侵入しても「暗号化に着手しないランサムウェア」も その狙いとは？：ランサムウェアとバックアップの攻防史【第3回】

企業がバックアップをはじめとしたランサムウェア対策を強化する一方で、攻撃者は標的の企業に身代金を支払わせるために、攻撃の手口を変化させています。どのような手口に注意が必要なのでしょうか。

[高井隆太，ベリタステクノロジーズ]

　ランサムウェア（身代金要求型マルウェア）の基本について、第1回「ランサムウェアで考える“バックアップがあるだけ”では無意味な理由」と、第2回「ランサムウェア攻撃はなぜ成功するのか？　対策を“無効”にする手口に注意」で概観しました。今回は、最新のランサムウェアの攻撃手口を確認します。

　まずは再確認となりますが、ランサムウェアの本質的な部分は「脅迫」です。標的の企業を脅し、金銭的利益を得ることを目的としています。脅迫の際、攻撃者がよく“人質”として使うのが、インターネットに接続しているサーバや業務システムが扱うデータです。単にデータを消去するだけでは、業務妨害にはなるものの、身代金の支払いにはつながりにくい。そのため攻撃者は、基本的には復元可能な「暗号化」という手法を採り、「身代金を支払えばデータは元に戻す」と脅すわけです。企業はどのように対処すべきなのでしょうか。

暗号化を急がなくなったランサムウェア

併せて読みたいお薦め記事

• 連載：ランサムウェアとバックアップの攻防史

広がるランサムウェアの攻撃例

• 「ランサムウェア」に狙われた企業が“数時間”で復旧できた理由
• ランサムウェア被害のCIOが明かす「わが郡はランサムウェアにこう攻撃された」

　ランサムウェアに感染した場合、支払いに応じれば確実にデータが復旧できる、という保証はありません。攻撃者から暗号鍵を入手することができたとしても、何らかのエラーやトラブルが発生して、復元に失敗することは珍しくないのです。身代金支払いに応じようとすることもお勧めできません。攻撃者にモチベーションを与え、攻撃の範囲を拡大させるなど、被害企業をさらに不利な状況に追い込もうとする可能性があるからです。そうは言っても「身代金を支払う以外にデータを回復する手段がないのであれば仕方ない」と考えてしまう企業もあるでしょう。そのような状況に陥らないためにも、データを回復する手段を別途用意しておくことが極めて重要です。

　ランサムウェアは標的の企業のデータを勝手に暗号化し、“正しい暗号鍵”がなければ、暗号化されたデータを読み出すことがほとんど不可能な状態にします。この状態は、「HDDなどのストレージが故障して、データが読み出せなくなった場合」と同じだと言えます。そう考えれば、バックアップデータから復元できれば問題ありません。つまりバックアップを適切に取っておけば身代金支払いに応じる必要はないため、ランサムウェアを過度に恐れる必要はないのです。

　「バックアップがあればランサムウェアは恐れるに足りない」と言い切りたいところです。ところがサイバー犯罪者は、企業がバックアップを取得していることを前提にして攻撃を仕掛けてきます。セキュリティ対策を十分にしていない、あるいは昨今新たに必要になった機能を備えていない“昔ながらの素朴なバックアップシステム”では、攻撃に対抗できない可能性が考えられます。この点をもう少し掘り下げてみましょう。

　初期のランサムウェアは、何らかの手段で標的となるシステムをマルウェア（悪意あるプログラム）に感染させ、そのシステムのローカルディスク（直接接続するストレージ）を丸ごと暗号化してしまう攻撃手法を採用していました。このタイプの攻撃は比較的単純です。標的になった企業は、バックアップがあれば自力でシステムを復旧させることが可能でした。そうなると攻撃者は身代金を手に入れることができないので、手口を変化させてきました。

　以前と比べて特に注意が必要になっている動きがあります。それは、侵入に成功したランサムウェアは即座にデータの暗号化に取り掛かるのではなく、ひそかに悪さを働くようになってきている点です。通常、ランサムウェア感染が明らかになるのは「データが暗号化した時点」です。明らかになれば標的の組織は対策に乗り出します。そのため攻撃者は最後の最後まで暗号化を実行せず、その前にさまざま準備を進めておくことで、標的の組織が身代金支払いに応じる可能性をできるだけ高めようとするのです。暗号化の前に攻撃者がどのような活動を実施するのかについては次回、具体的に説明します。

侵入の典型的な手法

　ランサムウェア対策としてはバックアップだけではなく、侵入を防ぐ観点もありますので、その点についても簡単に補足しておきましょう。最新のランサムウェアの侵入経路は多岐にわたり、検知しにくい高度な手法を駆使することが珍しくありません。侵入の防止は、基本的にはセキュリティソフトウェアが担う領域です。ただしセキュリティソフトウェアを使っていても、侵入を防ぐのが難しくなる場合があります。

　マルウェアは、ネットワーク外部から防御をこじ開ける“力ずく”の方法でシステム内部に入り込むことはまれです。ユーザーの油断や誤解を招く文章でメール内のリンクをクリックさせるなどして、ユーザー自身にマルウェアをダウンロードさせる手法が主流となっています。こうして無害に見せかけたマルウェアは「トロイの木馬」などと総称されます。外部から無理やり侵入する手口に比べ、標的の組織内部の人に侵入させてもらう方が、攻撃者にとっては格段に容易です。

　こうした侵入を確実に防ぐことは簡単ではありません。そのため「侵入をゼロにすることは不可能だ」と考えて、バックアップの対策をしっかり講じることが重要なのです。

執筆者紹介

高井隆太（たかい・りゅうた）　ベリタステクノロジーズ　常務執行役員　テクノロジーソリューションズ本部ディレクター

企業のマルチクラウドのデータ保護・管理に関する課題解決を支援すべく、プリセールスSEおよびプロフェッショナル・サービスチームを統括。事業全体の戦略策定、プロモーション活動にも従事している。