リモートワーク時代にこそ知っておきたい！ランサムウェア対策の基礎知識【前編】

続きのコラムはこちら
　リモートワーク時代にこそ知っておきたい！ランサムウェア対策の基礎知識（後編）

ランサムウェアという脅威が注目を集めるようになってから久しいですが、相変わらず感染による被害が後を絶ちません。攻撃者は無差別に標的を選ぶため、企業規模に関係なく誰もが被害に遭う可能性があります。
このシリーズでは、ランサムウェアの恐ろしさを具体的に解説し、効果的な対策方法を紹介します。前編では、ランサムウェアとは何か、そしてなぜこれほどまでに蔓延しているのかを深掘りし、後編は感染時の対処法と対策方法を探ります。

－目次－

1.そもそもランサムウェアとは？

ランサムウェアとは、マルウェア「malicious software(悪意があるソフトウェア)」の一つで「Ransom（身代金）」と「Software（ソフトウェア）」を組み合わせた造語です。
感染したパソコンからアクセス可能なデータを暗号化したり、感染したパソコン自体を使用不能な状態にするなど、ユーザーが望まない特定の制限をかけます。
その制限の解除と引き換えに金銭を要求する挙動から、このような不正プログラムの事をランサムウェアと呼んでいます。

サイバー攻撃には多くの種類がありますが、大きくは無差別型攻撃と特定の企業や組織をターゲットにする標的型攻撃の２つに分けられます。
前者は基本的なセキュリティ対策を行うことである程度は防ぐことができますが、後者は明確な目的があっての攻撃になるため、適切な監視をしていないと手遅れになってしまいます。

代表的なランサムウェアの攻撃の流れは、次の通りです。
基本的にはサイバー攻撃でよくみられるステップを踏みます。

標的とした組織のネットワークへの侵入を試みます。これには、古くからある「ソーシャルエンジニアリング攻撃」も用いられます。
機械の脆弱性ではなく、人の弱い部分を狙う手法です。
また、昔からよく言われてきた、不正メールを誤開封させる手口だけでなく、最近ではウェブサイト閲覧中に細工された不正広告を表示させることで、利用者が意図せぬ不正なソフトウェアを実行させる手口まで登場しています。

■ネットワーク内の詮索

リモートアクセス端末を乗っ取り、組織の内部ネットワークへの侵入に成功した状態です。
この時点ではまだ、目当てのデータにたどり着いていない事がほとんどです。
そこで、ネットワークをスキャンするツール群を用いて到達可能なIPアドレス、無防備なポート番号などを収集します。
その後、共有されているデータの中身やアカウントなどの認証情報、稼働しているシステムとそのバージョンなどを集めながら、身代金の要求に見合う標的を探していきます。

■ラテラルムーブメント（水平移動）

価値のあるデータにたどり着くためには、どの経路を辿るかを

■ネットワークへの初期侵入

調べる必要があります。そこで、侵入した端末はどこへアクセスできるのか、このアカウントではどこまでの権限が付与されて、何ができるのかなどを調べながら、目的のデータにたどり着くまで出来る限り多くの情報を収集します。

■データ窃取

企業や団体にとって外部に流出すると問題があるような重要なデータや、ダークウェブと呼ばれる闇市場で価値が付きそうなデータを盗み出します。

■データの暗号化

情報の窃取が済んだら、日々の事業活動にかかせないシステムや機微情報など、交渉材料としての役割を果たせそうなデータを次々と暗号化していきます。
暗号化を解除するために必要となる鍵は1つの場合もあれば、データをいくつかに分割し、複数の鍵を用意することで何度も要求できるように仕込む場合もあります。
復旧を妨害する目的では、オンライン上のバックアップ等も同時に狙う事もあるようです。
このような攻撃は発覚しない様に工夫されている事が多く、異常を検知した時点では既に大きな被害を受けている場合があります。
この時点では、既に攻撃者の完全なコントロール下に置かれてしまっている可能性が高いと言えます。

■脅迫メール等で復号化するための対価を要求

「ランサム（Ransom）」＝「身代金」を意味するように、攻撃者は「暗号化した情報を元に戻して欲しければ金銭を支払うように」と要求します。しかし、対価を支払い、復号キーを受け取っても、データの復元は保証されません。
初期の頃は、この迷惑なビジネスが成長しないように「絶対に送金してはいけない」という風潮が根底にありました。
しかし、「身代金を支払わなければ、ダークウェブなどを通してデータを公開する」などと重ねて脅すことにより、集金率をより高める手口が出てきました。
さらには、DDoSと呼ばれる様なサービス拒否攻撃を仕掛けてきたり、コールセンターや代表電話番号を公開している場合はそちらに架電してくるなど、執拗な営業妨害をしてくるケースも出てきました。
攻撃者にとって、被害者に「送金してもデータが戻る可能性は薄い」と判断されると送金を躊躇されるリスクが高まります。
そこで、「信用」をしてもらうためのアピールとして「1個だけ無料で暗号化を解いてあげます」といった機能を持たせたり、復号に必要な鍵を失くしたり他の被害者の鍵と混ざらない様、復号に必要な鍵を慎重に保管をする仕組みを搭載するなど、攻撃者も「送金してもらう」という目的を達成するために工夫を重ねているようです。
しかしながら、データが戻ってくる保証はありません。攻撃者も送金してもらうために2重にも3重にも執拗に脅してくるのです。

このように、ランサムウェアは情報を人質に取る現代のデジタル犯罪であり、個人や組織に深刻な被害をもたらす可能性があります。

2.巧妙化するランサムウェアの手口

ランサムウェア攻撃は一段と巧妙化し、大手を含む多くの企業や公共機関が深刻な被害を受けました。
特に注目されたのが、言論の自由を貫いていた動画プラットフォームへの攻撃です。
公開されたインタビューによると、ランサムウェア攻撃も想定した設計をしていたが、その想定を大きく上回る執拗な攻撃を受けたことで業務停止や情報漏洩といった重大な影響を受けてしまいました。

2015年頃、「Ransomware as a Service（RaaS）」と呼ばれるビジネスモデルが現れました。
末尾に「as a Service」が付いているのはAs-a-Serviceモデルとも言われ、物理インフラをサービス提供者が用意し、その上にサービスを載せることで価値を提供する新しい業態の総称です。
このRaaSサービスを利用することで、利用料さえ払えば誰もが気軽にランサムウェア攻撃を行うための道具一式が簡単にそろってしまうという環境が出来上がってしまいました。以前はスクリプトキディと呼ばれる身代わりを使う（攻撃者を増やす）ことで捜査をかく乱する方法が取られていましたが、RaaSの登場によってますます高度な技術を持つ攻撃者が潜伏できる環境ができてしまいました。
つまり、今後もますます手口が巧妙化することを意味しています。

3.ランサムウェアの感染経路の変化と背景

かつては不審なメールやその添付ファイルからの感染が主流でしたが、警察庁の発表資料によると、傾向に変化が見られます。
現在では、感染経路の半数以上がVPN※1を介したものとなっています。さらに、2023年に入ってから増加しているのが、リモートデスクトップを経由した侵入です。

特筆すべきは、2020年以降の世界的なパンデミックによりロックダウン相当の行動制限を国際機関等から要請されてからの傾向です。
リモートワークを実現する手段の需要が急速に伸びましたが、世界的なサプライチェーンが機能停止したことでマテリアル不足、特に半導体不足等が重なりテレワーク等に利用される機器の長期受注停止につながりました。
その結果、業務用相当の機器が不足してしまい、仕方なく民生機で代用するようなケースや、突然の事業転換により、専門家に構築を依頼する時間や予算が無く、アドバイスを受けられない状態のまま自前で構築を行ったケースなど、攻撃者にとっては好機となるような状況が続いてしまいました。

また、品不足の中、機材が不要なソフトウェアタイプも魅力的な選択肢の一つでした。
しかし、手軽にリモート環境を実現できる「リモートデスクトップ接続」などでは、外部らの接続を拒否するファイアウォール（FW）の設定を緩和する必要があり、設定を誤るとセキュリティが低下する場合もあるため、適切な知識が必要でした。

他にもFWの設定が不要なクラウドタイプ等がありますが、仕組み上家の鍵を預けるようなものなので、サービス提供者が信用できるか、ログイン時に盗聴される可能性のある環境（フリーWi-Fiへの接続や、ネットカフェやホテルなどではキーロガーが仕込まれていないとも限らない）では使わないなど、会社にとっては選定者や利用者に対して重要な判断を委任する事態となっていました。
このように、誰もが手軽にリモート環境を用意・利用することができるようになった結果、システムの脆弱性を利用した侵入、あるいは適切な暗号強度を持たない認証情報を悪用した侵入が、2023年の統計では全体の約82％を占めていたという点です。この数字は、在宅勤務環境のセキュリティ対策の重要性を如実に物語っています。