【サイバーインテリジェンス】リモートワーク導入により高まる二重恐喝型ランサムウェアの脅威

2020-10-28

サイバー攻撃では情報量や対象範囲の広さの差から攻撃者が有利な状況であり、CISO（Chief Information Security Officer）などのセキュリティ担当責任者は、より積極的なサイバー攻撃への防御戦略を策定しなければなりません。PwC’s Cyber Intelligenceでは、今後のリスク要因の特定を支援するため、スレットインテリジェンスとその背景にある攻撃者の動向を解説します。

リモートワークの普及が招く新たなセキュリティリスク

新型コロナウイルス感染症（COVID-19）の影響で、在宅勤務をはじめとするリモートワークを導入する企業が増加しました。しかし、普及が急に進んだため、セキュリティ面に多くの課題を残したままの企業は少なくありません。今回は、リモートワークにまつわるセキュリティ上の脅威を概観すると共に、特に注目すべき動向として二重恐喝型ランサムウェアの脅威を取り上げます。

リモートワークは、十分なセキュリティ上の備えがないと思わぬ危険を招くきっかけになります。単純に攻撃者の侵入ポイントを考えただけでも、図表1のように、オフィスワークと比べると格段に多くなることが分かります。気を付けなければならないのは、家庭内ネットワーク（同一セグメント）に端末を接続している同居人の端末からも侵入を許す可能性があるということです。同じネットワーク内で共有を許可している場合、そこから攻撃される危険があるのです（シェアハウスなども、同様に他の住人の端末などが同一セグメントに接続している可能性がある）。悪意はなくとも相手の端末がマルウェアに感染し、意図せず被害を広げてしまうというケースは多々存在しています。

オフィスで仕事をしていた際はシステム管理者の責任範囲だった侵入ポイントが、リモートワークになった途端、個人の責任となります。オフィス内で業務を行う場合と自宅で業務を行う場合では、自宅の場合のほうが、個人で保全しなければならないポイントがはるかに増加します。

実際、COVID-19によるパンデミックをテーマとした詐欺、フィッシング、マルウェア攻撃の報告が、2020年3月の最初の2週間だけで5倍に増加したことが分かっています^*1。企業はリモートワークの普及に伴い、これまでに対峙してこなかったリスクに直面しています。今こそ、こうした一連の新たなリスクに対するリスクシナリオを想定しておくことが求められます。

拡大する二重恐喝ランサムウェアの脅威

リモートワークのリスクの中でも最近、特に注目されているのがランサムウェアです。リモートワークの普及に伴い、ランサムウェアはおよそ7倍以上に増加したと言われており、深刻な脅威となっています^*1。以下に、その背景と手口を紹介します。

二重恐喝型ランサムウェアを支えるビジネスモデルRaaS（ランサムウェア・アズ・ア・サービス）

脅威拡大の背景にはランサムウェアのビジネスとしての拡大があります。2016年から2018年にかけて活動の目立ったSamSamと呼ばれるランサムウェアは1件あたり約100万円から500万円を得ており、合計で約6億5,000万円を手にしたと推計されています^*2。ランサムウェアがビジネスとして確立したのは、技術の高くない攻撃者でも容易に参入できるツールが揃ったためと報じられています^*3。その中核となっているのが、二重恐喝型のランサムウェアと、それを支えるRaaS（ランサムウェア・アズ・ア・サービス）です。

二重恐喝型のランサムウェアは、感染した相手に「復号してほしければ身代金を払え」という恐喝と、「払わなければデータをインターネット上に公開する」という2つの恐喝を行います。身代金を受け取った後に情報公開の脅迫を重ねて行うものや、身代金を支払わなかった場合にオークションにかけるといったバリエーションがあります。

ランサムウェアの広範な拡散を実現するRaaS採用モデル

あるコンピューターヘルプサイトでは、およそ20のランサムウェアが紹介されています^*4。しかし、20のランサムウェアが20の攻撃アクターを意味するわけではないのが、新しいランサムウェアの怖いところです。

最近活発な二重恐喝型のランサムウェアであるSodinokibi（別名REvil）やNetWalkerなどはRaaSを採用しています。この2例においては、RaaSを運営する組織（RaaSオペレーター）と、それを利用してランサムウェアを拡散するグループが分離しています。拡散するグループは複数存在し、それぞれ異なる方法で拡散し、アフィリエイトで稼ぎます。つまり20のランサムウェアがあった場合、攻撃に加担するグループは20よりはるかに多くなります。アフィリエイターも多い分、収益が拡大する可能性も高くなり、さらにビジネスの規模が拡大するということになります。

積極的にビジネスネットワークを拡大するRaaS収益モデル

RaaSを採用していたランサムウェアGandCrabは2019年5月、200億円以上の収益を上げたことを公開し、そのサービスを終了しました^*5。十分な利益を得たことが理由と考えられています。GandCrabは代表的なランサムウェアの中でも1件あたりの要求金額は低いほうで、約10万円から80万円でした^*2。仮に平均40万円とすると、5万回以上、身代金の受け取りに成功したことになります。

RaaSオペレーターはアフィリエイター募集広告をアンダーグラウンドのフォーラムに出すなど、積極的にビジネスネットワークを拡大しています。あるセキュリティベンダーの調査によると、アフィリエイターの取り分はNetWalkerの場合、20％～80％と言われます^*6。NetWalkerは2020年3月からの四半期でおよそ25億円相当の仮想通貨を受け取っており、少なくとも5億円以上がアフィリエイターたちの手に渡ったことになります。

世界で広がるRaaSを活用した多様な攻撃

攻撃者が増えれば、攻撃方法も多様になります。例えば2015年に英国や米国で数十億円に及ぶ被害を出したマルウェアDridexは金融機関をターゲットにしており、現在はRaaSオペレーターと連携するようになっています。同じくマルウェアのEmotetはランサムウェアRyukのRaaSオペレーターと連携することがあります。手動で侵入してランサムウェアを仕込むこともあります（2020年、アルゼンチンのインターネットサービスプロバイダーがランサムウェアRyukに感染させられた際の攻撃は手動で行われたことが報告されている^*7）。

また近年、内部犯行による情報漏えい事件が増加しています。2020年における情報セキュリティ脅威の第2位が内部不正です^*8。内部関係者がRaaSの仕組みを利用して、自社もしくは取引先の企業のデータをランサムウェアの餌食にする可能性があるのです。盗み出したデータを自分自身で現金化することは通常の従業員にはハードルが高く感じられるでしょうが、RaaSを利用すれば脅迫と現金化を代行してくれます。社内のサーバーのアクセスログが取られていなかったり、詳細でなかったりする場合、共有資料にRaaSと連携するマルウェアを仕込んでおくだけで済むため、この手軽さが犯行の増加に拍車をかけていると考えられます。

ダークウェブで告知を行う二重恐喝型ランサムウェア

こうした二重恐喝型ランサムウェアを用いた脅迫や情報流出は、ダークウェブで告知されます。いくつかの事例を紹介しましょう。

あるサイトでは、ランサムウェアで暗号化したデータと同じものを盗み出した証拠に、そこに含まれている個人情報（氏名、パスポートの写真、IDカードなど）と盗み出したファイルの一覧を公開し、72時間以内に身代金を支払うよう要求していました。このサイトは誰でもアクセスできる状態だったため、企業は被害を受けたことが広く知られることになってしまいます。

別のサイトでは身代金の要求先である企業（彼らは「クライアント」と呼んでいる）の一覧があり、非協力的（身代金の支払いに応じていない）なクライアントのデータの一部を公開しています。データを持っている証拠として掲載している場合もあれば、徐々に公開するデータを増やしていくという恐喝の場合もあります。

また、盗み出したデータをオークションにかけるサイトもあります。米国の法律事務所がクライアントになった事例では、20億円以上の身代金が要求されました。同事務所の顧客には著名人が含まれていたため、データの最高入札金額は40億円を超えました。

ダークウェブのランサムウェアのサイトには日本企業のクライアントもあり、データも公開されています。二重恐喝型ランサムウェアの脅威は決して他人事ではありません。リモートワークの普及によって侵入ポイントが増えた分、攻撃方法の種類も増えていくのは間違いありません。盗まれた自社データがオークションにかけられたり、被害を隠ぺいしていてもダークウェブでクライアントとして掲示されたりすることは、これまではあまり考えられなかったことです。防御側は、変化し多様化するリスクを反映したリスクシナリオを用意し、万全なセキュリティ対策を講じる必要があります。

リスクシナリオの見直しをはじめとする対処が急務

ここまで紹介したように、リモートワークの拡大は、リスクの拡大につながる可能性をはらんでいます。攻撃者は既にリモートワークをターゲットにした攻撃を展開していることが判明しています。以下に、企業が行うべき内容をまとめます。

リスクシナリオの見直し

攻撃対象領域（アタックサーフェイス）を最小化するのは防御の基本ですが、リモートワーク導入は攻撃対象領域を拡大してしまいます。エンドユーザーの端末経由で侵入される可能性が増大するため、侵入ポイントごとに想定されるリスクと影響範囲を整理しておく必要があります。特に、シナリオごとに被害を受ける情報の範囲を把握することが重要です。

ISO31000（リスク管理の国際規格）に基づくリスク管理の一環として、リモートワークにおける最悪のシナリオを見出し、理解しておくことが、企業内部において利用可能なリソースと仕組みを最大限活用できる態勢を整えることにつながります。これにより、万が一のインシデント発生に伴う被害を最小限にすることが期待できます。

新しいリスクシナリオに対応した対策の作成

新しいリスクシナリオに対応したエンドユーザー権限やアクセス範囲の見直し、ガイドラインの策定や教育が必要となります。特に、リモートワークはオフィスワークに比べて、エンドユーザーが留意しなければならない範囲が拡大したという事実と、適切な管理方法を従業員に伝えることが重要です。

侵入された際にいち早く検知し、被害を最小に抑えるために、新しいリスクシナリオに対応したログ管理、ネットワーク監視、エンドポイント監視などの仕組みを整えておく必要もあります。2020年9月に公開されたデータ保護・保全のガイドラインNIST SP 1800-11では、ランサムウェアなどによるデータ完全性侵害に対して組織が具備すべきケイパビリティ、リファレンスモデル、テストケースなどが記載されています。リスクシナリオの見直し結果に基づき現状のセキュリティ対策の妥当性を確認する上で、参考にすることが可能です。

また、データの完全性侵害に留まらず二重恐喝ランサムウェアによって暗号化・窃取された情報の漏えい被害を抑えるためには、IRM（Information Rights Management）などの対策が有効です。

事後対応体制と事業継続計画の見直し

特に二重恐喝型ランサムウェアを想定した身代金の支払いの可否を含めた事後対応体制と事業継続計画、データバックアップ体制の見直しが必要になります。システム関係部門だけではなく、経営者および法務、広報など複数の部門が一体となって事態に対処する体制を、事前に構築します。

身代金について触れておくと、一般的に考えれば、身代金は支払うべきではありません。その理由は大きく2つあります。身代金が攻撃者の収入源となりさらなる犯罪を誘発することと、身代金を払ってもデータが公開されない保証は無いことです。しかし前者に関しては、オークションにかけて身代金以外で資金を得ることが可能になっており、犯罪抑止効果は薄れています。身代金を支払う会社が少なくないことは、ランサムウェアの増加の相関関係により推定できます。支払うか支払わないかの選択を迫られることのないよう、あらかじめの防御態勢の構築が不可欠です。

COVID-19がもたらした働き方の変化や通信技術の発達により、オフィス以外で働くのが当たり前の時代が来ることが予想されます。オンラインでの商談や会議も一般的になることでしょう（オンライン会議についてのリスクと対処方法に関しては米国国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁がビデオ会議やIoTなどについてのTipsやガイドを公開している^*9）他、「事業継続を脅かす新たなランサムウェア攻撃について」^*7に対策をはじめとする記載があるため、参考にしていただきたい）。リモートワークは勤務形態の変化であると同時に、企業が抱えるリスクの変化のきっかけでもあります。新しいリスクに対応するために、上記で述べたような施策を早急に実施することを推奨します。