VPNの脆弱性による侵入が全体の6割以上
企業がこうしたランサムウェアの脅威から自社の情報資産を守る上でおさえておくべきポイントとして、内山氏は「脅迫手口」「侵入経路」「組織化」の3点を挙げる。
脅迫手口として近年は、単にデータを暗号化してその復号と引き換えに身代金を要求するだけでなく、窃取した情報の公開をちらつかせて金銭を脅し取ろうとする「二重脅迫」の手口が当たり前になってきた。さらに最近ではDDoS攻撃やプリンタ攻撃などもあわせて実行し、「これを止めてほしければ金銭を支払え」と脅迫する「三重脅迫」や、これに加えてパートナー企業や関連会社の情報流出をちらつかせて金銭を脅し取る「四重脅迫」の手口まで見られるようになってきた。
ランサムウェアの侵入経路も多様化しており、様々な経路からの感染が報告されている。ただしその中でも、近年目立って多く見られるのが「VPN機器の脆弱性を悪用した侵入」だ。前出の警察庁のレポートでも、感染経路全体の実に62%を「VPN機器からの侵入」が占めている。次いで多いのが「リモートデスクトップからの侵入」(18%)、さらに「不審メールやその添付ファイル」(9%)が続く。
「テレワーク環境の整備のために導入したVPN機器の脆弱性が狙われたり、同じくテレワーク環境で使われるリモートデスクトップのID/パスワードが盗まれて侵入されるケースが目立ちます。特にVPN機器の脆弱性については、機器メーカーから既に修正ソフトウェアが提供されているにもかかわらず、それを適用していないために侵入されるケースが多く、まずはソフトウェアを最新の状態に保つことが大切です」(内山氏)
大阪の病院のケースでも、病院食提供を委託していた会社が利用するデータセンターに対して、VPN機器の脆弱性を悪用する手口で攻撃者が侵入。そこからリモートデスクトップ経由で委託会社のシステムに侵入し、さらにリモートデスクトップを介して病院本体へ侵入したと見られている。
加えて、昨今のランサムウェア攻撃は様々な役割や能力を持つ攻撃者が互いに分業しながら組織的に実行している。マルウェア作成者が「アフィリエイト」と呼ばれる協力者たちに攻撃インフラを提供して実際に攻撃を実行させ、成功報酬をそれぞれの働きに応じて分配するというエコシステムが形成されつつある。こうした組織だった動きから見るに、ランサムウェア攻撃は今後ますます活発化することが予想されている。
