ランサムウェア被害を防ぐにはあらゆる経路で防ぐべき--チェック・ポイントの専門家
ランサムウェア攻撃の脅威が進化し、APT(高度で執ような脅威)の手法が活用されている。
攻撃者はRaaS(ランサムウェア・アズ・ア・サービス)を活用し、分業制によって効率的に攻撃を行っている。
AIや技術の悪用も攻撃と被害の拡大を招いている。
国内でランサムウェア攻撃による情報漏えいやシステム障害などの被害が相次いでいる。イスラエルのサイバーセキュリティ企業のCheck Point Software TechnologiesでCTO室 サイバーエバンジェリスト責任者を務めるBrian Linder氏は、「攻撃者に情報を窃取されることが最大の脅威になる。被害を回避するには、あらゆる経路でランサムウェアの侵入を防ぐことが重要だ」と指摘する。
ランサムウェアは、英語の「ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語だ。かつては、攻撃者が不正プログラムとしてのランサムウェアを無差別にばらまき、感染に成功した端末内のデータを不正に暗号化して使用不能にさせ、端末のユーザーに「データを復号(暗号化状態の解除)したいなら金銭を支払え」と脅迫するのが常とう手段だった。
しかし、現在のランサムウェア攻撃では、攻撃者がデータを暗号化するだけでなく、データ自体を不正に窃取することも行い、そのデータをさらに悪用する。脅迫内容もデータの復号だけでなく、「ダークウェブなどに暴露する。暴露されたくなければ金銭を支払え」などと多様化している。
ランサムウェア攻撃の脅威の本質は、被害者のデータや情報、システムなどの「資産」が攻撃者の「人質」になり、被害者が資産を取り戻すために、攻撃者の要求に応じざるを得ない状況に追い込まれることだ。ランサムウェア攻撃は数十年も前から存在するが、現在まで被害が止まないのは、攻撃者が金銭を獲得するという目的を達成する上で非常に有効な方法であり続けているからだろう。
上述のように、かつてのランサムウェア攻撃は無差別で、手口もデータの不正な暗号化が中心だった。その被害が世界的な問題になった2010年代に対策が進み、2016年7月には世界各国の法執行機関やサイバーセキュリティ企業が連携して、被害者にデータを復号する方法を提供する共同プロジェクト「The No More Ransom Project」が始動。これにより、全てではないものの広範に行われるランサムウェア攻撃については、万一暗号化の被害に遭っても、被害者が攻撃者に身代金を支払うことなくデータを復旧できるようになった。
暗号化が通用しづらくなった攻撃者側は、次に「Advanced Persistent Threat(APT=高度で執ような脅威)」と呼ばれる標的型サイバー攻撃で使われる手法を用いるようになったとされる。元々APTは、政府機関や大企業などの機密情報を盗むスパイ行為を主目的とする攻撃で、国家などの支援を受ける犯罪集団が特定の標的へひそかに侵入して長期間潜伏し、さまざまな機密情報を窃取するものだった。
ランサムウェア攻撃者は、APTを参考にして被害者からデータを窃取する手法を活用すれば、窃取した情報を第三者に販売したり、被害者に「暴露するぞ」と脅迫したりすることで、以前よりも金銭を得られるチャンスが広がることに気が付いたと考えられている。また、多数の顧客や取引先などを抱える企業や組織を攻撃した方が、不特定多数の個人を狙うよりもはるかに多くの金銭を効率的に獲得できることも認識したとされる。
Linder氏は、「まさしく今のランサムウェア攻撃ではAPTの手法が使われている。攻撃者は、スピアフィッシング(非常に巧妙ななりすましの手口)で標的に侵入し、長期間潜伏して金銭の獲得につながるデータを窃取する。侵入に成功すれば、いつでも好きなタイミングで攻撃活動を開始できる」と解説する。
APTを実行するには、高度で複雑な幾つもの攻撃手法を組み合わせる必要があり、単独で行うには難易度が高い。それでもランサムウェア攻撃に衰えが見られないのは、成功率が高いからだ。Linder氏も「現在はランサムウェアが犯罪ビジネスとして、成功が約束されるものになっている。そして、犯罪を成功させるためのエコシステムが確立されている」と指摘する。
現在のサイバー攻撃は分業制で実行されるのが一般的だ。ランサムウェア攻撃でも攻撃を“企画”して攻撃全体を主導する役割や、不正プログラムの作成や改造、販売などを行う役割、フィッシングメールなどの作成や送信を行う役割、被害者から窃取したデータや情報などを別の攻撃者や犯罪者などに販売する役割、攻撃自体を代行する役割など幾つもの機能があるとされる。
こうしたランサムウェア攻撃を行うために必要な役割や機能などが「ランサムウェア・アズ・ア・サービス(RaaS)」としてアンダーグランドで提供され、ビジネスとして成立しているという。攻撃の主導者(組織)は、必要に応じてRaaSを購入するだけで、手間をかけることなく攻撃を実施でき、被害者から金銭を得られるようになっているわけだ。
さらにLinder氏は、「AIなどの技術の悪用も攻撃と被害の拡大につながっている」とも話す。「現在のランサムウェア攻撃者は、多数の企業や組織を標的にしており、どこかで失敗してもすぐ別の標的に切り替えればいいと考えている。その際に例えば、スピアフィッシングのメールを新しい標的に合わせた内容として手作業で作り直すのは面倒だが、AIを使えば新しい標的の環境を把握するための分析を早く実行でき、そこから内容を変更して送信すればいい」
