無料公開

【イベントレポート】ランサムウェアの脅威と対策被害件数は一昨年の約4倍、巧妙化するランサムウェア対策の最前線

文藝春秋100周年シリーズカンファレンス

■開催趣旨

 ランサムウェア※の脅威が年々増加している。警視庁が令和4年5月に公表した「マルウェア『ランサムウェア』の脅威と対策(脅威編)」によると、2021年下期の被害件数は、2020年下期に比べ約4倍と加速度的に増えている。
 
 デジタル化の進展やリモートワークなど、働き方の多様化に伴い感染経路も複雑化しており、機器の脆弱性や強度の弱い認証情報等を利用した侵入への対策、従業員一人一人の危機意識の醸成も急務となっている。
 
 また、ランサムウェアの特徴の1つとして中小企業が狙われていることも挙げられる。ランサムウェアの脅威は大企業や官公庁だけでなく、すぐ目の前にあることを認識することも重要だ。
 
 本カンファレンスでは、「ランサムウェアの脅威と対策」をテーマに脅威情勢の最前線について考察し、被害を最小化するための対処法などについて専門家の講演を通じ検証した。
 
※ランサムウェア=身代金を意味するRansomとSoftwareを組み合わせた造語。暗号化などによってファイルを利用不可能な状態にした上で、そのファイルを元に戻すことと引き換えに金銭・身代金を要求する“マルウェア”(ユーザーのデバイスに不利益をもたらす悪意のあるプログラムやソフト)のこと。

■キーノート
ランサムウェア攻撃の歴史的転換点と今後の見通し

 
株式会社サイバーディフェンス研究所
専務理事、上級分析官
名和 利男氏
 
海上自衛隊での護衛艦の戦闘情報中枢業務、航空自衛隊での防空指揮システムのセキュリティ担当業務等を経て、サイバーディフェンス研究所に参加。インシデントハンドリングの経験と実績を活かし、CSIRT構築及びサイバー演習等の支援サービスを提供。近年はサイバーインテリジェンスやアクティブディフェンス活動を強化中。

◎ランサム攻撃の歴史的転換点

 

「ランサムウェア」という攻撃モデルは、2005年にロシア国内で出現した。ロシア内務省と連邦保安庁などによる12年の大規模摘発によりロシア国内では一度は縮小したものの、同年頃から欧米に拡大し、捜査機関(米国FBI/英国PCeUなど)を装った脅迫メッセージでプレミアムSMS※1などによって支払いを促すようになった。

 17年には、「RaaS=ランサムウェア・アズ・ア・サービス」が出現。ランサムウェアのオペレーター(運営者)と、アフィリエイト(標的にランサムウェアを配送する者)に分業化した。

 前者は、侵害した標的内部からの攻撃経路や手法を急速に高度化・巧妙化させ、検知回避や調査妨害をするためのテクニックを進展させることに集中する。後者は標的の外部からランサムウェアを配送するためのサイバー侵害(スピアフィッシング、水飲み場、エクスプロイト、ソフトウェアサプライチェーンなど)を試行錯誤する。

 21年頃からは分業化から一歩進んで、オペレーター=運営者やアフィリエイトが「特定のエキスパート」へ委託し、ランサムウェア攻撃の困難な領域を克服する動きが加速した。また、運営者の増加に伴い、必然的に新規参入するアフィリエイトが増大している。

 

 アフィリエイトの経験やスキルに依存する「ランサム成功確率」にばらつきが発生しているのが実情だ。新参者ほど攻撃能力が低いため、報酬が入らない。報酬獲得のために経験や研鑽を積んだランサムウェア攻撃の困難領域の委託を受ける特定のエキスパートの能力は格段に向上し、同時にそうしたエキスパートのニーズも増している
 
 ランサムウェア攻撃グループが委託先とする特定のエキスパートのうち、最近著しく増加している専門領域は「ラテラルムーブメント・権限昇格(特に、侵害可能なシステムへのアクセス獲得」と、「身代金交渉(確実な身代金獲得の交渉)」である。
 
 ランサムウェアの動向変化をまとめると

・ランサムウェア攻撃者にとって、攻撃を容易にする「ドメイン管理レベル(へ)のアクセス」がより価値の高い商品となっている。ドメイン管理者レベルのアクセスは、売り出されている商品のわずか19%であるため、権限昇格スキルを有する「侵入のエキスパート」へのニーズが高まっている。
 
・ランサムウェアの攻撃プロセスにおいて、「交渉人(インサイダー情報を悪用したり脅迫行為を実行して、被害者に身代金の支払いを強要する人物)」という新たな職種が生まれた。
 
・ランサムウェアの攻撃者は、被害組織やその提携先となる組織を脅迫する手段として、DDoS攻撃※2やSMSキャンペーン※3などの新たな手法を取り入れた。
 
・ランサムウェア攻撃にさまざまな「エキスパート」をチーム内に擁するようになり、多数の業務をアウトソースする一般企業のようなビジネスモデルへと急速に変化している。
 
※1 固有のショートコードを使って送信するSMSのこと。発生した料金は携帯電話のクレジットに請求される。
※2 被害企業とその顧客に複数のコンピューターから一斉にサイバー攻撃を行い、身代金支払いを促す
※3 被害企業、その顧客やパートナー企業、報道各社にメッセージを送りつけて身代金支払いを促す

 

◎ランサムウェア攻撃への備え(態勢)の構築

 

 変動・変化するランサムウェア攻撃に適合した対策強化を持続的に推進することが必要である。特に大切なのは以下の3点。

・組織内のITユーザーに加えて、主要な利害関係者(請負会社、パートナー組織など)に対して、実行性のあるサイバーセキュリティの意識向上活動およびトレーニングを提供する。

・通常時の脆弱性監視を強化し、攻撃対象領域(Attack Surface)の縮小努力を継続する。

・ダークウェブマーケットを始めとしたサイバー犯罪エコシステムに対する監視、分析、周知のプロセスを強化する。
 
◎今後のランサムウェア攻撃への見通し

 

・資金力のあるランサムウェア攻撃グループが、最大で数億円の支払いを実現させようと「高価値のターゲット」に集中していく。

・国家の支援を受けるサイバー攻撃グループが、民間分野のサイバー犯罪領域で急激に発展して成熟した技術とプロセスを有するランサムウェア攻撃を利用したサイバーオペレーションを増加させる。

 

■課題解決講演
ランサムウェア対策もできる!
Dropboxで実践できるデータ保護

 
 
Dropbox Japan株式会社
パートナー営業本部 ディストリビューション営業本部
エグゼクティブパートナーマネージャー
福地 高志氏
 
商社系ディストリビューターに13年勤務後、2019年にDropbox Japan株式会社に入社。パートナー営業本部にてパートナープログラムの国内導入やパートナービジネスの立ち上げを支援。神奈川県の湘南エリアにて、趣味のSUPフィッシングを楽しみながらリモートワークを実践中。

 世界最大規模のクラウドストレージ専業ベンダーがDropbox。180ヵ国、60万社で利用され、7億人のユーザーを持つ。個人向けプランと、管理者が複数名のユーザーの統制を取りながら安全に利用できるビジネス向けプランを用意している。

 ビジネス向けプランの導入目的は大きく3つ。
ファイルサーバーのクラウド化(テレワーク) ②PCのバックアップを取りたい(バックアップ対策) ③ランサムウェア対策をしたい(セキュリティ)、である。
 
 ファイルサーバーをクラウド化するための要件としては、ファイルサーバーと同じ操作性であること/ファイルの同期スピードが速いこと/アクセス権限の柔軟なコントロールができること
 
 Dropbox利用で外出先でファイルを見る方法はさまざま。スマホやタブレットでファイルを確認でき、FAX文書も出先で閲覧できる。特定のメールアドレスにファイルを添付して送ると自動的にDropboxフォルダに格納する「Email to Dropbox」機能も好評だ。また、PCや外付けHDDもDropboxでバックアップできる。
 
 昨今は、本日の本題である③「ランサムウェア対策」のニーズが増えてきている。Dropboxは感染被害を防ぐツールではないので誤解なきよう。​​ランサムウェアの疑いのある振る舞いを検知し、被害範囲を特定して、「ファイルのバージョン巻き戻し機能」を使って指定の日時の状態(ランサムウェアに感染する前)に戻すアプローチが取れる。感染防止対策を取るにはコストもかかるため、コストの比較的低いDropbox導入はランサムウェア対策の優先度の高い選択肢の一つになるのではないか。

 

 Dropboxはランサムウェアを定常監視/検知し、迅速な復旧を可能にする。特別なセットアップなしで事業継続に必要なエンタープライズレベルのデータ保護を実現する。
 
 巻き戻し機能(180日~最大365日前まで)により、災害時にも大量に削除されたフォルダやファイルの一括復元が素早く、容易に可能であり、ランサムウェアなどのサイバー犯罪の被害を最小化する。

◎インフラ・会社レベルでのセキュリティ対策

 

 Dropboxのバックアップ(バージョン管理)が被害を受けにくい3つの理由は、①悪意のあるソフトウェアがアクセスできない場所に保管 ②更新回数無制限(365日)のバージョン履歴保持 ③多段の保護レイヤーを持つ強固なインフラ、だ。
 
 Dropboxのインフラストラクチャを構成する各コンポーネントにおいて、データと通信を暗号化/地理的に離れた位置にデータセンターを配置/様々なレベルでデータを冗長管理し保護/各レイヤーでの定期的なデータ検査──以上を行い、​​特別なセットアップなしで事業継続に必要なエンタープライズレベルのデータ保護を実現する。また、脆弱性の報告に対する報償金を設けるなど常時インフラの監視と対応を実施し、事業継続マネジメントシステム(BCMS)を確立し、各種ISO規格も取得している。興味のある方は、Dropboxセキュリティホワイトペーパーを参照してほしい。

◎製品レベルでのセキュリティ対策

 

・ウィルス拡散防止
 共有前にウィルスに対する検査を行い、感染したファイルやフォルダを共有しようとすると「共有不可」になるため、ウィルスの拡散を予防できる。また、セキュリティアラート機能もある。例えば、チームでマルウェアを共有してしまった場合、その共有を検出しアラートを発出し、マルウェアを共有したメンバーのアカウントはDropboxでのファイル共有が制限される。
 
 万が一パソコンの紛失や盗難があっても遠隔でDropbox内のフォルダやファイルを一括削除(リモートワイプ)できる機能や、二段階認証機能、シンプルな管理コンソールからチームの管理・統制を一元的に実施するアクティビティ管理機能もある。
 
 また、ファイルを社内外に転送する際に、転送パッケージを作ってダウンロードリンクを送る「Dropbox Transfer」を利用すれば、パスワード付きZIPファイルをメールで共有したのち解除パスワードを送信するファイル共有方法を廃止しようというムーブメント=脱“PPAP”にも寄与する。

 

 クラウドストレージは多々あるが、「共同ワークスペース」(組織やチームでのファイル共有向き、Dropboxはこちらにあたる)や「保管庫」「個人USB代わり」など、目的・機能別に使い分けをすることが重要だ。
 
 Dropboxは大容量のファイルを社外とセキュアに共有することに適している。社内外の資料共有における「セキュリティ」「大容量ファイル」「使い勝手」のすべてのニーズに応えられる唯一のクラウドストレージがDropboxなのである。

■特別講演
ランサムウェア感染の教訓
中部大学のセキュリティ対策と組織体制の構築

 
中部大学
工学部 宇宙航空理工学科 教授(兼)学長補佐、総合情報センター長
保黒 政大氏
1995年 日本電気株式会社へ入社、株式会社ディー・ディー・エスを経て、2010年より中部大学 工学部 電子情報工学科 准教授、18年 中部大学 工学部 宇宙航空理工学科 教授。現在、学長補佐、総合情報センター長 兼務

 2018年の1月に中部大学において、パソコンやファイルサーバーがランサムウェアに感染する被害が発生した。具体的には、1月9日に学内PCに外部からリモートデスクトップ(RDP)へのログインで侵入され、ウィルスチェックソフトがアンインストールされ、ランサムウェア(FAKEGLOBEシリーズの一種)をインストールされ、当該PCと接続されたNAS(ネットワークHDD)の全データが暗号化されてしまった。
 
 その後の調査・解析結果によると、当該不正プログラムにはネットワーク内の感染、外部通信及び情報を漏洩する機能を具備しないことが分かり、実際に情報漏洩は無かったと判断。ただし、暗号化されたデータは復元できなくなった。外部の調査会社に調査を依頼したが身代金は払っていない。
 
 被害を受けての対策は以下。

外部からのRDP接続の停止
・RDP以外のネットワーク接続についても、許可と遮断を見直し
・共有NASをCloudサービスに移行
・学科所有メールサーバのCloudサービスへの移行
 ※当該PCを利用している学科は独自のメールサーバを運用していた
ウィルス対策ソフトをアンインストール時にパスワードが必要なものに変更
 
 上記に加え、現在のポリシーは以下。

学部からのネットワーク接続を基本的に遮断
 (Webサーバなど、学部からのアクセスが必要な機器のみアクセスを許可)
学内ネットワークにおいても、不要な接続ポートを遮断
 (内部への侵入後の対策、内部犯行への対策)
全学的なメールシステムも、外部のCloudサービスに移行
・教職員ポータルの導入によるメールの削減
・ウィルス対策ソフトの必須化に加え、アンインストールできないソフトに変更
 
「学校法人中部大学情報セキュリティ規定」など、情報セキュリティ関連の規定も見直し、整備している。また、「CISO=最高情報セキュリティ責任者」「インシデントの窓口」を置くなど、セキュリティ管理態勢も整えた。

 

 ファイアウォール:不要な通信ポート遮断/IPS(不正侵入防止):不正なアクセスを検知・遮断/Anti-Virus:悪性ドメインへの通信検知、マルウェア検知、遮断/Anti-Bot:悪性ドメインへの通信検知、URL悪性検知、遮断──以上のうち、実際に遮断しているものは月に10万件程度ある(2021年度のデータ)。
 
 DDoS攻撃を多く受けており、一時はポートが飽和して都度リセットをかけなければならないくらいだったが、機器などの整備で最近は状況が改善された。営利企業ではない大学でさえこれだけの攻撃を受けているのが実情だ。
 
 ランサムウェアへの対策は大きく以下の3点。

1.侵入経路を絶つ いかにして、攻撃から守る
2.データの保全 攻撃されたとしても、データを守る
3.感染時の対応 早期発見、事前にしっかり準備をして、二次被害を防ぐ

 

 1.については、エンドポイント(PC、スマホなど)通信経路の双方での対策が必要。フィッシングメール・マルウェアメールに関する研修やメールの自動検疫、ウィルス対策ソフトの強制インストール、USBメモリを介したデータ授受の制限・禁止、そして外部からのネットワークアクセスを制限・遮断することなどが必要だろう。メールに代わる連絡手段として、グループウエアを活用するのも有用だ。

 

 2.については、バックアップ先を複数にして、バックアップごとに切り替える(同時に変更しない)、バックアップ先はスケジュール機能を用いて必要なときだけ有効化する、といった方策もある。コストを含めメリット・デメリットを比較し、データの重要性によりバックアップ方法を変更したい。

 

 3.については、連絡・報告手段と経路の徹底が重要。事前に対応経路を決めておき、届け出窓口も周知する。被害対象の保全(メモリやディスクイメージの採取)、感染したウィルスの特定⇒対策方法の検討・被害範囲の精査や、被害拡散の阻止(感染した機器をネットワークから物理的に切断)も必要だ。
 
 今後も教職員および学生への、情報セキュリティ関連の啓蒙を続けていきたい。

source : 文藝春秋 メディア事業局