情報処理推進機構(IPA)は8月20日、サイバー攻撃者が企業などから確実に金銭を搾取しようとランサムウェア犯罪の手口を高度化させているとして注意を呼びかけた。解説レポート(PDF)も提供している。
一般的にランサムウェア犯罪は、攻撃者が被害者のコンピューターやネットワークに不正プログラムのランサムウェアを侵入させてデータを勝手に暗号化し、被害者に対してデータを復号する代わりに金銭(身代金)を支払うよう脅迫する。
しかし近年は、不特定多数を標的にしても犯罪者が得られる収益が乏しく、企業や組織に標的を絞って事業継続を脅かすことで収益性を高めようとしている。また、あらかじめデータをバックアップしておく対策が進み、万一攻撃者にデータを暗号化されてもバックアップデータで事業などを復旧し、攻撃者の要求に応じないで済むケースも知られつつある。
このためIPAは、攻撃者側がより明確に企業や組織を狙うようになり、身代金を支払わざるを得ないような状況を作り出すべく犯罪の手口を高度化させていると指摘する。主には「人手によるランサムウェア攻撃(human-operated ransomware attacks)」と「二重の脅迫(double extortion)」があるという。
「人手によるランサムウェア攻撃」の手口では、攻撃者が機械的に無差別に不正プログラムを配布せず、サイバースパイ行為などのように標的とした企業や組織のネットワークへ密かに侵入する。そして、侵入範囲を広げてITシステム環境を探索しながら事業継続などに大きく影響する重要なシステムやデータを把握し、それらの不正に制御するような行為に及んだり、攻撃者の手元に窃取したりする。
「二重の脅迫」の手口では、攻撃者が従来のように暗号化したデータを復号する代わりに身代金を要求することに加え、「人手によるランサムウェア攻撃」で窃取しておいたデータを公開するなどと脅して身代金を要求する。脅迫時に、インターネットの闇サイトで第三者にも情報公開を予告したり、データの一部を公開したりするケースもあり、情報漏えいを恐れる企業や組織に身代金を支払うように圧力をかけてくる。
ランサムウェア手口の変化(出典:IPA)
対策についてIPAは、企業や組織が既に講じて多層型防御システムによる不正な侵入や行動の監視、検知、阻止、マルウェア対策やアクセス制御、脆弱性管理などの基本策を適切に実施すべきとアドバイスする。加えて、テレワークなどの拡大に伴うリモートデスクトップサービスなどが不正侵入の踏み台になるケースもあり、VPN機器などの更新も必要としている。
また、身代金を得ようとする攻撃者がバックアップシステムやバックアップしているデータにも不正アクセスして破壊するなどの恐れがあり、企業や組織ではバックアップを確実に行い、攻撃者の侵入をできる限り防げるよう必要に応じて設定や構成を見直すべきと説明している。