。
その被害は世界150か国・累計23万台以上に及び、感染している間は機能が完全にストップしてしまったがゆえに、実際に身代金を支払ってしまったという企業・団体もありました。
東欧やロシアでも猛威を振るい、公共のサービスに被害が及んでいる様子の報道も見受けられました。
一方の日本では現在、ランサムウェアが流行った当初とは異なり、被害実例というのはあまり報道されていません。
しかし、これは感染がなくなったわけではなく、感染した企業が公表を控えるようになっただけとも考えられます。
少なくともセキュリティ専門会社が手にする情報では、感染事例が発見され続けています。
大規模な感染事例として注目されたWannaCryのような“報道される被害”は確かに目にすることが少なくなりましたが、それでも依然としてランサムウェアによる感染被害は存在しているということです。
仮想通貨の高騰が引き起こす悪夢
そもそも近年話題に上がっている狭義のランサムウェアは、2015年頃から大企業に対する攻撃の存在が確認されていました。
感染すると、コンピュータ内やハードディスク上に記録されているファイルなどを暗号化し、この暗号化を解除するキーの対価(身代金 ransom)として仮想通貨などを要求する、というものです。
仮想通貨が用いられる以前には、銀行振り込みやプリペイドカードなどが対価として要求されていたほか、そもそも身代金ではなく何らかの行動の要求をし、脅迫を行っていたケースもありました。
現在では暗号化を解除するキーの対価はほとんどが仮想通貨であり、その背景には間違いなく仮想通貨の高騰があります。
それまで用いられていた銀行振り込みやプリペイドカードのコードなどに比べて、仮想通貨は匿名化が進んだことで足がつきにくくなりました。
その結果、仮想通貨が身代金として容易に利益を得られるようなものになったこと、そしてネットワーク越しに大きな感染を引き起こすことが出来た脆弱性が見つかりランサムウェアに取り込まれたことと、これら2つの要因があわさり、2017年の世界的な大流行が引き起こされたのです。
国境に縛られず中央集権をもたない、という仮想通貨の理念が、犯罪の温床になってしまったという実例の1つであるともいえるでしょう。
運輸・製造…代替の用意が難しい環境が感染を引き起こす
2017年の大規模感染を振り返ると、セキュリティ対策に力を入れているであろう大企業であっても、ランサムウェアに感染していた実例はいくつも存在しています。
国内の有名な企業では、日立製作所やJR東日本、ホンダの自動車工場などで感染が確認されました。
これには共通の理由が1つあると指摘できます。
それは、システムの更新が難しいコンピュータが存在しているということです。
製造や運用で基盤となるコンピュータに代替が用意できなかったり、更新のテストが不十分なため脆弱性対策の修正パッチを適用することができなかったり、そもそもシステム自体が老朽化しパッチが配布されないということもあるのです。
結果的に脆弱性が放置されることになり、重大な脆弱性が利用され感染に至ってしまいます。
また、日本でよく見受けられるのが、サポートの終了したOSを使い続けているケースです。
サポートが終了していれば、新たにセキュリティ対策のパッチが配布されることはほとんどなく、こちらも当然脆弱性は放置されたままになってしまいます。
本来、基盤となるOSやシステムのサポートサイクルというのは、発売当時から決まっているものです。
しっかりセキュリティ対策をしようと心掛けるなら、自分が管理しなければいけない機器のサポート終了期限はいつか、修正プログラムは配布されていないか、常に最新の状態にあるか、いつ更新を検討するべきなのか、などを意識していなければならないことを忘れないようにしましょう。
たった一台の感染が全体へ、そして経営の停止へ
WannaCryのような感染力の高いマルウェアで特に顕著なのが、せっかくとっておいたシステムの“バックアップデータ”まで感染してしまった、というケースです。
これは厄介で、復旧までに数週間を要することもあります。
最近の例では、2018年3月アトランタ市のコンピュータがランサムウェアに感染し、数週間にわたって窓口業務や警察署、裁判所などの市政を司る機関が不能状態に陥ってしまいました。
また国内の例としては、ある企業がランサムウェアに感染し、10日間もの間、業務が停止した例が挙げられるでしょう。
このケースではネットワークドライブに保管してあったバックアップデータまでもが暗号化されてしまい、既存の機器を利用することはあきらめ、最終的にはすべてのコンピュータを新規購入することで対応したそうです。
もちろんそれでは完全復旧とはいかず、自社はもちろん取引先にも甚大な被害が発生してしまいました。
このようにランサムウェアというのは、自社だけでなく他社にまで被害をもたらすものです。
セキュリティ対策が企業の経営課題の1つであることは、こういった実例から見ても明らかです。
攻撃者はもはや専門家ではない可能性も。RaaSという狂気
こういったランサムウェアは、当初は悪意のあるハッカーによって作成され、また攻撃も多くは作成者自身が仕掛けていました。
しかし、今ではこのような悪意ある攻撃者、いわば“専門家”でなくとも攻撃を仕掛けることが可能です。
ランサムウェアはダークウェブなどで売買されていますし、また最近ではその一歩先を行くRaaS(Ransomware as a Service – ランサムウェア アズ ア サービス)までもが登場し、犯罪の温床として話題になっています。
RaaSは、IaaSやPaaS、SaaSといった、クラウドサービスと同じようなことをランサムウェアで行っていることから、この名がつけられました。
IaaSはインフラ環境、PaaSはプラットフォーム、SaaSはネットワークサービスまでを一括で提供しています。
一方、RaaSはその略称からわかるように、ランサムウェア本体、解除キーと身代金の送受信に必要な匿名サーバなどを一括して提供しているサービスです。
RaaSの恐ろしいところは、このサービスを使えば専門家でなくても容易にランサムウェアを使ったサイバー攻撃が可能になる、という点にあります。
これまでは高度に専門的な知識を持ち合わせていないとできなかったサイバー攻撃も、必要なのは悪意だけ、という恐ろしい時代がすでにやってきているのです。
このサービスが活発になったのは、ランサムウェアの飽和とセキュリティソフトの進化が背景にあります。
マルウェアとしてのランサムウェアは大量に開発されましたが、それに応じてセキュリティソフトも、「ファイル暗号化」という行為に対しての先見的な防御初段を強めました。
その結果、未然に感染を防ぐことがある程度可能となり、ランサムウェアとのいたちごっこに目処がついてきたのです。
ランサムウェアの作成者としてみれば、攻撃の主な目的は金銭の搾取にあると思われます。
であるならば、自分で開発し、攻撃を仕掛けて足が付くリスクをとるより、他人に売るなり貸すなりして、その“サービス使用代金”を受け取った方が、圧倒的に効率が良いのです。
一方で、知識はないけどサイバー攻撃で企業や個人から金銭や情報資産を搾取したい、と考える人もやはり一定数いると考えられ、この需要と供給が合致した結果、誰でもランサムウェアによる攻撃が可能な時代に突入したのです。
目の届かぬ海外拠点にこそリスクは存在する
現在では海外で自社の事業やサービスを展開している日本企業も少なくありません。
海外での事業展開で注意していただきたいのは、海外拠点でのセキュリティ体制の構築です。
海外拠点は往々にして目の届かない所にあり、また現地の空気感などもわかりづらいため、様々な面、特にインフラ面において後回しにされがちです。
これは、情報機器に対しても言えます。
セキュリティという面で言えば、理想は常に最新のものを最新の状態で使い続けることですが、実際には予算や法制度などの関係もあり、海外拠点では一回りも二回りも古い機器を使っているということもよくあります。
そんな状態で、その機器と自分のコンピュータを繋げてしまったらどうなるでしょうか。
分かりやすい例はルーターです。
最新のサポートを受けられていないがために、実はマルウェアに感染していたルーターを介して自分のコンピュータをインターネットに繋げてしまうと、当然ルーターからマルウェアに感染してしまう可能性があります。
また、このマルウェア入りコンピュータを日本に持ち帰って社内ネットワークにつなげば、大規模感染の火付け役になりかねません。
これは公衆無線LANにおいても同様です。
公衆無線LANに接続したら実はマルウェアに感染した機器であったり、実はそのネットワーク自体が情報を搾取するための悪意のあるLANだったりと、公衆無線LANからウイルス感染する例は枚挙に暇がありません。
サイバー攻撃は基本的に、セキュリティ対策が未発達/不十分なところを狙って行われます。
すなわち、企業の海外拠点というのは、攻撃者にとって都合のいい環境である可能性が高いことから、狙われやすいポジションにあるのです。
この点を意識し、海外でコンピュータを使う際には十分に注意をし、また注意を促すようにしましょう。
セキュリティ担当者に必要な目線
本記事では、ファイルを暗号化し身代金を要求するという、目に見える動きをするランサムウェアを紹介してきました。
現在でも活発に活動しているこのマルウェアですが、今後はその流れも変わってくるかもしれません。
まず、ランサムウェアを用いた攻撃の目的のほとんどが金銭の搾取であることは、身代金要求型という性質からもわかると思います。
さらに、なるべく足のつきにくい匿名性の高い仮想通貨が身代金に用いられていることは前述のとおりです。
ここからもう一歩踏み込んで考えてみると、金銭が目的の攻撃者にとって、もはやランサムウェアは有効な攻撃手法とは言えない可能性が出てきました。
というのも、ランサムウェアに感染すればユーザは当然その事象を知ることになりますが、一方で実際に身代金を支払うかというと、ランサムウェアに対する理解が進んできた現在では、ユーザが支払うことは少なくなっています。
そこで現在増えてきているのが、「クリプトジャッキング」と呼ばれる、ユーザのコンピュータを使用して仮想通貨の“マイニング”を行う手法です。
投機資金が仮想通貨に大量に流れたことで、仮想通貨自体が価値を持ってきた昨今、ユーザから直接仮想通貨を搾取する必要はないのです。
ユーザのコンピュータの演算能力(リソース)で仮想通貨をマイニングする技術を使えば、ユーザ自身に感染していることを気づかせることなく金銭の搾取が可能になります。
この手法は一見ユーザに負担がないことから甘く見られがちですが、コンピュータのリソースが奪われているという意味では確かに被害を受けているのですから、サイバー攻撃の1つと言えるでしょう。
この手法についての説明は別の機会にしますが、リソースそのものがサイバー攻撃の対象になり始めた現実はしっかりと知っておくべきです。
また、セキュリティ担当者としては、このような情報を日常的に集めていくことが重要だと言えます。
「今はランサムウェアが流行っているのか」ではなく、
「ランサムウェアにはどのようにして対処していけばいいのか」
「この先こんなものが流行りそうだからこういう対策を打っておこう」
などと調べていく姿勢こそが、企業のセキュリティ担当者に求められていることです。
万全の体制を整えるには、過剰に思える対応も必要。
2017年の大流行を終え一息ついた感もあるランサムウェアですが、2018年5月には「 Process Doppelgänging (プロセスドッペルギャンギング)」という技術を用いた「SynAck」が発見されました。
これは一般的なセキュリティソフトでは検出が極めて困難な挙動をするランサムウェアなのですが、こうした新技術が取り入れられているランサムウェアを見ると、まだまだランサムウェアによる攻撃は有効で、用いられ続けているのだ、ということを強く意識せざるを得ません。
企業の業務、経営に直接ダメージを与える非常に厄介なランサムウェアの感染経路は多岐にわたり、企業の情報資産を守るべきセキュリティ担当者としてはどんなに手を尽くしても尽くしすぎることはないでしょう。
感染経路を完全に封鎖しようと思ったら、セキュリティが不完全なコンピュータはネットワークから除外、USBデバイスの使用も禁止、というような措置も考えなければならないかもしれません。
自社が保有している資産をもう1度確認し、いざという時にきちんと対応できるように準備しておきましょう。
今回の記事ではランサムウェアを紹介してきましたが、サイバー攻撃はもちろんランサムウェアだけではありません。
様々なサイバー攻撃から自社の財産を守るためには、この準備こそが最良の近道なのです。