2020年のランサムウェアはバラマキ型から標的型に--経営責任のリスクも

國谷武史（編集部）

2020-12-15 08:28

　企業や組織にとってランサムウェアは引き続き脅威であり、2020年はその傾向がますます強まっている。被害組織では経営責任を問われ、トップが辞任に追い込まれる事態が広がる可能性も予想されるという。

　パロアルトネットワークスは12月14日、2020年のセキュリティ脅威動向と2021年の予測に関する報道機関向けの説明会を開き、日本最高セキュリティ責任者を務める林薫氏が、ランサムウェアについてこのように解説した。

　林氏によれば、2020年1～11月は公表ベースで国内外の200以上の組織がランサムウェアの被害に遭った。攻撃者によって重要なデータを暗号化もしくは窃取されたり、あるいは業務システムの稼働を妨害されたりするなどして、事業の継続に深刻な影響が生じたケースが珍しくなくなったとする。例えば、10月にはドイツのソフトウェア企業が「Clop」と呼ばれるマルウェアを通じて機密データが窃取され、攻撃者がインターネット上の闇サイトにそのデータを暴露した。攻撃者はソフトウェア企業に対し、データの公開停止と引き替えに約2300万ドルの金銭を要求している。

　ここ数年、ランサムウェアを使ったサイバー攻撃は悪質さが増しており、特に特定の企業や組織に狙いを絞り込む標的型化が進んでいるという。

　林氏は、例えば、2017年に世界的な流行を見せた「Wannacry」などでは、被害者にコンピューターに表示するメッセージ（脅迫文）に記載されるのが金銭を要求する内容が中心で、バラマキ型攻撃の特徴だったと解説する。これに対して2020年に確認された攻撃の多くは、攻撃者が事前に標的とした企業や組織の名前を脅迫文に入れてランサムウェアを作成し、攻撃を仕掛けるケースだったという。また、攻撃者が要求する金額もWannacryは数百ドルだったものが、2020年は上述の企業のように数百万～数千万ドルという規模に増加していた。

標的型ランサムウェアの金銭を要求する脅迫メッセージの例。攻撃者は事前に標的とした企業や組織の名前を入れて作成しているという（出典：パロアルトネットワークス）

　攻撃者が企業や組織を標的にする傾向が強まっているのは、狙われた側のダメージが大きいことや多額の金銭を得られることにある。攻撃者の観点では、不特定多数を狙うバラマキ型は、どの被害者がどれくらい金銭を支払うかが予測しづらく、金銭を獲得するための手間もかかることから、つまりは金銭を得るまでの効率が悪い。

　一方で、企業や組織は攻撃の準備に手間がかかる（標的のIT環境を事前に調べるなどの作業がある）ものの、脅迫にこぎつければ影響を恐れて金銭を支払う可能性が高く、結果的にバラマキ型よりも効率的に多額の金銭を獲得できるからだという。

バラマキ型と標的型のランサムウェア攻撃の違い（出典：パロアルトネットワークス）

　林氏によれば、2020年はこうした標的型の新しいランサムウェアが多数見つかっており、公表ベースの被害は氷山の一角に過ぎないと警鐘を鳴らす。被害を恐れた企業や組織が密かに攻撃者へ金銭を支払っていたり、そもそも標的にされ侵害を受けている状況を把握していなかったりするケースも多い可能性があると分析している。

　同社が2019年12月～2020年11月に検知したマルウェア件数の国別ランキングで日本は6位だった。その前の1年間は2位で検知数が減少した格好だが、これは2019年からバラマキ型で展開されてきた情報窃取型マルウェア「Emotet」の拡散攻撃が夏場に少なかったことなどが要因だという。なお、Emotetは情報を窃取するだけでなく、異なるマルウェアに感染させる機能も有しており、Emotet経由でランサムウェアに感染するケースが確認されている。

　海外では、医療機関のシステムがランサムウェアによってダウンし診療が行えないといった深刻な被害が多発し、国内でもメーカーのシステムがランサムウェアに感染して工場が操業ができなくなるなどの事態が発生した。林氏は、マルウェアが業務用のIoT機器に感染を広げる傾向も強まっていると指摘する。Windows環境で感染するランサムウェア「EKANS」が産業用制御システムにも感染して生産設備の稼働を妨害し、エネルギー企業や建築事務所、医療、輸送、製造などの現場で被害が拡大しているという。

産業制御システムでもランサムウェアによる被害が発生している（出典：パロアルトネットワークス）

　サイバー攻撃は、2018年の世界経済フォーラム（ダボス会議）で重大な経営リスクの1つに位置付けられ、企業や組織の経営層が優先的に対処すべき事項となった。ランサムウェアはサイバー攻撃の一部だが、ここ最近の傾向から顕在化しやすく事業に甚大な被害を与えかねないリスクとして高まっており、林氏は早期の検知と対応行動の迅速化を図り、被害の影響を抑えこみ、短時間で復旧できる体制の整備が必要とアドバイスする。

　サイバー攻撃に限らずITシステムに問題が起きた場合の社会的影響は大きく、業界によっては規制当局から指導や罰則を受けたり、当事者組織の経営層が辞任や減給などの処分を受けたりすることもある。ランサムウェアの最近の動向は、企業や組織の経営責任を問われる事態の拡大につながる端緒となりかねず、林氏は改めて注意を呼びかけている。