{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
2020-10-28
サイバー攻撃では情報量や対象範囲の広さの差から攻撃者が有利な状況であり、CISO(Chief Information Security Officer)などのセキュリティ担当責任者は、より積極的なサイバー攻撃への防御戦略を策定しなければなりません。PwC’s Cyber Intelligenceでは、今後のリスク要因の特定を支援するため、スレットインテリジェンスとその背景にある攻撃者の動向を解説します。
リモートワークのリスクの中でも最近、特に注目されているのがランサムウェアです。リモートワークの普及に伴い、ランサムウェアはおよそ7倍以上に増加したと言われており、深刻な脅威となっています*1。以下に、その背景と手口を紹介します。
脅威拡大の背景にはランサムウェアのビジネスとしての拡大があります。2016年から2018年にかけて活動の目立ったSamSamと呼ばれるランサムウェアは1件あたり約100万円から500万円を得ており、合計で約6億5,000万円を手にしたと推計されています*2。ランサムウェアがビジネスとして確立したのは、技術の高くない攻撃者でも容易に参入できるツールが揃ったためと報じられています*3。その中核となっているのが、二重恐喝型のランサムウェアと、それを支えるRaaS(ランサムウェア・アズ・ア・サービス)です。
二重恐喝型のランサムウェアは、感染した相手に「復号してほしければ身代金を払え」という恐喝と、「払わなければデータをインターネット上に公開する」という2つの恐喝を行います。身代金を受け取った後に情報公開の脅迫を重ねて行うものや、身代金を支払わなかった場合にオークションにかけるといったバリエーションがあります。
あるコンピューターヘルプサイトでは、およそ20のランサムウェアが紹介されています*4。しかし、20のランサムウェアが20の攻撃アクターを意味するわけではないのが、新しいランサムウェアの怖いところです。
最近活発な二重恐喝型のランサムウェアであるSodinokibi(別名REvil)やNetWalkerなどはRaaSを採用しています。この2例においては、RaaSを運営する組織(RaaSオペレーター)と、それを利用してランサムウェアを拡散するグループが分離しています。拡散するグループは複数存在し、それぞれ異なる方法で拡散し、アフィリエイトで稼ぎます。つまり20のランサムウェアがあった場合、攻撃に加担するグループは20よりはるかに多くなります。アフィリエイターも多い分、収益が拡大する可能性も高くなり、さらにビジネスの規模が拡大するということになります。
RaaSを採用していたランサムウェアGandCrabは2019年5月、200億円以上の収益を上げたことを公開し、そのサービスを終了しました*5。十分な利益を得たことが理由と考えられています。GandCrabは代表的なランサムウェアの中でも1件あたりの要求金額は低いほうで、約10万円から80万円でした*2。仮に平均40万円とすると、5万回以上、身代金の受け取りに成功したことになります。
RaaSオペレーターはアフィリエイター募集広告をアンダーグラウンドのフォーラムに出すなど、積極的にビジネスネットワークを拡大しています。あるセキュリティベンダーの調査によると、アフィリエイターの取り分はNetWalkerの場合、20%~80%と言われます*6。NetWalkerは2020年3月からの四半期でおよそ25億円相当の仮想通貨を受け取っており、少なくとも5億円以上がアフィリエイターたちの手に渡ったことになります。
攻撃者が増えれば、攻撃方法も多様になります。例えば2015年に英国や米国で数十億円に及ぶ被害を出したマルウェアDridexは金融機関をターゲットにしており、現在はRaaSオペレーターと連携するようになっています。同じくマルウェアのEmotetはランサムウェアRyukのRaaSオペレーターと連携することがあります。手動で侵入してランサムウェアを仕込むこともあります(2020年、アルゼンチンのインターネットサービスプロバイダーがランサムウェアRyukに感染させられた際の攻撃は手動で行われたことが報告されている*7)。
また近年、内部犯行による情報漏えい事件が増加しています。2020年における情報セキュリティ脅威の第2位が内部不正です*8。内部関係者がRaaSの仕組みを利用して、自社もしくは取引先の企業のデータをランサムウェアの餌食にする可能性があるのです。盗み出したデータを自分自身で現金化することは通常の従業員にはハードルが高く感じられるでしょうが、RaaSを利用すれば脅迫と現金化を代行してくれます。社内のサーバーのアクセスログが取られていなかったり、詳細でなかったりする場合、共有資料にRaaSと連携するマルウェアを仕込んでおくだけで済むため、この手軽さが犯行の増加に拍車をかけていると考えられます。
こうした二重恐喝型ランサムウェアを用いた脅迫や情報流出は、ダークウェブで告知されます。いくつかの事例を紹介しましょう。
あるサイトでは、ランサムウェアで暗号化したデータと同じものを盗み出した証拠に、そこに含まれている個人情報(氏名、パスポートの写真、IDカードなど)と盗み出したファイルの一覧を公開し、72時間以内に身代金を支払うよう要求していました。このサイトは誰でもアクセスできる状態だったため、企業は被害を受けたことが広く知られることになってしまいます。
別のサイトでは身代金の要求先である企業(彼らは「クライアント」と呼んでいる)の一覧があり、非協力的(身代金の支払いに応じていない)なクライアントのデータの一部を公開しています。データを持っている証拠として掲載している場合もあれば、徐々に公開するデータを増やしていくという恐喝の場合もあります。
また、盗み出したデータをオークションにかけるサイトもあります。米国の法律事務所がクライアントになった事例では、20億円以上の身代金が要求されました。同事務所の顧客には著名人が含まれていたため、データの最高入札金額は40億円を超えました。
ダークウェブのランサムウェアのサイトには日本企業のクライアントもあり、データも公開されています。二重恐喝型ランサムウェアの脅威は決して他人事ではありません。リモートワークの普及によって侵入ポイントが増えた分、攻撃方法の種類も増えていくのは間違いありません。盗まれた自社データがオークションにかけられたり、被害を隠ぺいしていてもダークウェブでクライアントとして掲示されたりすることは、これまではあまり考えられなかったことです。防御側は、変化し多様化するリスクを反映したリスクシナリオを用意し、万全なセキュリティ対策を講じる必要があります。
ここまで紹介したように、リモートワークの拡大は、リスクの拡大につながる可能性をはらんでいます。攻撃者は既にリモートワークをターゲットにした攻撃を展開していることが判明しています。以下に、企業が行うべき内容をまとめます。
攻撃対象領域(アタックサーフェイス)を最小化するのは防御の基本ですが、リモートワーク導入は攻撃対象領域を拡大してしまいます。エンドユーザーの端末経由で侵入される可能性が増大するため、侵入ポイントごとに想定されるリスクと影響範囲を整理しておく必要があります。特に、シナリオごとに被害を受ける情報の範囲を把握することが重要です。
ISO31000(リスク管理の国際規格)に基づくリスク管理の一環として、リモートワークにおける最悪のシナリオを見出し、理解しておくことが、企業内部において利用可能なリソースと仕組みを最大限活用できる態勢を整えることにつながります。これにより、万が一のインシデント発生に伴う被害を最小限にすることが期待できます。
新しいリスクシナリオに対応したエンドユーザー権限やアクセス範囲の見直し、ガイドラインの策定や教育が必要となります。特に、リモートワークはオフィスワークに比べて、エンドユーザーが留意しなければならない範囲が拡大したという事実と、適切な管理方法を従業員に伝えることが重要です。
侵入された際にいち早く検知し、被害を最小に抑えるために、新しいリスクシナリオに対応したログ管理、ネットワーク監視、エンドポイント監視などの仕組みを整えておく必要もあります。2020年9月に公開されたデータ保護・保全のガイドラインNIST SP 1800-11では、ランサムウェアなどによるデータ完全性侵害に対して組織が具備すべきケイパビリティ、リファレンスモデル、テストケースなどが記載されています。リスクシナリオの見直し結果に基づき現状のセキュリティ対策の妥当性を確認する上で、参考にすることが可能です。
また、データの完全性侵害に留まらず二重恐喝ランサムウェアによって暗号化・窃取された情報の漏えい被害を抑えるためには、IRM(Information Rights Management)などの対策が有効です。
特に二重恐喝型ランサムウェアを想定した身代金の支払いの可否を含めた事後対応体制と事業継続計画、データバックアップ体制の見直しが必要になります。システム関係部門だけではなく、経営者および法務、広報など複数の部門が一体となって事態に対処する体制を、事前に構築します。
身代金について触れておくと、一般的に考えれば、身代金は支払うべきではありません。その理由は大きく2つあります。身代金が攻撃者の収入源となりさらなる犯罪を誘発することと、身代金を払ってもデータが公開されない保証は無いことです。しかし前者に関しては、オークションにかけて身代金以外で資金を得ることが可能になっており、犯罪抑止効果は薄れています。身代金を支払う会社が少なくないことは、ランサムウェアの増加の相関関係により推定できます。支払うか支払わないかの選択を迫られることのないよう、あらかじめの防御態勢の構築が不可欠です。
COVID-19がもたらした働き方の変化や通信技術の発達により、オフィス以外で働くのが当たり前の時代が来ることが予想されます。オンラインでの商談や会議も一般的になることでしょう(オンライン会議についてのリスクと対処方法に関しては米国国土安全保障省サイバーセキュリティ・インフラストラクチャ セキュリティ庁がビデオ会議やIoTなどについてのTipsやガイドを公開している*9)他、「事業継続を脅かす新たなランサムウェア攻撃について」*7に対策をはじめとする記載があるため、参考にしていただきたい)。リモートワークは勤務形態の変化であると同時に、企業が抱えるリスクの変化のきっかけでもあります。新しいリスクに対応するために、上記で述べたような施策を早急に実施することを推奨します。
*1:BitDefender, 2020年.’Mid-Year Threat Landscape Report 2020’[English][PDF 6,125KB]
*2:Sophos, 2019年.’ SOPHOSLABS 2019 THREAT REPORT’[English][PDF 3,056KB]
*3:Forbes, 2019年9月12日. ‘The Big Business Of Cybercrime: The Dark Web’[English]
*5:eset, 2019年. 「マルウェアレポート2019上半期」[PDF 17,552KB]
*6:McAfee Blog, 2020年8月12日. 「RaaSの進化 ― NetWalkerランサムウェアを調査」
*7:独立行政法人情報処理推進機構 セキュリティセンター, 2020年8月20日. 「事業継続を脅かす新たなランサムウェア攻撃について」[PDF 2,533KB]
ZD-net, 2020年7月20日. ‘Ransomware gang demands $7.5 million from Argentinian ISP’[English]
*8:独立行政法人情報処理推進機構 セキュリティセンター, 2020年4月. 「情報セキュリティ10大脅威2020 各脅威の解説資料」[PDF 3,153KB]
*9:Cybersecurity and Infrastructure Security Agency, ‘CYBERSECURITY’[English]