SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Day 2023 秋の陣 レポート(AD)

「初期侵入」と「内部感染」リスクにはサーバサイドから対策を!セキュリティコスト増の前に考えるべきこと

「攻撃者の経済理論」が働きやすい近年のランサムウェア攻撃

 ランサムウェア攻撃の近年のトレンドは、この攻撃者の経済理論にまさに合致している。かつてのランサムウェア攻撃の主体は組織化されていない個人やグループが中心で、その手口も単にデータを暗号化してその復旧の見返りに金銭を要求するというものだった。

 こうした手口は、当初ある程度効力を発揮したものの、やがて守る側もデータのバックアップ対策の強化や身代金の支払い要求を拒否するケースが増えるなど、攻撃によって得られる価値は相対的に低くなっていった。また各国の言語に合わせてフィッシングメールや脅迫文を作成し、メールを大量送信するなど、攻撃のためにかかる手間やコストもかさんでいた。つまり、攻撃者の経済理論にそぐわなくなってきたのだ。

 しかし先述したように、攻撃対象となるアタックサーフェスが拡大したことにより、IT機器やソフトウェアの脆弱性が数多くインターネット上にさらされるようになり、これらを悪用することで攻撃者は手間や時間をかけることなく初期侵入できるようになった。

 また、攻撃者側の組織化・分業化が進み、「マルウェア開発」「初期侵入」「暗号化実施」「被害者との交渉」などランサムウェア攻撃の各フェーズを攻撃者同士で分担し、最終的に得られた利益を分配するようなエコシステムが確立されたことで、さらに攻撃に掛かるコストが低くなった。

画像クリックで拡大
画像クリックで拡大

 さらには攻撃によって得られる価値、つまり被害者から脅し取る身代金の金額もかつてより高額化している。

 「現在では単にデータ復旧の見返りに身代金を要求するだけでなく、データを窃取した上でその公開をちらつかせてさらに金銭を要求する『二重脅迫』の手口が一般化しています。このように近年のランサムウェア攻撃のトレンドは攻撃のコストを下げ、かつその効果を高める方向に進んでいます」(陳氏)

放置された「既知の脆弱性」を悪用する手口が横行

 こうしたトレンドの代表例として、陳氏は近年特に攻撃を活発化させている3つのランサムウェア攻撃グループ「LockBit」「Cl0p(Clop)」「ESXiArgs」の攻撃手法を挙げる。

 LockBitは日本の医療機関やインフラ企業に対してたびたび攻撃を仕掛けて被害を与えていることから、国内でも広く知られ存在だが、2023年7月には台湾の半導体製造大手TSMCのデータを盗んで7000万ドルを脅迫したとの報道もあった。またこのグループは、高度に組織化された攻撃を行うことでも知られている。

 このLockbitが2023年2月に行った攻撃では、印刷管理ソフトウェア「PaperCut」の脆弱性を悪用して初期侵入を行い、その後各種の悪性コードをダウンロードした後に標的システムのデータを暗号化。さらに窃取したデータの公開をちらつかせて二重脅迫を行っている。

 またLockBitと同じく組織化・分業化された攻撃を行うと言われているCl0pは、2023年2月に実施した攻撃でファイル転送製品「GoAnywhere MFT」の脆弱性を悪用して攻撃ターゲットのサーバに侵入している。その上でバックドアを仕掛け、最終的にはやはりデータを暗号化した上で二重脅迫を行っている。

 さらに、VMwareの仮想化製品「ESXi」に特化した攻撃を行うことで知られるESXiArgsは、ESXiが抱えていた「OpenSLP脆弱性」を悪用した侵入手口を頻繁に用いる。そうやって侵入した後はLockBitやCl0pと同様にデータの暗号化を実施するが、二重脅迫を行わないケースもあるのが特徴だ。

 このように各グループとも細かな手口の点で違いはあれど、企業が対処を怠っている既知の脆弱性を悪用して初期侵入し、その後データの暗号化まで至っている点では共通していることがわかる。

次のページ
「初期侵入」と「内部感染」のリスクに対してサーバサイドで対処する

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Day 2023 秋の陣 レポート連載記事一覧

もっと読む

この記事の著者

吉村 哲樹(ヨシムラ テツキ)

早稲田大学政治経済学部卒業後、メーカー系システムインテグレーターにてソフトウェア開発に従事。その後、外資系ソフトウェアベンダーでコンサルタント、IT系Webメディアで編集者を務めた後、現在はフリーライターとして活動中。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

提供:ペンタセキュリティシステムズ株式会社

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/18560 2023/10/31 10:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング