サイバー攻撃が誘発されやすい現代特有の社会的背景
ランサムウェアをはじめとするサイバー攻撃の被害が世界中で絶えないが、こうした状況に企業が対処していく上では、社会やテクノロジーの変化を構造的にとらえることが重要だとペンタセキュリティシステムズの陳氏は説く。
「近年AIや6G、ブロックチェーンといった新技術が急速に進化しました。そして同時に、コロナ禍によりデジタル化やクラウド活用が進み、私たちの社会は『国境を越えたプラットフォーム社会』へと一気にシフトしました。この2つのムーブメントが同時期に起こったことにより、企業にとってデジタルやデータの価値が一気に高まりました」(陳氏)
社会・テクノロジーの変化にともないデジタルやデータのビジネス価値が急速に高まったことで、企業はこぞってインターネットのオープンなプラットフォームに進出して新たなビジネスモデルの確立を目指すようになった。これにより、確かに新たなビジネス価値が生まれ、人々の生活が便利になった側面はあるが、その一方で新たなセキュリティリスクを呼び込むことにもなった。
企業がインターネットに広く門戸を開けたことにより、サイバー攻撃者から見た場合の「攻撃対象となる領域」、いわゆる「アタックサーフェス」がかつてと比べ大きく拡大することになった。そのため企業はこれまで以上に、はるかに多くのポイントを守らなければならなくなった。
一方、サイバー攻撃を仕掛ける攻撃者の観点から見てみると、アタックサーフェスが拡大したことによってこれまで以上に手間やコストを掛けず、攻撃対象の弱点を見つけられるようになった。そして企業にとってデジタルやデータの価値がより高まったことにより、それらを窃取したり人質にとることで得られるリターンも大きくなった。
「攻撃に掛かるコストより、それによって得られる価値のほうが高くなったときに攻撃の動機は高まります。このロジックを『攻撃者の経済理論』と呼びますが、現在の社会状況はまさにサイバー攻撃者にとって攻撃者の経済理論が働きやすい状況だと言えます」(陳氏)
「攻撃者の経済理論」が働きやすい近年のランサムウェア攻撃
ランサムウェア攻撃の近年のトレンドは、この攻撃者の経済理論にまさに合致している。かつてのランサムウェア攻撃の主体は組織化されていない個人やグループが中心で、その手口も単にデータを暗号化してその復旧の見返りに金銭を要求するというものだった。
こうした手口は、当初ある程度効力を発揮したものの、やがて守る側もデータのバックアップ対策の強化や身代金の支払い要求を拒否するケースが増えるなど、攻撃によって得られる価値は相対的に低くなっていった。また各国の言語に合わせてフィッシングメールや脅迫文を作成し、メールを大量送信するなど、攻撃のためにかかる手間やコストもかさんでいた。つまり、攻撃者の経済理論にそぐわなくなってきたのだ。
しかし先述したように、攻撃対象となるアタックサーフェスが拡大したことにより、IT機器やソフトウェアの脆弱性が数多くインターネット上にさらされるようになり、これらを悪用することで攻撃者は手間や時間をかけることなく初期侵入できるようになった。
また、攻撃者側の組織化・分業化が進み、「マルウェア開発」「初期侵入」「暗号化実施」「被害者との交渉」などランサムウェア攻撃の各フェーズを攻撃者同士で分担し、最終的に得られた利益を分配するようなエコシステムが確立されたことで、さらに攻撃に掛かるコストが低くなった。
さらには攻撃によって得られる価値、つまり被害者から脅し取る身代金の金額もかつてより高額化している。
「現在では単にデータ復旧の見返りに身代金を要求するだけでなく、データを窃取した上でその公開をちらつかせてさらに金銭を要求する『二重脅迫』の手口が一般化しています。このように近年のランサムウェア攻撃のトレンドは攻撃のコストを下げ、かつその効果を高める方向に進んでいます」(陳氏)
放置された「既知の脆弱性」を悪用する手口が横行
こうしたトレンドの代表例として、陳氏は近年特に攻撃を活発化させている3つのランサムウェア攻撃グループ「LockBit」「Cl0p(Clop)」「ESXiArgs」の攻撃手法を挙げる。
LockBitは日本の医療機関やインフラ企業に対してたびたび攻撃を仕掛けて被害を与えていることから、国内でも広く知られ存在だが、2023年7月には台湾の半導体製造大手TSMCのデータを盗んで7000万ドルを脅迫したとの報道もあった。またこのグループは、高度に組織化された攻撃を行うことでも知られている。
このLockbitが2023年2月に行った攻撃では、印刷管理ソフトウェア「PaperCut」の脆弱性を悪用して初期侵入を行い、その後各種の悪性コードをダウンロードした後に標的システムのデータを暗号化。さらに窃取したデータの公開をちらつかせて二重脅迫を行っている。
またLockBitと同じく組織化・分業化された攻撃を行うと言われているCl0pは、2023年2月に実施した攻撃でファイル転送製品「GoAnywhere MFT」の脆弱性を悪用して攻撃ターゲットのサーバに侵入している。その上でバックドアを仕掛け、最終的にはやはりデータを暗号化した上で二重脅迫を行っている。
さらに、VMwareの仮想化製品「ESXi」に特化した攻撃を行うことで知られるESXiArgsは、ESXiが抱えていた「OpenSLP脆弱性」を悪用した侵入手口を頻繁に用いる。そうやって侵入した後はLockBitやCl0pと同様にデータの暗号化を実施するが、二重脅迫を行わないケースもあるのが特徴だ。
このように各グループとも細かな手口の点で違いはあれど、企業が対処を怠っている既知の脆弱性を悪用して初期侵入し、その後データの暗号化まで至っている点では共通していることがわかる。
「初期侵入」と「内部感染」のリスクに対してサーバサイドで対処する
こうした近年のランサムウェア攻撃から自社の貴重な情報資産を守るためには、まずは初期侵入を防ぐための対策を講じた上で、さらに万が一侵入を許してしまった場合に備えて内部感染の対策を実施する「多重防御」が有効だ。
ペンタセキュリティシステムズでは、この双方においてランサムウェア対策に有効なソリューションを提供している。
まず初期侵入リスクの軽減策として「Cloudbric(クラウドブリック)」と呼ばれるソリューションを提供する。Cloudbricは様々なセキュリティ製品・サービスを包含しており、中でもクラウド型WAF「Coudbric WAF+」は多様な機能を備えることで知られるが、他にも脆弱性診断サービスや脅威インテリジェンスといったサービスを提供している。
またユーザーの環境を24時間365日体制で監視し、不正アクセスを検知したら攻撃元IPを自動的に遮断するマネージドサービスなども提供している。
「まずは脆弱性診断で自社が抱える脆弱性を洗い出した上で、それらの対処を行っていただきます。その後必要に応じてWAFをはじめとしたCloudbricセキュリティソリューションを導入したり、各企業ごとにカスタマイズした運用ポリシーの策定などを支援します。さらにはマネージドサービスでお客様の環境を監視し、その内容を定期的にレポートします」
これらCloudbricの一連のソリューションを通じて、最も攻撃対象のサーフェスとなりやすいユーザー企業の公開Webサイトを悪用した初期侵入のリスクを継続的に低減することが可能になるという。
さらに内部感染対策としては、「D'Amo(ディアモ) KE」と呼ばれるデータ暗号化ソリューションを提供する。同製品はOSのカーネルレベルでフォルダ単位ごとファイルデータを暗号化し、OSの実行プロセス制御を付加することで、万が一内部侵入されても意図しないサーバの不正アクセスを防止するのに有効だという。つまり、ランサムウェアによる二重脅迫を目的とした業務データ搾取のリスク管理を強化し、強制的な暗号化プロセスもすべてブロックすることができる。
「最終的に企業が守りたいのはサーバ上に置かれたデータです。ゆえに、こうした『サーバサイドのセキュリティ対策』こそが現在求められています。アタックサーフェスが広がり続ける今日、ランサムウェア攻撃による被害を最小化するには、その背景や攻撃手法を理解した上で『選択と集中』の戦略が必要です。今回ご紹介したサーバサイドの対策は、まさにこうした戦略に合致するものだと考えています」(陳氏)
ホワイトペーパーダウンロード:WAFの必要性
本資料では、企業のセキュリティを万全に保ちたいIT・セキュリティ担当者の方向けに、サイバー攻撃の事例からWAFの導入目的・効果までを解説。また、合わせて「Cloudbric WAF+」の特長についても説明します。ダウンロードはこちらから。
