事業継続の脅威　あらゆる企業が標的

独立行政法人情報処理推進機構(IPA)は8月20日、事業継続を脅かす新たなランサムウェア攻撃について注意喚起を行った。

ランサムウェアとは、パソコンやサーバー上のデータを暗号化して使用不可にし、それらを復旧することと引き換えに身代金を支払うように促す脅迫メッセージを表示するウイルスの総称。これまで、ランサムウェアを使う攻撃者は、基本的に明確な標的を定めず、例えばウイルスメールをばらまくといった方法で、広く無差別に攻撃を行っていた。しかし、2018年～19年頃より、明確に標的を企業・組織に定め、身代金を支払わざるを得ないような状況をつくり出すため、「人手によるランサムウェア攻撃」と「二重の脅迫」と呼ばれる攻撃手口を取り入れる攻撃者が現れている。

この新たなランサムウェア攻撃について、海外で多数の企業の被害が報道されており、国内の企業でも被害が確認されている。1万台を超えるマシンが攻撃されたり、数TB(テラバイト)ものデータが窃取されたりといった事例があり、身代金として要求されるのは、数千万円から数億円の規模となっている。

この攻撃は、組織の規模の大小、扱っている情報の機密性などにかかわらず、ITシステムにより事業が成り立っている、あらゆる企業が標的となり得る。経営層やIT・セキュリティーを担当する部門において、事業の継続を脅かすような大規模な被害が生じ得る脅威として認識し、対策を検討してほしい。

二つの手口に確実で多層的な対策を

攻撃者が取り入れている、二つの新たな攻撃手口について説明する。

①人手によるランサムウェア攻撃

諜報活動を目的とする「標的型サイバー攻撃」と同様に、攻撃者自身がさまざまな攻撃手法を駆使して、企業のネットワークへひそかに侵入する。そして、事業継続に関わるシステムや、機微情報などが保存されているパソコンやサーバーを探し出してランサムウェアに感染させたり、ドメインコントローラのような管理サーバーを乗っ取って一斉に企業内の端末やサーバーをランサムウェアに感染させたりする。復旧を阻害するため、バックアップなども同時に狙われることもある。攻撃の進行を検知しにくく、判明した時点では既に大きな被害が生じている場合がある。

②二重の脅迫

ランサムウェアにより暗号化したデータを復旧するための身代金の要求に加え、暗号化する前にデータを窃取しておき、支払わなければデータを公開するなどと脅迫する。窃取されたデータは、例えば、攻撃者がインターネットやダークウェブに設置した、データ公開のためのウェブサイト(リークサイト)にて公開される。身代金が支払われない場合、データの一部を公開し、日数の経過に伴い徐々に公開範囲を広げると脅す場合もある。

新たなランサムウェア攻撃は、諜報活動を目的とするような標的型サイバー攻撃と同等の技術が駆使される。そのため、あらゆる面におけるセキュリティーの強化で対応する必要がある。ウイルス、不正アクセス、脆弱(ぜいじゃく)性対策など、基本的な対策を、確実かつ多層的に適用することが重要である。

手口や対策の詳細についてはIPAのWebサイトhttps://www.ipa.go.jp/security/announce/2020-ransom.htmlを確認してほしい。

（独立行政法人情報処理推進機構・江島将和）