依然として猛威を振るう「ランサムウェア」新たな手口も……
楢﨑氏はまず、IPAが発表している「情報セキュリティ10大脅威 2024」の結果を紹介しながら、最新のセキュリティリスクについて解説した。
組織向けのセキュリティリスクは大きく2つに分けられる。1つ目は「内部からの脅威」。2つ目はサイバー攻撃など「外部からの脅威」だ。
内部からの情報漏洩とは、従業員による顧客情報の不正売買、退職者による情報持ち出し、リモートワークのために持ち出した社外秘情報の漏洩や業務用PCの置き忘れ・盗難などだ。楢﨑氏は「情報に価値がある時代だからこそ、同業種へ転職する場合などに“お土産”として営業秘密を持ち出す転職者が増えています。2022年の営業秘密侵害事件は29件で、2013年の約5倍でした」と解説。組織の信用や多額の損失で、事業の根幹を脅かすケースも目立つようになってきたと話す。
一方、外部からの情報漏洩で多いのが、ランサムウェアによる攻撃だ。ランサムウェアとは、組織に侵入後、データを暗号化し、復号と引き換えに身代金を要求するマルウェアのこと。以前は不特定多数に攻撃していたが、今は計画的にターゲットを狙い撃ちする標的型攻撃が多いという。楢﨑氏は「組織に侵入をして過去に取引先などとやり取りしたメールを盗み、それを悪用してウイルスを感染させるメールを作成して開封率を上げたり、第2弾の脅迫としてデータをダークウェブで公開すると脅迫して金銭を要求したりすることもあります」と警鐘を鳴らした。
さらに最近ではランサムウェアを使わずにデータの窃取のみを行い、情報をばらまかれたくなければ身代金の支払いを要求する「ノーウェアランサム」というサイバー攻撃も増加。2023年には約30件の被害が確認されている。
こうした背景には、サイバー攻撃のビジネス化があるという。ダークウェブ上で違法性のある情報やソフトウェアが売買され、ITスキルがない人でも簡単にサイバー攻撃ができるようになってしまった。いまやRaaS(ランサムウェア・アズ・ア・サービス)というビジネスモデルとして確立しているのだ。
楢﨑氏は「クラウドサービスやリモートワークでネットワークへのアクセスポイントが増えたので、攻撃の侵入起点も増え、攻撃者のチャンスも増えています」と注意を促した。
管理者権限での情報の持ち出し/脆弱性をついたサイバー攻撃
続いて、過去の事案をもとに具体的な手口を紹介した。内部不正の例として挙げられたのは、2023年に通信会社の子会社に勤務する元派遣社員が、約900万件の顧客情報を流出させた事案だ。顧客データサーバーへの管理者権限を使って、USBメモリ経由で約10年間データを持ち出し続けた。データを名簿会社に売り、2000万円以上を受け取った疑いがある。
これと手口が酷似しているのが、2013年には通信教育会社で約3500万件の情報持ち出しがあった事案。どちらも管理者権限で接続して外部記憶媒体へ情報をコピーして持ち出している。
外部からの攻撃の例としては、2020年11月の大手ゲーム会社の事案を紹介した。海外拠点で使用していた旧型のVPN装置にランサムウェアが侵入。感染した機器上には攻撃者からのメッセージファイルが残されていたが、コンタクトを拒否したところ、顧客情報や販売予定など最大39万件の情報がダークウェブに流出した。
VPN装置の脆弱性をついた同様の事案は多い。2022年には総合医療センターの委託先のVPN装置がランサムウェアに感染し、院内サーバーに伝染。電子カルテなどが暗号化され、外来診療や各種検査が停止に追い込まれ、復旧には2ヵ月を要した。また2023年には海運ターミナルでVPN装置からランサムウェアに感染し、3日間にわたってコンテナの搬出入が停止している。
