ランサムウェアの知識、古くなってない? 従来型とは別手法の「システム侵入型」が台頭(1/2 ページ)
「ランサムウェア」の攻撃パターンといえば、ある日メールが届き、何だろうと思って添付ファイルを開いたら、PC画面に警告が表示され「PC内のデータを暗号化した。解除したければ身代金を支払え」という趣旨のメッセージが表示される――そんなシナリオが頭に浮かんだ人は、知識のアップデートが必要だ。
「ランサムウェアという言葉が一人歩きしていますが、従来のランサムウェアと昨今の攻撃では手口が全く違うので、一言でまとめてしまうと、それらがごっちゃになってしまい、勘違いする人も多い印象です」
そう話すのは、インターネットイニシアティブ(IIJ)の秋良雄太さん(セキュリティ本部)だ。
特集:ランサムウェア徹底解説 流行りの侵入経路と最新対策
Log4j 2の脆弱性やEmotetの再流行、ロシアのサイバー犯罪グループの活性化などを背景に、企業を狙い撃ちにしたランサムウェアの脅威が高まっている。いま流行りのランサムウェアについて、侵入経路や侵入後の挙動、最新の対策方法を探っていく。
昔はソフトが自動で、今は人間が手動で
「これまでは、ランサムウェアというと、メールに添付されたファイルをクリックすると、機械的に自動でデータが暗号化されるというものでした。しかし、近年問題になっているランサムウェアは人がシステムに侵入して暗号化などを仕掛けます」(秋良さん)
ランサム(ransom=身代金)攻撃とは、攻撃対象企業が持つ情報を暗号化したり盗んだりして、情報を“質”に身代金を要求するサイバー攻撃のこと。確かに一昔前には、従業員が攻撃者からのメールに添付されたファイルを実行するとランサムウェアがPC内のデータを暗号化し、身代金を要求するという、いわゆるウイルスらしい手口だった。読者の中にもそのようなイメージを持っている人がいるだろう。
しかし、近年問題になっているランサム攻撃の流れはこうだ。まず、攻撃対象企業のシステムをスキャンし、脆弱性が放置されたVPN機器や情報システム部門が把握していないネットワーク機器などの“穴”を探して、攻撃者が直接侵入。その後、情報の窃取や暗号化をした上で身代金を要求する。
メールチェッカーを導入して満足していてはだめ
従来型とは手口も対策方法も異なるため、人間がシステムに侵入して仕掛ける攻撃は特別に「システム侵入型ランサム攻撃」とも呼ばれる。人間が直接動くため、高度な攻撃も可能になる。システム侵入型はその性質上、システムに不正アクセスするため、不正アクセス事案として発表されることもある。
侵入経路も、従来型はメールが中心だったが、現在はVPN機器やサーバなど、外部との接続点が狙われやすい。ランサムウェア対策になると思ってメールチェッカーを導入して満足していては、システム侵入型を防げない。
「従来型とシステム侵入型は分けて考えないと、情報セキュリティ分野の統計情報もぐちゃぐちゃになってしまうので注意が必要です」(秋良さん)
身代金要求は「暗号化を解くには身代金を払え」「内部情報を漏らされたくなければ身代金を払え」といったパターンがあり、後者の場合は暗号化するためのソフトウェアとしてのランサムウェアを使う必要も無い。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR
ITmediaはアイティメディア株式会社の登録商標です。