警察庁が言う“ノーウェアランサム”とは何か？ 新たな攻撃が生まれた背景を探る：半径300メートルのIT

警察庁が最近公開したレポートである言葉がちょっとした話題になりました。それは「ノーウェアランサム」。一体どういった攻撃手法なのでしょうか。

[宮田健，ITmedia]

　警察庁は2023年9月21日、「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」というレポートを公開しました。ハクティビストの実行が疑われるDDoS攻撃や増え続けるクレジットカード不正、ランサムウェア攻撃の現状などサイバー空間を巡る情勢が詳細に解説されています。

　そして、このレポートの中で登場した言葉がSNSなどでちょっとした注目を集めています。それは「ノーウェアランサム」です。本稿は、レポート内で“新たな手法”として紹介されているこの攻撃に迫ります。

新手の攻撃？　“ノーウェアランサム”とは何か

　企業や団体におけるランサムウェア被害ですが、2023年上半期において警察庁に報告があった件数は103件で、2022年以降高い水準で推移しています。数字だけに注目すると若干の減少傾向にあるようにも見えますが、これはあくまで報告があった件数であること、また攻撃側も攻撃対象を絞ってきていることを考えると、決して気を緩めていい“減少”ではないでしょう。

企業や団体などにおけるランサムウェア被害の報告件数の推移（出典：「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」のP19から引用）

　このレポートには、ランサムウェア被害における企業規模や被害を受けた業種別の件数も掲載されています。ただ、ランサムウェアは基本的にばらまき型で、ターゲットを広く設定して「狙えるところから狙う」という攻撃のため、「大企業だから狙われる」「製造業だから狙われる」ということでもないように思えます。実際にいつ被害に遭うかは、機密データを暗号化された後に「身代金を払え」と要求されるまでは分からないのが実態です。

　しかし問題なのは、今やその「暗号化された」という誰もが目に見えて被害に遭ったことに気が付くというステップすら、見えなくなる可能性があることです。

　ランサムウェア攻撃手法はこれまで、重要情報を不正に暗号化したり、ロックしたりして、元に戻すことと引き換えに金銭などを要求するのが一般的でした。最近はこれに加えて「窃取した情報をリークサイトで公開されたくなければ金銭を支払え」と脅迫する、いわゆる「二重の脅迫」という手法も流行しています。

　ただし、ランサムウェア攻撃という手法が攻撃者の間でメジャーになるにつれて、ランサムウェアの特徴的な挙動である「暗号化」を介さない新たな攻撃パターンも登場し始めました。つまり「窃取したデータを公開されたくなければ対価を支払え」だけでも攻撃が成立するようになったのです。

　これを警察庁ではランサムウェアを使わない攻撃「ノーウェアランサム」という言葉を使ってあらためて表現したわけです。ここまで説明してノーウェアランサムという言葉自体は知らなくても、手法は「聞いたことがある」方は多いのではないでしょうか。

ノーウェアランサムとは何か？（出典：「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」から引用）

なぜランサムウェア攻撃は「暗号化」をやめたのか？

　では攻撃者は、従来のランサムウェア攻撃プロセスからなぜ暗号化を省くようになったのでしょうか。

　一つは先ほども触れたように暗号化をしなくてもランサムウェア攻撃が成立するようになったことが挙げられますが、攻撃者を取り巻く環境の変化も関係しているようです。

　トレンドマイクロのブログでは、身代金の支払いが米国を中心に規制対象となった結果、暗号化によるマネタイズがしにくくなっている点や、注目されればされるほど検挙のリスクが高まる点、自社ブランドの評判に傷が付くのを恐れる企業を標的にする場合は「身代金を払えば被害に遭ったことがバレない」ということを材料に企業と交渉するようになっている点などからノーウェアランサムが広がっているのではないかと推察しています。

“ノーウェアランサム”に企業はどう対抗すればいいのか？

　このように暗号化しないランサムウェア攻撃に対抗するためには「バックアップ」だけでは足りません。その観点で対策をアップデートしていく必要があるでしょう。

　しかしバックアップを含むこれまでの「マルウェア対策」と比べると、やること自体には大きな変化はなく、基礎的なことの積み重ねが重要になります。

　ランサムウェア攻撃では暗号化がなくてもこれまで同様、侵入の入口には「電子メール」もしくは「VPN／リモートアクセスサーバ」などが使われます。電子メールについては添付ファイルへの対策や、フィッシング対策が効きますし、VPNやリモートアクセスサーバについては、IDの管理と脆弱（ぜいじゃく）性管理が有効です。

　その他、システム内に侵入された場合、昨今では分かりやすい不正なプログラムではなく、インストール済みの正規のプログラムが不正に利用されることから、検知の仕組みが重要となります。EDR（Endpoint Detection and Response）などが活用できる状況を作っておく必要があるでしょう。

　ノーウェアランサムという言葉が大きく注目された結果、今回公開された警察庁の資料はその部分だけしか読まれていない気がするのが少しもったいないと感じます。この資料では、警察における取り組みや、その他にも注目すべきSIMスワップやフィッシングへの対策など、生々しい実情もまとめられていますのでぜひそちらもチェックしましょう。

　セキュリティの世界は新しい言葉が常に登場するかもしれませんが、ひもといてみるとこれまでの概念とさほど変わらないものがほとんどです。未知の言葉を自分なりに翻訳し、その言葉によりどこが注目されているのかを深掘りしていけば、より現状を把握しやすくなるでしょう。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。