2021年から2022年にかけてランサムウェア被害が急増
2020年から2022年にかけて国内で発生した主なセキュリティインシデントの数をデジタルアーツが独自に集計したところ、マルウェア感染に起因するインシデントの数が2021年から2022年にかけて10倍近くに急増しており、中でも「Emotet」と「ランサムウェア」の感染報告が目立って増えていることがわかったという。
実際のところ、2022年に報道で大きく取り上げられた情報セキュリティインシデントの多くがランサムウェア感染に起因しており、大手自動車メーカーの工場が稼働停止に追い込まれたり、大阪府の病院が診療停止を余儀なくされた事案はまだ記憶に新しい。
公的な統計でもこうした傾向を裏付けており、警察庁が2023年3月に公開したレポート「令和4年におけるサイバー空間をめぐる脅威の情勢等について」によれば、2022年に都道府県警察から警察庁に報告があったランサムウェア被害の件数は、2021年と比較すると2倍近くにまで増えている。またIPAが毎年発表している「情報セキュリティ10大脅威(組織)」では、2021年から2023年にかけて3年連続でランサムウェアが1位の座を占めている。
その一方で内山氏は、この「10大脅威」のランキングに2023年初めてランクインしたとある脅威に着目する。
「10位に初めて『犯罪のビジネス化(アンダーグラウンドサービス)』がランクインしました。現在サイバー犯罪は組織化・ビジネス化が進んでおり、ランサムウェア攻撃に関してもこの傾向が顕著です。従ってランサムウェア被害が増えていることと犯罪のビジネス化の傾向は、極めて深い関係にあると考えられます」(内山氏)
また前出の警察庁のレポートによれば、ランサムウェアの被害を受けた企業・組織に対して「復旧に要した時間」について尋ねたところ、「2ヵ月以上」という回答が11%、「1ヵ月~2ヵ月」が16%を占めていた。実に3割近くが復旧に1ヵ月~2ヵ月以上を要しており、これに「1週間~1ヵ月」の25%を加えると全体の約半数が復旧に1週間以上を要している。
2022年10月に大阪府の病院がランサムウェアに感染して通常診療の停止に追い込まれたケースでも、全システムの復旧までに2ヵ月以上を要しており、ランサムウェアに一度感染すると長期にわたり事業にダメージを負い続ける可能性が高いことがわかる。
さらには、中小企業がランサムウェアの被害を受けるケースが増えてきているのも、近年顕著に見られる傾向の1つだと内山氏は指摘する。
「警察庁のレポートでも、ランサムウェアの被害を受けた企業・団体のうち53%を中小企業が占めています。中小企業の方々の中には『うちのような小規模な企業は狙われないだろう』と思い込んでいる方も少なくありませんが、実態はまったく逆で、中小企業こそランサムウェア対策に気を配る必要があります」(内山氏)
VPNの脆弱性による侵入が全体の6割以上
企業がこうしたランサムウェアの脅威から自社の情報資産を守る上でおさえておくべきポイントとして、内山氏は「脅迫手口」「侵入経路」「組織化」の3点を挙げる。
脅迫手口として近年は、単にデータを暗号化してその復号と引き換えに身代金を要求するだけでなく、窃取した情報の公開をちらつかせて金銭を脅し取ろうとする「二重脅迫」の手口が当たり前になってきた。さらに最近ではDDoS攻撃やプリンタ攻撃などもあわせて実行し、「これを止めてほしければ金銭を支払え」と脅迫する「三重脅迫」や、これに加えてパートナー企業や関連会社の情報流出をちらつかせて金銭を脅し取る「四重脅迫」の手口まで見られるようになってきた。
ランサムウェアの侵入経路も多様化しており、様々な経路からの感染が報告されている。ただしその中でも、近年目立って多く見られるのが「VPN機器の脆弱性を悪用した侵入」だ。前出の警察庁のレポートでも、感染経路全体の実に62%を「VPN機器からの侵入」が占めている。次いで多いのが「リモートデスクトップからの侵入」(18%)、さらに「不審メールやその添付ファイル」(9%)が続く。
「テレワーク環境の整備のために導入したVPN機器の脆弱性が狙われたり、同じくテレワーク環境で使われるリモートデスクトップのID/パスワードが盗まれて侵入されるケースが目立ちます。特にVPN機器の脆弱性については、機器メーカーから既に修正ソフトウェアが提供されているにもかかわらず、それを適用していないために侵入されるケースが多く、まずはソフトウェアを最新の状態に保つことが大切です」(内山氏)
大阪の病院のケースでも、病院食提供を委託していた会社が利用するデータセンターに対して、VPN機器の脆弱性を悪用する手口で攻撃者が侵入。そこからリモートデスクトップ経由で委託会社のシステムに侵入し、さらにリモートデスクトップを介して病院本体へ侵入したと見られている。
加えて、昨今のランサムウェア攻撃は様々な役割や能力を持つ攻撃者が互いに分業しながら組織的に実行している。マルウェア作成者が「アフィリエイト」と呼ばれる協力者たちに攻撃インフラを提供して実際に攻撃を実行させ、成功報酬をそれぞれの働きに応じて分配するというエコシステムが形成されつつある。こうした組織だった動きから見るに、ランサムウェア攻撃は今後ますます活発化することが予想されている。
ランサムウェアの多様な手口・侵入経路に対応するソリューション
こうしたランサムウェア攻撃に企業が対処していくために、企業や組織においてはどのような取り組みが必要になるのか。まずは自社で利用している機器やIT資産を把握し、その中に脆弱性が潜んでいないかを漏れなく洗い出す必要がある。その上でそれらに対して脆弱性パッチを適用し、今後新たに見つかる脆弱性に対しても迅速に対応できるよう、適切なチェックプロセスを確立して定常的に運用することが求められる。
その上で、日々仕掛けられてくる様々な手口の攻撃にそれぞれ応じた対抗策を講じておく必要もある。具体的には、フィッシングメールが疑われる危険なメールをブロックしたり、攻撃者がマルウェアのダウンロードや窃取情報の外部持ち出しに利用する「不要なHTTP(S)通信」をブロックしたり、さらには万が一情報が窃取された場合に備えてファイルを暗号化しておくといった施策だ。
ちなみにデジタルアーツでは、これらの施策を実行する上で役立つ数々のソリューションを提供している。たとえばメール関連の対策については、「m-FILTER」「m-FILTER@Cloud」というメールセキュリティ製品だ。
「m-FILTERを使えば、送信元を装った巧妙なフィッシングメールや添付ファイルからのマルウェア感染、不正なURLリンクからの感染、誤送信・内部不正対策など、メール関連のセキュリティ対策を一通り実現できます」(内山氏)
またWebを介した感染や情報流出を防ぐためのソリューションとしては、Webフィルタリング製品「i-FILTER」「i-FILTER@Cloud」が用意されている。この製品を活用することで、ユーザーの改ざんサイトへのアクセスをブロックしたり、不審な通信を遮断したり、ダウンロード・アップロードするファイルにウイルススキャンを実行することが可能だ。
さらにはファイル暗号化製品「FinalCode」も提供しており、これを使ってファイルをあらかじめ暗号化しておくことで、万が一外部にファイル流出してしまったとしても第三者にその内容が漏洩することを防ぐ。これにより、関連会社間でやりとりされたファイルを通じた感染や情報漏洩など、いわゆる「サプライチェーン攻撃」に対しても有効な手立てを講じることができるという。
加えて、m-FILTER@Cloudとi-FILTER@Cloudには不正なWebアクセスやメール送受信を迅速に検知して、その詳細情報のレポートを自動的にユーザーに配信する「Dアラート発信レポートサービス」という機能も備わっている。これらを活用することで、たとえセキュリティの専任者がいない企業であっても迅速かつ効率的な脅威検知・対応が可能になるという。
「ランサムウェアの脅威の“防御”、そして万が一脅威が発生した際の“対応”の両面において弊社は適切なソリューションを提供しています。今後もますます活発化すると予想されるランサムウェア攻撃に備えるために、ぜひ導入をご検討いただければと思います」(内山氏)
セキュリティに関するオンラインセミナーを毎月開催中!
デジタルアーツは、セキュリティに関するオンラインセミナーを毎月開催しております。最新のセキュリティトレンドや対策方法、製品デモや導入事例まで幅広くご紹介しておりますので、ぜひご興味のある方はご参加ください。まずは開催予定のセミナーを確認!