- 2023.12.20
- サイバーセキュリティ
特に気をつけてほしいサイバー攻撃(ランサムウェア)
セキュリティに課題を抱える企業を対象に独自のセキュリティサービスを提供されている、株式会社CISO 代表取締役 那須慎二様によるセキュリティコラム第7回。今回は、特に気をつけてほしいサイバー攻撃(ランサムウェア)についてご説明いただきます。
前回までは、サイバー攻撃のビジネスモデル化が進んでいる中で、金銭を巻き上げるための様々な手法や攻撃シナリオをご紹介いただきました。
今回は、その中でもランサムウェアについてご紹介いただきます。
社会的にも話題になることが多いランサムウェアですが、今や、RaaS(Ransomware as a Service)と呼ばれる存在が登場しているほど、ビジネスとしての構造が成り立っている現状をご存じでしょうか。「そもそもランサムウェアとは」、「その攻撃手法」、「ランサムウェアビジネスの具体的な構造」等をセキュリティプロフェッショナルの視点でご紹介いただきます。
前回の記事は以下よりご確認いただけます。
特に気をつけてほしいサイバー攻撃(ランサムウェア)【セキュリティコラム第7回】
最も気をつけるべきサイバー攻撃は何でしょうか?という質問があった場合に間髪を⼊れずに「ランサムウェアによる攻撃」と回答せざるをえないほど、ランサムウェア被害は年を経るごとに被害が拡⼤しています。
ランサムウェア被害は様々な経路から発生する
IPA(情報処理推進機構)が、2023年セキュリティ対策10⼤脅威の第1位として「ランサムウェアによる被害」を挙げています。
他にも
・2位:サプライチェーンの弱点を悪⽤した攻撃
・3位:標的型攻撃による機密情報の窃取
・5位:テレワーク等のニューノーマルな働き⽅を狙った攻撃
等とありますが、読み⽅を変えれば
・2位:サプライチェーンの弱点を利⽤されてランサムウェア被害に遭う
・3位:標的型攻撃によってランサムウェア攻撃者が機密情報を窃取する
・5位:テレワーク等のニューノーマルな働き⽅を悪⽤されてランサムウェア被害に遭う
等のように、2位以下で⽰されているものは、ランサムウェア被害の過程を表現しているといっても過⾔ではありません。
ランサムウェアとは
ランサムウェアとは、PC端末やサーバ内に保存されているデータを暗号化して使えない状態にし、復元してほしければ⾝代⾦が必要で、暗号資産(ビットコイン等)で⾦銭を⽀払わせようとする攻撃のこと。
今は、暗号化する前にデータを予め窃取し、公開されたくなければ⾦銭を⽀払え、という⼆重強迫型。サイトをダウンさせて利⽤不能とするDDoS攻撃を仕掛ける三重強迫型。窃取した情報に関連する取引先や顧客に連絡して脅す四重強迫型。データは暗号化せず、窃取した情報を公開すると脅すだけのデータ公開型等、様々な発展系を⽣み出しており、その勢いは今後も拡⼤の⼀途を辿りそうです。
ランサムウェアの攻撃⼿法は「標的型」と「ランダム型」が存在します。標的型は、ターゲットなる企業に侵⼊するために時間をかけて⼊念に調べ上げ、攻撃シナリオに基づき執拗に攻撃を仕掛けてくる⼿法。ランダム型は、ネットに接続されている全ての端末や通信機器を対象にしたり、⼊⼿したメールアドレスに対して⼿当たり次第攻撃を仕掛ける⼿法です。
現在、⽇本の中堅・中⼩企業でランサムウェア被害に遭遇している状況を⾒ていると、「ランダム型」によるサイバー被害が多いと感じます。「うちみたいな⼩さな会社が狙われるわけがない」という中⼩企業経営者の⾔葉を今でも⽿にしますが、実はその通りで、中⼩企業を「狙っているわけではない」のです。⼿当たり次第に攻撃を仕掛けてくる攻撃者の流れ弾に「たまたま」当たり、被害に遭ってしまうケースが圧倒的に多いのです。
では、何故ランサムウェア被害に遭ってしまうのか。それは、ランサムウェア攻撃者の攻撃⼿法を知らないためです。中堅・中⼩企業に限らず、⼤企業も含めて攻撃者が何を考え、どのような攻撃を仕掛けてくるのかを知らなければ、ネットに繋がっている以上、被害に遭うのは確率の問題になります。
Lockbitとは
代表的なランサムウェアとして「Lockbit」を挙げます。
Lockbitは2019年に活動を開始したグループ。消滅することなく今でも進化を遂げており、現在はLockbitバージョン3.0を⽤いて攻撃を続けています。徳島の半⽥病院や、名古屋港などが被害に遭っており、⽇本でもメジャーなランサムウェア集団です。
Lockbitが手掛けるサービスとしてのランサムウェア
2020年にランサムウェアビジネス(Ransomware as a Service:RaaS)を提供する側になり、「⾃分達のツールを使うと確実に儲かるよ」と、アンダーグラウンド上にあるハッキングフォーラムにて、サイバー攻撃の実⾏犯を募り、今でも攻撃を仕掛け続けています。
彼らが何故、⾃ら「Lockbit」であることを世間に伝えているのかというと、⼀つは、名前を聞くだけで恐ろしいと感じてもらうための「脅し」。そしてもう⼀つは⾝代⾦さえ払えばデータの復旧を保証する「ブランディング」にあるとしています。
加えて、ランサムウェアは「ビジネスモデル化」と「分業化」が進んでいます。Lockbitのように、ランサムウェアを作成して利⽤料を徴収するメーカー(RaaS)。PCやサーバ、通信機器等の脆弱性を狙い、乗っ取りが成功した端末の利⽤料を受け取ることで収益をあげるイニシャルアクセスブローカー(IAB)。そして攻撃の実務を⾏う実⾏犯です。
収益を⽣み出すモデルが確⽴されている以上、⾃らを解体して攻撃を⽌めるという可能性はほぼないとみてよいでしょう。⾜がつきにくく、かつ儲かるビジネスとなっているため、益々参加者が増える可能性があることにも注意が必要です。
セキュリティコラムトピック一覧
本コラム連載の掲載トピック一覧は以下のとおりです。ぜひご期待ください。
<掲載済>
【第1回】どうなる?2023年以降のサイバー攻撃情勢予測
【第2回】DXの発展とセキュリティリスク
【第3回】Web3.0の発展とセキュリティリスク
【第4回】Chat GPTの利用に伴うセキュリティリスク
【第5回】攻撃者の侵⼊経路
【第6回】具体的な攻撃シナリオ
【第7回】特に気をつけてほしいサイバー攻撃(ランサムウェア) (今回)
<掲載予定>
【第8回】特に気をつけてほしいサイバー攻撃(Emotet)
【第9回】セキュリティエンジニアに必須となる「ネットワーク」基礎知識その1
【第10回】セキュリティエンジニアに必須となる「ネットワーク」基礎知識その2
※内容は変更の可能性がございます。
筆者紹介
那須 慎二(なす しんじ)
株式会社CISO 代表取締役
国内大手情報機器メーカーにてインフラ系SE経験後、国内大手経営コンサルティングファームにて中堅・中小企業を対象とした経営コンサルティング、サイバーセキュリティ・情報セキュリティ体制構築コンサルティングを行う。
2018年7月に株式会社CISO 代表取締役に就任。人の心根を良くすることで「セキュリティ」のことを考える必要のない世界の実現を目指し、長年の知見に基づく独自のセキュリティサービス(特許取得 特許第7360101号)を提供している。
業界団体、公的団体、大手通信メーカー、大手保険会社、金融(銀行・信金)、DX関連など業界問わず幅広く講演・執筆多数。近著に「知識ゼロでもだいじょうぶ withコロナ時代のためのセキュリティの新常識(ソシム)」あり。
