“新無差別型攻撃”のランサムウェアによる“サイバー脅迫”とは? | 東京IT新聞

“新無差別型攻撃”のランサムウェアによる“サイバー脅迫”とは?

コンシューマー セキュリティ

昨年から世の中では“ランサムウェア”という不正プログラムが猛威を振るっています。ランサムは直訳すれば身代金要求ですが、ランサムウェアに皆さんのパソコンが感染しますと、突然画面に「あなたのデータ(ファイル)は暗号化されており、解除したければお金を支払ってください」というポップアップが出てきます。

一昔前に流行った『北斗の拳』という漫画がありましたが、正にランサムウェア感染は“お前は既に死んでいる”と言われているようなものです。このポップアップが出たら最後、もうパソコン上での業務は出来ません。

復旧させるには大きく4つの選択肢があり、1:感染したランサムウェアを駆除するワクチンプログラムを実行する(適応したワクチンプログラムのリリースを待つ)、2:暗号化されたデータを専門業者に委ねて復号作業をしてもらう、3:パソコンを初期化する(勿論、全データは消えてしまいますが)、4:最後に残るのは犯罪者にお金を支払うか、の4点です。3点目は実際には初期化されてしまうので復旧とはいえませんが。今回はこのランサムウェアの被害実態について解説してまいりましょう。

実は意外なんですが、このランサムウェアの被害実態はあまり公に公開されておりません。しかし私が全国の各企業や行政機関の皆さんと日々会話する中では、相当な勢いでこのランサムウェアの被害が拡大しております。

先日も大手製造業社へお伺いした際には、一晩で2000通近いランサムウェアが添付されたメールが届いた、との話も伺いました。各組織には既に多層防衛システムによって、この手の攻撃をどんどん遮断してきますが、2000通もあれば突破する攻撃(メール)があり、更にそれをクリックする職員がいても全然不思議ではありません。特定のドメイン(企業)を狙った点では標的型攻撃ですが、宛名はランダムでしかも情報窃取を目的としていないので質よりも量的な、無差別攻撃と言えるでしょう。一昔前の不正プログラムのようにドメインも無差別でない点が“新”無差別攻撃という所以です。

さて話をもどしますが、なかなか被害実態が見えないのは、このランサムウェアによる感染影響があまりにも深刻だからです。もしランサムウェアが皆さんのパソコンのハードディスクでなく、組織の共有ストレージ(NAS等)に感染してしまった場合は、一斉に組織の業務が停止します。地震、火災、水害と同様、企業のBCPに直結する被害が、たった一回のランサムウェアという不正プログラム感染で発生してしまうからです。

このランサムウェア感染経路は、メールによる感染とWebによる感染の大きく2つのパターンがあり、実際にリサーチしてみるとほぼ50:50の比率です。特にWebアクセス時の感染が深刻で、いわゆる企業のURLフィルタに該当するような業務に関係の無いサイト(アダルトやギャンブル)でなく、ホワイトリストとして定義されるような企業、取引先など、普段業務でアクセスするWebサイトに不正プログラムが仕込まれてるケースも散見されるのです。

犯罪者はいかにランサムウェアに感染させるかの効率性と確実性を考えますから、既存の防御システムを突破する仕組みを考えるのは必然です。従って既存の多層防衛システムを突破されてしまうことがあるのです。

さらに、少し前までのランサムウェアは感染しても1台の端末で感染が留まってましたが、最新(3月末時点)では拡散型も発見されており、ご丁寧なことに、感染後のポップアップには犯罪者へお金を支払う手順や復旧をサポートする“サポートデスク”の電話番号まで準備されているのです。しかもこのサポートデスクの対応は、皮肉にも大変丁寧な対応、とも言われてます。もはや犯罪者側もビジネスとして明確に捉え、いかにして高収入を得るかを考えた際、実ビジネス同様にサポートを手厚くしたり、感染実態をわかりやすくしたりと考えるわけです。

ランサムウェアの被害を皮切りに、改めて企業経営者と会話した際、ITシステム利用における最大の課題は何かを問うと、不正な情報窃取が真っ先に挙がりますが、同等レベルで事業停止に直結する新しい“サイバー脅迫”についても高い関心を示しています。

従来からサイバー脅迫の代表格は事業停止に直結するDDoS攻撃ですが、ランサムウェア感染によって、ITシステム利用が停止し、事業継続が出来ないという事態が引き起こされます。

一般的にセキュリティ投資がうまく進まないケースとして「家には盗まれても困る情報はないから」とか、「eコマースはしていないからWebサイトが落ちても大して問題ないから」という“言い訳”も、ITシステム利用が停止したら、メールもWebも決済システムもすべて利用できなくなるので、恐ろしい事態が発生する(現に発生しはじめている)ことを、改めて皆さんにはご認識頂けばと思います。地震/火災/水害/サイバー、の被害におけるBCPが、ランサムウェアの台頭によって“同軸で議論”されるべき時期に来たと言えるでしょう。
《楢原 盛史》

編集部のおすすめ

特集

page top