連載
» 2020年12月22日 07時00分 公開

半径300メートルのIT:2020年のセキュリティニュースを振り返る 標的型ランサムウェアはまだまだ健在か

2020年は、多くのセキュリティインシデントが発生しました。この中でも筆者が特に注目するのは、標的型ランサムウェア攻撃です。2021年に向けてこのサイバー攻撃にどう対処するかを考えます。

[宮田健,ITmedia]

 早いもので本稿が2020年最後のコラムです。新型コロナウイルス感染症(COVID-19)の世界的な流行もあり、2020年は非常に印象に残る年でした。ITセキュリティについてもさまざまなニュースが世間を騒がせました。皆さんの記憶に残る事件もあったのではないでしょうか。

 マカフィーは2020年12月15日、「2020年のセキュリティ事件に関する意識調査」を発表しました。国内の企業経営者や情報システム担当など1552人を対象に、セキュリティ事件の認知度を調査してランキング化したものです。調査結果によると印象に残ったセキュリティ事件のトップ10は、以下の通りです。

■2020年のセキュリティ事件に関する意識調査
順位 セキュリティ事件(時期) 認知度(%)
1 携帯電話会社の電子決済サービスを通じて、利用者の預金が何者かに不正に引き出されたことが判明(9月) 59.2
2 ゲームメーカーが2020年11月16日、サイバー犯罪集団からの不正アクセスを受け、顧客や取引先に関する情報が最大で35万件流出した可能性があると発表(11月) 37.7
3 AI(人工知能)を利用してポルノ動画に写った人物の顔を芸能人の顔にすり替えた“ディープフェイクポルノ動画”を公開したとして、男性2人を名誉毀損と著作権法違反の疑いで逮捕(10月) 36.5
4 COVID-19対策として10万円の特別定額給付金の給付が各自治体で始まるなか、自治体などのWebサイトを模倣したフィッシングサイトを相次いで確認(5月) 35.4
5 米海軍が「サイバーセキュリティの懸念」を理由に、政府支給のモバイルデバイスで中国製アプリ「TikTok」の使用を禁止(2019年12月) 35.1
6 総合電機メーカーがサイバー攻撃を受け、個人情報や機密情報が流出したおそれがあると発表(1月) 33.5
7 総合電機メーカーに対するサイバー攻撃で、防衛関係の機密情報が同社から漏えいした疑いがあることが判明(5月) 32.9
8 納税などに関する大量の個人情報や秘密情報を含む地方自治体の行政文書が蓄積されたHDDが、ネットオークションを通じて転売され、流出(2019年12月) 31.4
9 「Zoom」の「Windows」版クライアントについて、攻撃者がグループチャットのリンク共有機能を悪用した場合、リンクをクリックした人のWindowsのネットワーク認証情報が漏えいする可能性があることが明らかに(4月) 30.9
10 電気通信事業者などを傘下に置く持株会社の機密情報を不正に取得したとして、同社元社員を逮捕。容疑者が取得した機密情報は、在日ロシア通商代表部の職員らに譲渡されたとみられる(1月) 30.2

 トップ10ともなると、企業名が伏せられていてもピンとくる方もいるでしょう。この中でもITmedia エンタープライズの読者に特に気を付けてほしいのは、第2位の事件で話題になった標的型ランサムウェアによる「二重の脅迫」でしょう。マカフィーは、この攻撃について「今や、いつ、どの企業が攻撃対象になってもおかしくない。攻撃されることを念頭に置いた体制作りや対応策が求められる」とコメントしています。

カスペルスキーが標的型ランサムウェア攻撃の事例を紹介

 標的型ランサムウェアによる攻撃は、攻撃者の脅迫により初めて事態が発覚することも少なくありません。これまでウイルス対策ソフトで検知できていたものが、マルウェアの進化により通用しなくなってきています。「ウチには狙われる理由はないし、実際に攻撃も来ていない」と考える企業に対して、実は静かに攻撃が侵攻している可能性もあります。

 インシデントレスポンスサービスを提供するセキュリティベンダーのカスペルスキーによると、インシデント発生後の原因特定調査は、近年のサイバー攻撃の「見えない化」に伴って、状況証拠を収集するだけでも調査に非常に時間がかかるそうです。

 カスペルスキーは、日本国内での標的型ランサムウェア攻撃によるインシデント事例についても紹介しています。それによると、サイバー攻撃者は、ある企業のVPNゲートウェイに存在していた脆弱(ぜいじゃく)性を突いて社内ネットワークに侵入後、企業が修正していなかったマイクロソフトのWindowsファイル共有プロトコルの脆弱性「MS17-010」を悪用しました。

カスペルスキーによる国内のインシデント事例の概要(出典:カスペルスキー)

 これにより攻撃者は、Active Directory(AD)サーバで起動中のプロセスから認証情報を取得して社内に「VHDランサムウェア」と呼ばれるマルウェアを展開したそうです。同社によるとサイバー攻撃は、VPNから侵入してマルウェアを展開するまでわずか2時間で実行されました。その上で検知されないように攻撃が進行しているのですから恐ろしい話です。

 この事例で注目するべきは、サイバー攻撃者がMS17-010の脆弱性を悪用したという点です。MS17-010は「Microsoft Server Message Block 1.0」(SMBv1)に存在する脆弱性で、マルウェア「WannaCry」が悪用したものとして有名です。セキュリティ対策は、最新の攻撃に自然と目が向くものですが、3年前という“大昔の”脆弱性が社内には残っている場合もあり、今回のようにそれを悪用されることもあります。

 個人的には2021年も“ゼロトラスト”というセキュリティモデルは、間違いなく浸透すると思っています。しかし、その前に社内で利用するソフトウェアのアップデートの適用が第一歩です。セキュリティ対策は、まずは「アップデートをして既知の脆弱性をふさぐ」「バックアップを取得する」「情報を集めて意識を高める」など基礎的なものから始めていきましょう。

万一インシデントが発生したら 押さえておくべきたった一つのポイント

 カスペルスキーのアイマン・シャーバン氏は「企業のインシデントを調査する上で『ログ』が重要である」と述べています。標的型ランサムウェア攻撃の侵入をどういった経路で許したのかはログからしか追えません。一方で企業が取得するログは、一部しか保存していなかったり、保存期間が短かったりして調査には不向きなことが少なくありません。同氏は「監査ポリシーを定め、最低6カ月は保持することを勧める」と述べています。

 最近のサイバー攻撃は「正規ツールを利用して、正規の通信を装う」ようになってきています。Windowsの正規ツール「Windows PowerShell」を利用したファイルレスマルウェアという攻撃手段を聞いたことがある方もいるかもしれません。通信も通常のHTTP/HTTPSのポートを利用するため、失敗したログだけでなく、正常なログも記録する必要があります。

 十数年前に設定したログの取得範囲を変更していないと、新たなサイバー攻撃を検知できないばかりか、既に発生しているかもしれないインシデントの後日調査もできない可能性があります。ログを見直すことは、将来のインシデントレポートの作成に大いに役立つのです。

 ログの出力内容や保存期間の変更は、各種セキュリティソリューションを新たに導入するよりも簡単なセキュリティ対策でしょう。「どのログを取るか」というポリシー策定を基づき保存期間を決めたら、できる限り「攻撃者がログを改ざんできない仕組み」も考えましょう。攻撃者にとってそれだけログは致命的な存在なのです。

 2020年も多くのセキュリティインシデントが発生しました。2021年はテレワーク全盛となり、そこが狙われるポイントになるはずです。一方で対策は、ここ10年ほど変わっていません。派手な言葉に踊らされることなく、経営者や情報システム部、組織にいる全員が地道に歩みを進めていくことが、クリーンなサイバー世界実現の最短ルートなのです。共に頑張っていきましょう。

著者紹介:宮田健(みやた・たけし)

『Q&Aで考えるセキュリティ入門「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』

元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q&Aで考えるセキュリティ入門 「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』(エムディエヌコーポレーション)が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ&Aのクイズ形式で楽しく学べる。


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ