特定の組織を狙った標的型ランサムウェア攻撃が後を絶たない。こうした攻撃はいつ、どのようなことを背景に登場してきたのか。そして組織が講じるべき対策とは。
2017年頃までは、ランサムウェア(身代金要求型マルウェア)本体を直接メールに添付して不特定多数に配信し、データを暗号化した端末のエンドユーザーに対して少額の金銭を要求するといった「ばらまき型」のランサムウェア攻撃が主流でした。一方で「標的型」のランサムウェア攻撃が2018年頃から見られるようになり、近年は大きく増加傾向にあります。なぜなのでしょうか。
標的型のランサムウェア攻撃は「人手によるランサムウェア攻撃」(Human-Operated Ransomware Attacks)とも呼ばれます。標的型のランサムウェア攻撃は、次のような流れが一般的です。
ランサムウェアの新種や亜種が相次いで登場し、その被害が拡大する背景には、サイバー犯罪者にとってランサムウェアが金銭的利益を生むためのビジネスモデルとして成り立つようになったことがあると考えられます。アンダーグラウンドマーケットでは、窃取されたクレジットカード番号やWebサービスのアカウント情報の他、サイバー犯罪を実施する上で必要となるツールやサービスが違法に取引されています。その中に、ランサムウェアを「サービス」として提供する「Ransomware as a Service」(RaaS)があります。
RaaSとはランサムウェアを攻撃に使いたいと考えるサイバー犯罪者向けに、ランサムウェア本体と攻撃に必要なツールやノウハウを合わせて販売・レンタルするサービスです。以前はランサムウェアの作成や配信など一連の行為は、サイバー犯罪者が単独ですることが中心でした。RaaSの登場によって、サイバー犯罪者はRaaS運営者にサービス料金を支払うだけでランサムウェア攻撃が可能になりました。
こうしたビジネスモデルの確立により、RaaS運営者にとってはランサムウェアの開発や運営に専念することができるようになりました。運営者とサイバー犯罪者のそれぞれの専門性が発揮されて、「ウィンウィン」(Win-Win)の状態で高度な攻撃による高い収益を得ることが可能になったということです。最近のランサムウェア攻撃のほとんどがRaaSのビジネスモデルを採用することで、規模を拡大させています。
サイバー犯罪者の目的は金銭的な利益であり、ランサムウェア攻撃ではいかに被害者に身代金を払わせるかが重要です。そこで近年、サイバー犯罪者は被害者に、暗号化ファイルの復旧以外に身代金を払う動機を示すようになってきました。
データの復号と引き換えに身代金を要求するといった手口では、被害組織がバックアップによってデータを回復できる場合、身代金が支払われません。このため、データの暗号化に加えて、ランサムウェアによる一連の攻撃で窃取した情報を暴露すると脅す「二重脅迫」を採用するサイバー犯罪者が現れるようになりました。それらに加えて身代金の支払い率を上げるために、組織のシステムに対してサービス妨害のためのDDoS(分散型サービス拒否)攻撃を仕掛ける「三重脅迫」、顧客や関係者へ連絡する「四重脅迫」といった多重脅迫の手口も確認されています。
特に最近では、多重脅迫を駆使するランサムウェア攻撃が目立つようになっています。実際に被害組織が多重脅迫を受けたか否かまでは不明ですが、多重脅迫の手法を用いるとされるランサムウェアによる被害報告(または報道)には、以下のような事例が挙げられます。
2021年5月に明らかになった、米国東海岸における燃料供給の約半分を担う石油パイプライン会社Colonial Pipelineに対するランサムウェア攻撃がその一例です。多重脅迫を駆使するランサムウェア「DarkSide」が仕掛けられ、Colonial Pipelineは操業停止に追い込まれました。その結果、ガソリンをはじめとした燃料の貯蔵庫が大きな影響を受け、米運輸省の連邦自動車運輸安全局(FMCSA:Federal Motor Carrier Safety Administration)が18州で緊急事態を宣言。前例のない壊滅的な混乱が生じたのです。
そして2021年7月には、ランサムウェア「REvil」がシステム管理ソフトウェアベンダーKaseyaの製品の脆弱(ぜいじゃく)性を突いて、同社の顧客にランサムウェアを送り込むサプライチェーン攻撃が明らかになりました。この攻撃により、約1500社の組織が影響を受けたという報告があります。2022年に入ってからは、多重脅迫を用いることで知られるランサムウェア「BlackCat」の攻撃情報を公開するWebサイトで、日本のゲーム開発会社の名前が公開されていたことも報道されています。
このようにランサムウェアはその存在が初めて確認されてから、さまざまなランサムウェアが確認されるようになりました。加えてサイバー犯罪者は、より大きな金銭的利益を得るために、標的型攻撃と同じ手法、RaaS、暗号化以外の脅迫手法などさまざまな手口を採用しており、ランサムウェア攻撃は高度化し続けています。
ランサムウェアの変遷を見るだけでも、その時々のランサムウェアが事業継続を脅かす脅威としてどのように移り変わったのかを認識できます。組織の経営層やセキュリティ担当者は、手口に応じた対策を考えていく必要があることが分かります。
第3回は、ランサムウェア攻撃に対する組織の課題がどのように変化し、現在においてはどのような対策を優先的に講じるべきかを解説します。
国内通信企業でネットワークサービスのプロジェクトマネジャー経験を経てトレンドマイクロに入社。主に「EDR」(Endpoint Detection and Response)と「XDR」(Extended Detection and Response)関連のセールスエンジニアとして、製品の提案や検証を担当。現在はシニアスレットスペシャリストを務め、セキュリティリスクの考察や、組織が取るべきセキュリティ対策の啓発に携わる。セキュリティの実用的な知識の認定資格「GIAC Security Essentials」(GSEC)を取得。
Copyright © ITmedia, Inc. All Rights Reserved.
脅威の検知と迅速な対応は、セキュリティ戦略の中核をなす重要な機能だ。これを実現するために、多くの組織が自動化ツールやAIなどの技術を採用しているが、成果を挙げている組織もあれば、そうでない組織もあり、明暗が分かれている。
近年、多くの組織が多数のセキュリティ製品をパッチワーク的に導入している。その結果、運用が複雑化し、非効率な状況が生まれてしまった。このような状況を改善するためには、セキュリティベンダーを統合することが必要だ。
データセンターにおいて、NGFWやマルウェア対策といったセキュリティ製品の導入は不可欠だが、選定を誤ると非効率な運用プロセスや高いコストに悩まされることとなる。5つの組織の例から、費用対効果の高い製品を見極めるコツを探る。
ダウンタイムが許されない基幹系システムやデータベースをクラウドに展開している場合、システムの障害対策をベンダー任せにすることは危険だ。本資料では、その理由を解説するとともに、クラウドの障害対策を実施する方法を紹介する。
エンドポイントがサイバー攻撃の対象となるケースも増えている今、企業にはどのような対策が必要なのか。2024年に実施された調査の結果を基に、3つの重大なリスク要因と、その解決策としてサイバーレジリエンスが重要な理由を解説する。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
