2023年11月10日、WithSecure(ウィズセキュア)は、最新のサイバー脅威を解説するための説明会を開催した。
冒頭、WithSecure日本法人のカントリーマネージャーに11月1日付で就任した藤岡健氏から、「セキュリティは自社のIT環境を堅牢にどう使っていくかという進歩の歴史である一方、明日には新しい脅威も出てくるため一生終わらない戦いともいえる。WithSecureの社名には、ともにIT環境をセキュアにしていくという意も込められており、お客様からフィードバックを受けながらパートナー企業とともにソリューションを提供していきたい」と挨拶が行われた。
説明会のメインセッションでは、「2023年の新型ランサムウェアについて」と題して、同社サイバーセキュリティ技術本部 本部長 島田秋雄氏、WithSecure Chief Research OfficerのMikko Hypponen(ミッコ・ヒッポネン)氏が登壇。近年、“ランサムウェアギャング”と呼べるような攻撃者による活動が目立っており、2023年から再び増加傾向に転じてきていると解説を行う。
WithSecure日本法人 サイバーセキュリティ技術本部 本部長 島田秋雄氏
LockbitやAlphv、Clopなどが依然として猛威を振るう中、アフィリエイトによるソースコードなどの流出がContiやBabukで起きている。近年、ランサムウェアに係わる分業化が進み、エコシステムが形成されてから時間が経つ中で成熟化。「給与が発生し、組織図を持つようになり、“プロフェッショナル”としての攻撃がより行われていく」とヒッポネン氏は述べる。
また、ある調査においては、観測されたランサムウェアの25%が新たなものだとされている中「どこまでが本当に新しいランサムウェアなのか」と島田氏は問題を提起。前述したようにソースコードが流出したことを受けて、それが攻撃者の中で再利用されるケースも増加しているという。他の組織からソースコードを窃取し、新たな攻撃に利用するなど、攻撃者にとっては新たなビジネス機会が誕生している側面もあるとして、「攻撃者にとってランサムウェアの再利用は良いアイデアであるが、被害者の立場からすると良くない状況にある」とヒッポネン氏。たとえば、2023年5月には“8Base”というPhobos lockerを改良したものが出現していたり、Contiと共通点がある“Akira”も2023年4月に活動を開始していたりと、ある種の企業体としてコストをかけず、効率よく金銭を窃取するような動きが強まっている。
加えて、新たなランサムウェアの特徴として“Cactus”を例に挙げながら、実行するための復号化の鍵がntuser.datファイルに保存されるなど、EPPなどのアンチウイルス対策では検出しにくく、ある程度攻撃が進行した段階でようやくEDRなどで検知できるような水準にあるという。“CatB”では、MSDTC(Microsoft Distributed Transaction Coordinator)を介してDLLをハイジャックし、ペイロードを抽出・起動するため、明らかな兆候を検知することが難しい。その一方、現段階ではBTCウォレットは空であり、攻撃が成功していない状態にあるという。他にも、“DarkPower”では、「Nim」でコーディングされており「暗号化の速さがより重要視されるようになっており、『Tox』というツールキットでやり取りを行っている」と島田氏。たとえば、“Rorschach”は暗号化の速度競争に勝つことだけを目的に作られたようにも見受けられると話す。
[画像クリックで拡大]
「ランサムウェアの標的にされたとき、いくつかのレベルに分けられる。まったく攻撃を受けていない、攻撃を受けても侵入にまで至っていない、未知のマルウェアにも異常検知で対応できたなど。特に異常検知は完璧ではないが、現状の最適解であり、WithSecureでも採用している。企業のセキュリティ責任者と話しても誰もが被害に遭うと考えておらず『なぜ攻撃者は標的にするのか』と聞かれるが、リークサイトを見て欲しいといつも答えている。つまり、特定の業界を狙っているのではなく“脆弱性を狙っている”ため、誰もが標的になり得るということだ」(ヒッポネン氏)
WithSecureでは、社内向けに機械学習を用いたセキュリティ対策を敷いているが、攻撃者も同様に攻撃キャンペーンを完全に自動化してくる将来も遠くないとして、「まだ起きていないだけで、すぐに起こることだ。“良いAI”と“悪いAI”が現れてくる中、我々は自信を持ってソリューションを提供しているが、どちらが勝つかは誰にもわからない」と締めくくった。
次に、「グッドパートナーシップの重要性」と題して、カスタマーアンバサダーを務める、北海道テレビ放送 コンテンツビジネス局 ネットデジタル事業部 三浦一樹氏が登壇。WithSecureを含め、クラウドコミュニティなどで積極的に情報発信を行っている。地方では、まだまだコミュニティイベントなどへの登壇者が少ない現状があるとして、「AWSなどの知見をコミュニティで培い、システム構築に活かしており、その恩返しという想いもある」と三浦氏。2023年9月にはAWSコミュニティヒーローにも選出されており、日本国内では7名しかいない。
顧客とパートナー企業を含めた、グッドパートナーシップという考え方をWithSecureでは重要視しており、三浦氏はポッドキャスト収録などの活動を通して同社の考え方を体現することにも寄与している。三浦氏は「地方のセキュリティリテラシーは決して高くなく、情報資産も少ない。新しい事業を始めようと思ってもゼロから立ち上げなければならず、ITとOT両方のセキュリティをどう担保するかなどに少人数で悩んでいる現状がある」と話す。だからこそ、社外コミュニティなどで情報やノウハウを共有していくことが大切だという。
「ランサムウェアについても2、3年前は他人事だったが、もし感染して放送が止まってしまったら報道機関としての役割が果たせなくなるため、あらためて重要性を認識している。また、地方ではコロナ禍を経て、新しくITシステムを構築する動きもある中、セキュリティ対策についても継続的なコミュニティ活動などを通して啓蒙していきたい」(三浦氏)
【関連記事】
・WithSecure日本法人のカントリーマネージャーに藤岡健氏が就任
・「連帯こそがサイバーセキュリティの希望となる」──WithSecure「Sphere 23」が開幕
・富士通Japan、WithSecureのセキュリティソリューションを医療機関に展開
