コンピューターシステムに侵入し、企業の重要なデータ(本連載の第3回で説明したように、通常は本番データ)にアクセス、削除、流出、または即座に強奪しようとする悪意のあるサイバー攻撃者の意図は、攻撃を阻止するために講じられている対策に対抗するためのアプローチを絶えず進化させることです。
そのため、企業のITインフラやシステム、貴重なデータを保護する役割を担うITおよびセキュリティ運用(SecOps)の部門は、戦略を進化させ、利用可能な最善のデータ管理・保護のテクノロジーを導入しなければならないという大きな課題を抱えています。特に、情報処理推進機構(IPA)が発表した2021年の「情報セキュリティ10大脅威」を見れば分かるように、ランサムウェアは情報セキュリティの脅威の第1位となっています。
サイバー攻撃やデータのセキュリティ侵害は、今や世界的に連日メディアで取り上げられています。しかし、その見出しを飾るのは、成功した攻撃の件数など、ほんの一部の情報に過ぎません。成功を遂げたサイバー攻撃の影響は、私たち(そして多くの場合は被害者)が認識しているよりもはるかに大きいと考えられ、組織はランサムウェアの深刻な課題に直面しています。
また5G、IoT、AI、機械学習(ML)などの新しいテクノロジーの統合がもたらすデータフットプリントの拡大、新型コロナウイルス感染症のパンデミックによる非接触のためのオンラインシフトといったデジタル化の加速により、サイバー攻撃の対象となる範囲はこれまでになく拡大しています。IPAは、「悪意ある攻撃者が『テレワークなどの新しい通常の働き方を狙った攻撃』を仕掛けてくることが、2021年の情報セキュリティ脅威として3番目に最も頻度の高いものである」と述べています。
ランサムウェアは、その巧妙さと頻度が増しているだけでなく、より多くの企業に大規模な身代金の支払いを要求しようとする革新的かつ創造性に富んだ悪意ある行為者によって、より強力なものになっています。2021年のRansomware as a Service(RaaS:ランサムウェアを使って金銭を窃取するサイバー犯罪を行う仕組みを提供する不正ビジネスのこと)では、サイバー犯罪組織が分業体制を改善し、技術的なスキルを持たないサイバー犯罪者にもサイバー攻撃への参加を促し、さらには、中小企業をより頻繁に攻撃することで、発生度の高いサイバー攻撃のタイプとなりました。
大規模な組織に対する特定の攻撃は、サイバー犯罪者に数百万ドルの“賞金”(被害者にとっては身代金)をもたらす可能性があり、犯罪の実行に高度な技術を必要とすることを考えれば、これは犯罪者にとって理にかなったことです。一方、RaaSを利用した中堅企業を狙う攻撃では、個々の標的から窃取する身代金の額は小さくても、犯罪者は多くの企業に攻撃するので、全体での被害額は大きくなる可能性があります。
IPAの2021年上半期の報告では、「今期に目立ったのは、NAS(Network Attached Storage)やクラウドストレージが攻撃の対象となった事例である」と指摘されています。コロナ禍において、テレワークが増えたことにより、NASをインターネットからアクセス可能な場所に設置し、テレワーク中の従業員や取引先など組織外とのファイル共有を目的に使用していたところ、NAS の脆弱性を攻撃者に悪用され、ランサムウェア攻撃に発展した事例が確認されています。
