ランサムウェアの知識、古くなってない？ 従来型とは別手法の「システム侵入型」が台頭（2/2 ページ）

[谷井将人，ITmedia]

ランサム攻撃者には慎重派・速攻派の2タイプ

　システムに侵入した後の攻撃者の動きには、慎重派と速攻派がいるという。慎重派は、管理者などにばれないよう、ランサムウェアではないソフトウェアやOS標準ツールなどを使いながら慎重に作業を進めるタイプ。侵入から暗号化までは早くて2〜3日かかる。

　一方、速攻派は、最終的に脅迫するならばれてもいいと割り切って、堂々とさまざまなツールを使って短時間で暗号化までする攻撃者もいる。対策は「速攻派の方が厄介」（秋良さん）だという。

ランサムウェア開発者の売りは“速い”“解けない”

　暗号化する場合に使われるランサムウェアも進化している。ランサム攻撃の分野では分業化が進んでおり、直接攻撃を仕掛ける攻撃者の他に、システム侵入に必要な情報を取得して売る情報屋、ランサムウェア開発者などがいる。

　ランサムウェア開発者も努力を重ねて、より高度なプログラムの開発を進めている。

　「一斉に広範囲に暗号化する際に時間がかかってしまうと、すぐ見つかって止められてしまうので、開発者は暗号化の処理速度を重要視しています。中にはそれを売りにしている開発者もいます」（秋良さん）

　従来型のランサムウェアは、メール内の添付ファイルを開いてしまった1台のみが使えなくなる程度だった。一方、侵入型ランサム攻撃ではシステムに侵入した後に管理者権限をのっとってランサムウェアをシステム内全体にばらまくこともあり、被害が甚大になる。広範囲の情報を暗号化するのにはスピードが重要だ。

　簡単に復号できるような暗号では、身代金を要求しても自力で解かれてしまうため、暗号の高度化も必須になる。

　「全部（の情報やシステムが）使えなくなってしまうと、業務ができなくなり大ごとになります。すると、中にはお金を払った方が低コストですぐ復旧できると判断するところも出てきます」（秋良さん）

　しかし、身代金を払っても情報が元に戻る保証はない。犯罪者に資金提供をすることになってしまう問題も含めて考えれば、事前の対策が重要だと分かるだろう。

　ランサム攻撃による被害は2021年に急増した。警察庁の調べによると、20年下半期の被害報告が21件だったのに対し、21年上半期は61件と約3倍に増加。同下半期は85件に上った。

ランサムウェアの被害報告は2021年に急拡大（警察庁「令和3年におけるサイバー空間をめぐる脅威の情勢等について」（2022年2月）より）

　22年にはトヨタ自動車や森永製菓も、取引先や自社が攻撃を受けて一時操業停止になるなど被害を受けた。ニュースになるのは大規模な有名企業が多いが、被害報告の件数で見ると、中小企業が過半数を占めている。

2021年に報告されたランサムウェア被害報告件数のうち、54％が中小企業のもの（警察庁「令和3年におけるサイバー空間をめぐる脅威の情勢等について」（2022年2月）より）

　「ランサム攻撃では、どちらかというと情報セキュリティ対策が弱く侵入しやすいところを探して攻撃していることが多いです」（秋良さん）

　近年問題視されているランサム攻撃から自社を守るためには、新しい攻撃手法も理解した上で、それに見合った対策を実施するのが重要だ。