ランサムウェアの知識、古くなってない? 従来型とは別手法の「システム侵入型」が台頭(2/2 ページ)
ランサムウェアによる被害は以前から継続してあるが、その攻撃手法は大きく変わってきた。近年問題になっているのは、人間がシステム内部に侵入して作業する「システム侵入型ランサム攻撃」が増えており、対策のためにも知識のアップデートが必要だ。
ランサム攻撃者には慎重派・速攻派の2タイプ
システムに侵入した後の攻撃者の動きには、慎重派と速攻派がいるという。慎重派は、管理者などにばれないよう、ランサムウェアではないソフトウェアやOS標準ツールなどを使いながら慎重に作業を進めるタイプ。侵入から暗号化までは早くて2〜3日かかる。
一方、速攻派は、最終的に脅迫するならばれてもいいと割り切って、堂々とさまざまなツールを使って短時間で暗号化までする攻撃者もいる。対策は「速攻派の方が厄介」(秋良さん)だという。
ランサムウェア開発者の売りは“速い”“解けない”
暗号化する場合に使われるランサムウェアも進化している。ランサム攻撃の分野では分業化が進んでおり、直接攻撃を仕掛ける攻撃者の他に、システム侵入に必要な情報を取得して売る情報屋、ランサムウェア開発者などがいる。
ランサムウェア開発者も努力を重ねて、より高度なプログラムの開発を進めている。
「一斉に広範囲に暗号化する際に時間がかかってしまうと、すぐ見つかって止められてしまうので、開発者は暗号化の処理速度を重要視しています。中にはそれを売りにしている開発者もいます」(秋良さん)
従来型のランサムウェアは、メール内の添付ファイルを開いてしまった1台のみが使えなくなる程度だった。一方、侵入型ランサム攻撃ではシステムに侵入した後に管理者権限をのっとってランサムウェアをシステム内全体にばらまくこともあり、被害が甚大になる。広範囲の情報を暗号化するのにはスピードが重要だ。
簡単に復号できるような暗号では、身代金を要求しても自力で解かれてしまうため、暗号の高度化も必須になる。
「全部(の情報やシステムが)使えなくなってしまうと、業務ができなくなり大ごとになります。すると、中にはお金を払った方が低コストですぐ復旧できると判断するところも出てきます」(秋良さん)
しかし、身代金を払っても情報が元に戻る保証はない。犯罪者に資金提供をすることになってしまう問題も含めて考えれば、事前の対策が重要だと分かるだろう。
ランサム攻撃による被害は2021年に急増した。警察庁の調べによると、20年下半期の被害報告が21件だったのに対し、21年上半期は61件と約3倍に増加。同下半期は85件に上った。
22年にはトヨタ自動車や森永製菓も、取引先や自社が攻撃を受けて一時操業停止になるなど被害を受けた。ニュースになるのは大規模な有名企業が多いが、被害報告の件数で見ると、中小企業が過半数を占めている。
「ランサム攻撃では、どちらかというと情報セキュリティ対策が弱く侵入しやすいところを探して攻撃していることが多いです」(秋良さん)
近年問題視されているランサム攻撃から自社を守るためには、新しい攻撃手法も理解した上で、それに見合った対策を実施するのが重要だ。
関連記事
- ブリヂストンにランサムウェア攻撃 クルマ関連企業へのサイバー攻撃相次ぐ
ブリヂストンの米子会社にランサムウェア攻撃。自動車関連企業ではこの3月、デンソーやトヨタに関連する企業がサイバー攻撃を受けている。 - デンソー独法人にサイバー攻撃 犯罪グループ「Pandora」がダークウェブで犯行声明
デンソーのドイツ法人がランサムウェアを使ったサイバー攻撃を受けた。サイバー犯罪グループ「Pandora」がダークウェブ上で犯行声明を出している。 - ランサムウェア集団「Lockbit 2.0」、ロシアのウクライナ侵攻に関与しないと声明 「無害な仕事から得る金銭にしか興味がない」
ランサムウェア「Lockbit 2.0」を開発する犯罪グループが、ロシアによるウクライナ侵攻を受け、両国に対するサイバー攻撃に加担しない方針を発表。「私たちは無害で有益な仕事から生まれる金銭にしか興味がない」という。 - 愛知県PCR検査システムにランサムウェア攻撃 個人情報漏えいなど二次被害はなし
愛知県は、PCR検査のデータを管理しているシステムにランサムウェア攻撃を受けたと発表した。10日時点で個人情報漏えいなどの二次的被害はないという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.