連載
» 2020年12月08日 07時00分 公開

半径300メートルのIT:あなたを気軽かつ簡単に標的型ランサムウェアの“加害者”にする “ある行為”

特定の企業をターゲットにした標的型ランサムウェアが近年流行しています。あなたがしている“ある行為”がこの犯罪の片棒を担ぐ可能性があります。

[宮田健,ITmedia]

 ランサムウェアは、ターゲットを個人から企業に変えて多くの企業を今も窮地に追い込んでいます。情報処理推進機構(IPA)の注意喚起によると、ランサムウェア攻撃は「人手によるランサムウェア攻撃」と「二重の脅迫」で組織を苦しめています。

 今回取り上げるのは、今すぐ被害を食い止めなければならない「二重の脅迫」です。企業の問題だからといって無関係ではありません。皆さんこそがこの悲劇を止める主役なのです。

ランサムウェアの常識は変化している 法人を襲う「二重の脅迫」とは

 従来のランサムウェアは、個人が持つ情報を暗号化して身代金と引き換えに暗号化を解除するための鍵を売るという手法でした。この手法において、暗号化の解除はランサムウェアと攻撃者に委ねられるため、身代金を払うことの是非は常々問われてきました。

 これらへの対策は、身代金を支払わなくても済むよう、システムやデータのバックアップを取得することです。ランサムウェアに感染しないよう、既知の脆弱(ぜいじゃく)性を排除するためにソフトウェアをアップデートすることも有効でした。

 一方で近年、ランサムウェアの常識が変化しています。「標的型ランサムウェア攻撃」の台頭です。個人ではなく特定の企業をターゲットにするこの攻撃は、現在のランサムウェア攻撃の主流になりつつあります。標的型ランサムウェアは、今まさに日本企業を苦しめているもので、これまでの対策では脅威を排除できません。

 標的型ランサムウェアは、複数のマルウェアで組織の内部ネットワークや人事組織を把握してカスタムメイドの攻撃を実行します。攻撃の流れを説明すると、標的型ランサムウェアは、秘密裏に組織に侵入して組織の構造やシステムを把握します。それらを把握できた段階でランサムウェアが発動し、組織が最も大事にしている情報群を暗号化します。

 さらに恐ろしいのはここからです。実は暗号化される前の内部情報は、企業の外にいるサイバー犯罪者の元に持ち出されており、脅迫の材料に利用されます。すなわち「身代金を払え、さもなくば“この情報を公開する”」といったように。サイバー犯罪者は、暗号化の解除ではなく情報漏えいの事実を公表させないために身代金を要求するのです。これが、二重の脅迫と呼ばれるものです。

攻撃者の狙いは「不正に盗んだ情報が世間に広まること」

 不正に持ち出された情報は、被害に遭った組織が最も嫌がることに利用されます。つまり「内部情報が白日の下にさらされること」です。一方で攻撃者は、足が付くことを恐れるため、週刊誌に内部情報を直接持ち込むようなことはしません。多くの場合“リークサイト”といった、どのようなファイルでも置ける匿名制のサイトを利用します。

 リークサイトは主に、ジャーナリストやセキュリティアナリストなどに利用されるケースが多いでしょう。彼らは内部情報の取り扱いを心得ているため、もし特定の企業の情報がリークサイトにアップロードされていた場合、世間に明らかになる前にしかるべきルートで該当の企業に連絡するはずです。

 一方で内部情報の取り扱いが分からない人が、リークサイトの情報を見つけて世間に公表した場合はどうでしょう。「攻撃者により不正に公開されたテラバイト級の漏えい情報には、こんな情報が隠されていた!」といったようにセンセーショナルな取り上げ方をされる可能性があります。

 もしかしたら、皆さんもつい最近このような話を聞いたことがあるのではないでしょうか。ある企業でランサムウェアの被害が明らかになった際、内部情報がリークされ、不適切な表現の文書や破棄すべき情報が漏えいが起きました。こうした事件の背景には、先で挙げた二重の脅迫があるのです。

あなたのそのリツイート、サイバー犯罪者の利になってはいませんか?

 内部情報のリークは、隠された情報が表沙汰になるため多くの人目に触れます。それはまさにワイドショー的な盛り上がりとなり、SNSユーザーが情報を拡散することで「あの会社がこんなことを言っていた!」といった数十文字だけが先行して情報が広まります。

 これこそが標的型ランサムウェアによる二重の脅迫の“効果”です。サイバー犯罪者は「日本において標的型ランサムウェアを使って情報を抜き出した場合、リークサイトに置いたとしても目ざとくSNSユーザーが拾って情報拡散に協力してくれる」と考えることでしょう。その結果、日本企業がますます標的型ランサムウェアの攻撃対象になってしまうのです。

 標的型ランサムウェアの被害を直接止めることはできなくても、Twitterでリツイートしないだけでも内部情報の拡散は止められるはずです。情報を漏えいされた企業が悪くないとは言い切れませんが、最も悪いのは標的型ランサムウェアで不正に組織内部に侵入し情報を奪ったサイバー犯罪者のはずです。悪意はないにしろ、そこに手を貸すことは避けたいものです。

 標的型ランサムウェア攻撃は、人の弱みにつけ込むずる賢いサイバー攻撃です。もしあなたのタイムラインに「あの組織の隠された情報が!」といったツイートが流れてきたとしても、果たしてそれをリツイートすることが正しいことなのかどうか考えてみてください。


著者紹介:宮田健(みやた・たけし)

『Q&Aで考えるセキュリティ入門「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』

元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q&Aで考えるセキュリティ入門 「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』(エムディエヌコーポレーション)が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ&Aのクイズ形式で楽しく学べる。


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ