キヤノンITソリューションズ(CITS)は、メディア向けに「2024年上期セキュリティ脅威とランサムウェア最新動向に関するラウンドテーブル」を開催した。ゲストの神戸大学名誉教授の森井昌克氏がランサムウェア対策で陥りがちな過ちなどを解説した。
キヤノンITソリューションズ サイバーセキュリティラボ マルウェアアナリストの池上雅人氏
まず2024年上期のセキュリティ脅威動向をCITS サイバーセキュリティラボ マルウェアアナリストの池上雅人氏が紹介した。期間中の国内マルウェア検出は、2019年下期を100%とした場合と比較して96%だった。池上氏によれば、コロナ禍は100%以上で推移しており、2024年上期はコロナ禍以前の水準に戻ったという。また、検出数のトップは「HTML/Phising.Agent」で前年の3位から2ランク上昇した。トップ10のうち6つがウェブブラウジングの際に遭遇する脅威だったとしている。
ランサムウェア動向について池上氏は、警察庁の統計資料などを基に紹介した。ランサムウェアの脅威は1990年代から存在するが、現代では攻撃者の分業化が進み、脅迫手法も不正な暗号化や機密情報の暴露など多重化している。ランサムウェア被害は、報道では大企業などが目立つものの、実際には中小企業が半数近くを占めるなど、組織の規模による違いは見られないとする。ランサムウェアの初期侵入の経路は、VPN装置の脆弱(ぜいじゃく)性やリモートデスクトップの悪用が大半を占めているなどとした。
ランサムウェア犯罪のエコシステムイメージ(キヤノンITソリューションズより)
ランサムウェアを仕掛ける攻撃者や犯罪者側では分業化が進み、「ランサムウェア・アズ・ア・サービス(RaaS)」と呼ばれるビジネスモデルが確立。池上氏は、犯罪の指示役や実行役、RaaS関係者らの間で被害者から獲得した身代金を分配する仕組みがあることや、複数の犯罪エコシステム同士が競争する状況なども解説。また、近年は企業間取引などのサプライチェーンを通じたランサムウェア被害も拡大しており、被害組織が事業停止や倒産に追い込まれる実例なども発生しているとした。
池上氏は、ランサムウェア対策のポイントで、初期侵入で狙われがちな「アタックサーフェス(攻撃対象領域)」の特定と、機密データの窃取を想定した攻撃の検知や暗号化の実施、攻撃者による不正なデータ暗号化の検知や遮断などを挙げた。
ランサムウェア対策で陥りがちな過ち
池上氏の動向解説を踏まえて森井氏は、ランサムウェア対策で陥りがちなポイントなどを指摘した。それは、ランサムウェア対策において、「VPN機器の脆弱性を解消する」「データをバックアップする」といったピンポイントでの対策手法にとらわれてしまうといった点だ。
神戸大学名誉教授の森井昌克氏
そもそもランサムウェア攻撃は、攻撃者が脅迫を行った時点で発生するのではなく、それ以前から行われる。攻撃者は、標的へひそかに侵入し、脅迫の材料となり得る情報やデータなどを探索して、それらを手中に収めた後に自身の存在を現し標的を脅迫するという段取りを取る。
森井氏によれば、現在の攻撃者は「環境寄生型」と呼ばれる正規のツールやプロセスなどに忍び込んで攻撃活動を行うことや、標的が活動していない深夜に行動していること、攻撃の進行を早くしていることが特徴として挙げられる。これらは、脅迫を行う以前に、標的に攻撃活動を検知されないための行為になる。
さらに、膨大なデータの不正な暗号化処理に多くの時間を要するため、窃取したデータをダークウェブなどに暴露すると脅迫することに移行しており、さまざまな組織のデータが処理されるデータセンターへ攻撃対象を移していること、サプライチェーンに関与する組織をより狙うようになったといった変化もあるという。これらは、攻撃者側がより効率的に標的から身代金を獲得することが目的だ。
ランサムウェアを含むサイバー攻撃は検知や監視から逃れようとするため、セキュリティ対策を難しくしている。ランサムウェアは脅迫によって明るみなることが多いものの、実際にはその時点で攻撃が進行している状況にある(森井氏の資料より)