<あらゆる企業や組織がランサムウェアによるサイバー攻撃の標的になり得る時代。防御のためには知っておくべき「脆弱性」がある>
最近になってまた、ランサムウェア(身代金要求型ウィルス)によるサイバー攻撃が頻繁に報告されている。
9月初頭には、アメリカのネバダ州を拠点にしているカジノ・リゾートの大手企業が2社続けて、ランサムウェアの被害を受けて話題になった。どちらも、ホテルの機能やカジノのスロットマシーンなどが停止する騒ぎになった。
それ以外でも、アメリカでは数多くの民間企業や自治体、教育機関、医療機関が最近でもランサムウェアの被害に遭い、例えば、サンフランシスコのベイエリア高速鉄道(BART)もランサムウェアに感染してデータなどが漏洩している。
また韓国では、兵器製造も行う大手企業ハンファグループがランサムウェア被害を受けたばかりだ。日本でも最近、東京に拠点を置く電子部品大手企業や大手時計メーカーがランサムウェア攻撃を受けたと明らかにしている。7月には、ランサムウェアにより、名古屋港のすべてのコンテナターミナル内で運用している名古屋港統一ターミナルシステム(NUTS)に障害が発生した。
こうしたランサムウェア攻撃は勢いが止まっておらず、日本においても、ランサムウェア被害はいつ誰にでも起きうる可能性がある。
ランサムウェアによる攻撃では、サイバー犯罪者は高度な手口を使って、企業や組織にある「侵入口」を突いてくる。そしてランサムウェアを感染させ、コンピューターのファイルやデータを暗号化してしまい、機能を停止させる。
身代金を払えば、「復号鍵」を攻撃者から受け取って、うまくいけばシステムを復旧することが可能になる。また身代金を支払わずとも、費用はかかるが自分たちでシステムを入れ替えれば、データなどにアクセスできなくなる可能性は残るが再びビジネスを開始することはできる。
ランサムウェア攻撃、もう一つの問題点
ただ問題なのは、昨今のランサムウェア攻撃では、攻撃者が標的のシステムを暗号化する際に、システムから企業の内部データを盗み出すことだ。そしてそれを「公開されたくなければ身代金を払え」と、二重で脅迫してくる。そうなると、身代金を払うか、企業秘密や顧客や取引先情報を含む情報漏洩を許すかの究極の選択に迫られる。
つまり、ランサムウェア被害を受けると、企業や組織などはデータが損失し、システムのダウンタイムという被害、さらに組織として信用を失うという事態になる。組織にとっては、非常に深刻な影響を及ぼすことになる。
しかしながら、政府も法執行機関などもこれまで警戒や対策をしているのに、ランサムウェア攻撃が一向になくならないのはなぜなのか。それは、サイバー犯罪者の洗練度も向上しているからに他ならない。
ただ何もできないわけではない。最も重要なことは、敵を知ることである。つまり、ランサムウェア攻撃の被害を避けるためには、事前の予防が鍵なのだ。サイバー犯罪者の動きをきちんと分析できれば、対策に乗り出すことは可能だ。
ランサムウェアの5つの侵入ポイントとは?
そこでキーになるのは、やはり情報(インテリジェンス)である。イギリスのMI6(秘密情報部)出身で、現在サイバーセキュリティ企業のCEOをしている筆者が言うのだから間違いない。事前にサイバー脅威を徹底して調べるサイバー対策のひとつ、「脅威インテリジェンス」は不可欠だ。
今回は、サイバー犯罪者が、企業や組織に侵入するのに使用する5つの「侵入ポイント」を説明したい。それらのポイントをきちんと認識し、対策に繋げることは、サイバー空間上における安全確保と、データ保護につながる。
【ランサムウェアの侵入ポイント① フィッシングメール】
フィッシングメールは、ランサムウェア攻撃の最も多い侵入ポイントの一つだ。サイバー犯罪者は、あの手この手で企業などにメールを送りつけ、悪意のあるリンクをクリックさせたり、不正なプログラムを仕込んだ添付ファイルをダウンロードや実行させる。しかもそうしたメールは、銀行や同僚など信頼できる相手からのものであるかのように巧妙に装っていることがある。差出人などを慎重に見定めることが大事だ。
【ランサムウェアの侵入ポイント② 悪意のあるウェブサイトと「ドライブバイ・ダウンロード」】
サイバー犯罪者は、ウィルスに感染させるために用意されたウェブサイトや「ドライブバイ・ダウンロード」を使って、企業や組織のコンピューターにランサムウェアを感染させようとする。「ドライブバイ・ダウンロード」とは、何も知らないユーザーがサイバー犯罪者によって侵害されたウェブサイトにアクセスすると、自動的にマルウェアがダウンロードされてしまう手口を指す。信頼できるウェブサイトのみを訪れ、自動ダウンロードは無効にすべきだろう。
【ランサムウェアの侵入ポイント③ リモートデスクトッププロトコル (RDP)の脆弱性】
リモートデスクトップとは、あるコンピューターから離れたところにあるデスクトップコンピューターにリモートで接続できる機能だ。しかし、セキュリティがきちんと確保されていない場合、サイバー犯罪者のランサムウェアの主要な侵入ポイントとなる可能性がある。攻撃者は弱いパスワードを推測してシステムに侵入してきて、ランサムウェアを感染させるので、リモート接続ではきちんとパスワードなどを設定すべきだ。
【ランサムウェアの侵入ポイント④ ソフトウェアの脆弱性とエクスプロイト】
アップデートしていない未修正のセキュリティの穴、古いソフトウェアと不適切なソフトウェア管理はすべて、ランサムウェア攻撃の侵入ポイントになる。サイバー犯罪者は、これらのセキュリティの隙間を悪用してシステムに侵入し、ランサムウェアをインストールし、機密データを危険にさらす。オペレーティングシステム、ウェブブラウザ、プラグインを含むソフトウェアを常に最新の状態に保ち、修正することが不可欠だ。
【ランサムウェアの侵入ポイント⑤ 弱いパスワードとクレデンシャル・スタッフィング】
サイバー犯罪者は、アカウントの弱いパスワードや、クレデンシャル・スタッフィングを利用してシステムへの不正なアクセスを試み、ランサムウェアを感染させる。クレデンシャル・スタッフィングとは、どこかで盗まれたログイン情報を使用して、複数のサービス(会員サイトなど)にアクセスができないかを試みることだ。これら防ぐためには、いろいろな会員サイトなどで、容易に推測されない強力でユニークなパスワードをそれぞれ使用し、複数のアカウントで同じパスワードの使用を避けるべきだ。さらに可能な場合、二要素認証を利用したほうがいい。
世界中で起きているランサム攻撃では、必ずサイバー犯罪者がここまで見てきたような攻撃などでランサムウェアを感染させる。これらの対策を心がけるだけで、ランサムウェア攻撃への対策意識は変わるだろう。さらにこうした侵入口も巧妙化し、進化しているので、事前の予防と対策をするためには、今後はこうした侵入口をリアルタイムで特定する脅威インテリジェンスもこれまで以上に大事になってくるだろう。
最近になってまた、ランサムウェア(身代金要求型ウィルス)によるサイバー攻撃が頻繁に報告されている。
9月初頭には、アメリカのネバダ州を拠点にしているカジノ・リゾートの大手企業が2社続けて、ランサムウェアの被害を受けて話題になった。どちらも、ホテルの機能やカジノのスロットマシーンなどが停止する騒ぎになった。
それ以外でも、アメリカでは数多くの民間企業や自治体、教育機関、医療機関が最近でもランサムウェアの被害に遭い、例えば、サンフランシスコのベイエリア高速鉄道(BART)もランサムウェアに感染してデータなどが漏洩している。
また韓国では、兵器製造も行う大手企業ハンファグループがランサムウェア被害を受けたばかりだ。日本でも最近、東京に拠点を置く電子部品大手企業や大手時計メーカーがランサムウェア攻撃を受けたと明らかにしている。7月には、ランサムウェアにより、名古屋港のすべてのコンテナターミナル内で運用している名古屋港統一ターミナルシステム(NUTS)に障害が発生した。
こうしたランサムウェア攻撃は勢いが止まっておらず、日本においても、ランサムウェア被害はいつ誰にでも起きうる可能性がある。
ランサムウェアによる攻撃では、サイバー犯罪者は高度な手口を使って、企業や組織にある「侵入口」を突いてくる。そしてランサムウェアを感染させ、コンピューターのファイルやデータを暗号化してしまい、機能を停止させる。
身代金を払えば、「復号鍵」を攻撃者から受け取って、うまくいけばシステムを復旧することが可能になる。また身代金を支払わずとも、費用はかかるが自分たちでシステムを入れ替えれば、データなどにアクセスできなくなる可能性は残るが再びビジネスを開始することはできる。
ランサムウェア攻撃、もう一つの問題点
ただ問題なのは、昨今のランサムウェア攻撃では、攻撃者が標的のシステムを暗号化する際に、システムから企業の内部データを盗み出すことだ。そしてそれを「公開されたくなければ身代金を払え」と、二重で脅迫してくる。そうなると、身代金を払うか、企業秘密や顧客や取引先情報を含む情報漏洩を許すかの究極の選択に迫られる。
つまり、ランサムウェア被害を受けると、企業や組織などはデータが損失し、システムのダウンタイムという被害、さらに組織として信用を失うという事態になる。組織にとっては、非常に深刻な影響を及ぼすことになる。
しかしながら、政府も法執行機関などもこれまで警戒や対策をしているのに、ランサムウェア攻撃が一向になくならないのはなぜなのか。それは、サイバー犯罪者の洗練度も向上しているからに他ならない。
ただ何もできないわけではない。最も重要なことは、敵を知ることである。つまり、ランサムウェア攻撃の被害を避けるためには、事前の予防が鍵なのだ。サイバー犯罪者の動きをきちんと分析できれば、対策に乗り出すことは可能だ。
ランサムウェアの5つの侵入ポイントとは?
そこでキーになるのは、やはり情報(インテリジェンス)である。イギリスのMI6(秘密情報部)出身で、現在サイバーセキュリティ企業のCEOをしている筆者が言うのだから間違いない。事前にサイバー脅威を徹底して調べるサイバー対策のひとつ、「脅威インテリジェンス」は不可欠だ。
今回は、サイバー犯罪者が、企業や組織に侵入するのに使用する5つの「侵入ポイント」を説明したい。それらのポイントをきちんと認識し、対策に繋げることは、サイバー空間上における安全確保と、データ保護につながる。
【ランサムウェアの侵入ポイント① フィッシングメール】
フィッシングメールは、ランサムウェア攻撃の最も多い侵入ポイントの一つだ。サイバー犯罪者は、あの手この手で企業などにメールを送りつけ、悪意のあるリンクをクリックさせたり、不正なプログラムを仕込んだ添付ファイルをダウンロードや実行させる。しかもそうしたメールは、銀行や同僚など信頼できる相手からのものであるかのように巧妙に装っていることがある。差出人などを慎重に見定めることが大事だ。
【ランサムウェアの侵入ポイント② 悪意のあるウェブサイトと「ドライブバイ・ダウンロード」】
サイバー犯罪者は、ウィルスに感染させるために用意されたウェブサイトや「ドライブバイ・ダウンロード」を使って、企業や組織のコンピューターにランサムウェアを感染させようとする。「ドライブバイ・ダウンロード」とは、何も知らないユーザーがサイバー犯罪者によって侵害されたウェブサイトにアクセスすると、自動的にマルウェアがダウンロードされてしまう手口を指す。信頼できるウェブサイトのみを訪れ、自動ダウンロードは無効にすべきだろう。
【ランサムウェアの侵入ポイント③ リモートデスクトッププロトコル (RDP)の脆弱性】
リモートデスクトップとは、あるコンピューターから離れたところにあるデスクトップコンピューターにリモートで接続できる機能だ。しかし、セキュリティがきちんと確保されていない場合、サイバー犯罪者のランサムウェアの主要な侵入ポイントとなる可能性がある。攻撃者は弱いパスワードを推測してシステムに侵入してきて、ランサムウェアを感染させるので、リモート接続ではきちんとパスワードなどを設定すべきだ。
【ランサムウェアの侵入ポイント④ ソフトウェアの脆弱性とエクスプロイト】
アップデートしていない未修正のセキュリティの穴、古いソフトウェアと不適切なソフトウェア管理はすべて、ランサムウェア攻撃の侵入ポイントになる。サイバー犯罪者は、これらのセキュリティの隙間を悪用してシステムに侵入し、ランサムウェアをインストールし、機密データを危険にさらす。オペレーティングシステム、ウェブブラウザ、プラグインを含むソフトウェアを常に最新の状態に保ち、修正することが不可欠だ。
【ランサムウェアの侵入ポイント⑤ 弱いパスワードとクレデンシャル・スタッフィング】
サイバー犯罪者は、アカウントの弱いパスワードや、クレデンシャル・スタッフィングを利用してシステムへの不正なアクセスを試み、ランサムウェアを感染させる。クレデンシャル・スタッフィングとは、どこかで盗まれたログイン情報を使用して、複数のサービス(会員サイトなど)にアクセスができないかを試みることだ。これら防ぐためには、いろいろな会員サイトなどで、容易に推測されない強力でユニークなパスワードをそれぞれ使用し、複数のアカウントで同じパスワードの使用を避けるべきだ。さらに可能な場合、二要素認証を利用したほうがいい。
世界中で起きているランサム攻撃では、必ずサイバー犯罪者がここまで見てきたような攻撃などでランサムウェアを感染させる。これらの対策を心がけるだけで、ランサムウェア攻撃への対策意識は変わるだろう。さらにこうした侵入口も巧妙化し、進化しているので、事前の予防と対策をするためには、今後はこうした侵入口をリアルタイムで特定する脅威インテリジェンスもこれまで以上に大事になってくるだろう。