Wannacryを覚えていますか?
これから数回に渡り、ランサムウェアに関する記事を書いていきます。記事自体は技術的なものではなく、ランサムウェアの変遷と企業や組織に与えるインパクト、具体的には企業や組織のリスク、それも経営リスクの観点から見ていきますので、企業の情報セキュリティに関わる皆さんはもちろん、経営層の方にもご一考いただける内容です。
さて、ランサムウェアと聞くとすぐ思い出すのが2017年の5月、ちょうどゴールデンウィーク近辺で発生したWannacryですね。
Windowsの脆弱性を利用してクライアントPCに感染し、ファイルを暗号化・その後暗号を解除するためのキーを入手するための身代金を要求するといったものでした。テレビのニュースでも繰り返し報道されましたので、読者の皆さんもPCの画面に真っ赤な身代金要求画面が出ているのは覚えていらっしゃると思いますし、実際に被害に合われた方もいらっしゃるかもしれません。
また、Wannacryは1台への感染のみにとどまらず、同じネットワーク内にある他のクライアントPCにも感染する特徴を持っていました。イギリスでは国民保険サービスが被害に合い、7万台の医療機器が影響を受けたため、患者の電子カルテにアクセスできなくなり、手術の中止や診療のキャンセル、入院患者の移送など大きな問題となりました。国内でも大手のメーカーや鉄道会社、小売業、外食チェーンなどが被害を受け、一部のサービスが停止したことも記憶に新しいところです。おそらく、公表されていないだけで国内外において相当数の被害があったと推測されます。
Wannacryの脅迫画面
身代金は1件当たり数百ドルといわれ、ビットコインで支払うように要求されました。どの程度の企業が支払ったのかは不明ですが、一説ではWannacryによって攻撃者(攻撃グループ)が集めた金額は10億ドル(約1100億円)という話もあります。しかしながら、1件当たりの費用と照らし合わせると多すぎるかもしれません。いずれにしても、復旧のためには身代金と作業費(調査や作業工数、機器入れ替えなど)が必要となりました。
弊社マクニカネットワークスにおいては、Wannacryの対応をされている企業のセキュリティ担当や情報システム部の皆様の一助となればと考え、2017年の5月の半ばには以下のようなランサムウェアに関する緊急対応方法をお伝えしていました。
最終的にどのような対応策を取ったかは企業によって様々だと思いますが、多かったのは“データバックアップをしっかりやっておく”ということではないでしょうか。もちろん、セキュリティ教育などによって従業員ITリテラシーを上げ、感染リスクを下げるという試みをされた企業も多かったと思います。クライアントのPC(場合によってはマウントされているファイルサーバも)が感染したことを早急に確認できれば、該当のPCをすぐに隔離し、クリーンアップの上、バックアップデータで元に戻すのが一番早くて安いのですから。バックアップ用のストレージもオンプレミスに置くケースとクラウドのものがあり、クラウドストレージであれば、構築も短時間で容易にできコストも安いため、対策として多く取り入れられたのだと思います。一方で、アンチウィルスベンダーもパターンファイルを提供し、EDRのような高度な検知能力をもったクライアントセキュリティソフトで、振る舞い検知によって亜種までブロックできるようにもなってきました。
このように、Wannacryのようないわゆるレガシーなランサムウェアについては、企業側の対策とセキュリティ技術の進歩により従来の侵入の仕方や攻撃の仕方を防ぐ仕組みができてきたこと、万が一感染しても対応できる仕組みを企業側が持ったことによって沈静化していったと言えますが、今でも時折事案として弊社に相談があるのも事実です。対応をされた企業とそうでない企業があるのだと思われます。
その一方で、2019年頃からは事象としてはランサムウェアによるファイルサーバやクライアントPCの暗号化と見えるにもかかわらず、Wannacryとは異なる、いわゆる標的型攻撃の手法とランサムウェアを組み合わせたさらに高度な攻撃が観測されるようになりました。
