新型コロナウイルス感染症の拡大に伴い企業でテレワーク利用が広がる中、リモートアクセスツールの脆弱性を突くサイバー攻撃の危険性が指摘された。他方でランサムウェアによるサイバー犯罪は、攻撃者が機密データを暗号化して金銭を要求する従来の手口だけでなく、「インターネットに公開する」とも脅迫して強硬に金銭を窃取する新たな動きが注目されている。テレワークのセキュリティリスクとランサムウェア犯罪が懸念される。
米ZDNetは8月4日、サイバー攻撃者が913件のPulse SecureのVPNサーバーに関するIPアドレスとID、パスワードのリストが攻撃者のフォーラムサイトで公開されたと報じた。セキュリティ企業のKELAによる調査協力で、フォーラムサイトにはVPNサーバーのファームウェアバージョン、SSH鍵、管理者アカウントの詳細、VPNセッションキーなどの情報も公開されたことが分かった。
犯罪フォーラムで公開されたVPNサーバーに関する詳細情報(米ZDNet)
犯罪フォーラムで公開されたVPNサーバーの保有企業の状況(米ZDNet)
同じく調査に協力したセキュリティ企業のBad Packetsによると、リストアップされた913件のVPNサーバーのうち677件について、2019年に公表されたPulse Connect Secureの認証回避の脆弱性(CVE-2019-11510)が含まれるファームウェアが使用されていたことが分かった。悪用された脆弱性については、既に2019年4月時点でPulse Secureが詳細情報と脆弱性を修正するパッチを提供しており、ユーザーに速やかに適用するよう呼び掛けていた。国内でも同時期にJPCERT コーディネーションセンター(JPCERT/CC)が複数のSSL VPN製品に関する脆弱性について注意喚起しており、2020年3月にはPulse Secure製品の脆弱性を悪用する攻撃について情報を公開している。
Bad Packetsは、Pulse SecureのVPNが企業でリモートアクセスツールとして使用されているため、攻撃者はフォーラムサイトに不正アクセスのための情報を共有、悪用していると指摘する。これらの情報は標的型サイバー攻撃やランサムウェア犯罪などに利用されているという。
一方で近年のランサムウェア犯罪は、従来の不特定多数の相手に無差別に仕掛ける傾向から企業に標的を絞る傾向が強まっているとされる。また、犯罪の手口も巧妙化しているとされ、トレンドマイクロによれば、犯罪者がリモートアクセスツールの脆弱性を突いたり、認証情報を悪用したりして企業内のシステムやネットワークに不正侵入し機密情報を探索、それら情報を暗号化して復号と引き換えに金銭を要求するだけでなく、インターネット上にも公開すると脅迫して金銭を窃取しようとする。
リモートアクセスを踏み台にしたランサムウェア犯罪の流れ(トレンドマイクロ)
かつてのランサムウェア犯罪は、無差別型では被害者が攻撃者の要求に応じなかったり窃取できる金額もわずかだったりするなど、攻撃者にとって収益性が悪かったとされる。現在は企業を標的にすることで収益性が向上したとされるが、企業側もデータバックアップなどによるランサムウェア対策を講じるようになったことで、不正な暗号化という手法が通用しづらくなり、攻撃者は“情報公開”というさらなる手口を使い出している。
セキュリティ企業のFireEyeは、5月に公開したブログでランサムウェア「MAZE」に複数のサイバー攻撃組織が関与し、不正プログラムのみならずMAZEを通じたランサムウェア犯罪の“エコシステム(生態系)”が形成されていると指摘する。
新型コロナウイルス感染症の拡大が止まらない中、テレワークを標準の勤務形態に位置付ける企業が増えつつある。テレワーク環境のセキュリティ対策についてベンダー各社では、ランサムウェア犯罪にもつながるリモートアクセスツールの安全性強化や攻撃者の侵入を検知する仕組みの整備を呼びかけている。