企業や組織をターゲットにしたランサムウェアの攻撃手法は巧妙さを増し、「バックアップによるデータ復旧」というランサムウェア対策において最も信頼されている施策にも、危機がしのび寄っている。そこで、ランサムウェアを用いた攻撃の最新動向とその対策について、データバックアップソリューションを手がけるRubrikのアジアパシフィックおよび日本地域のチャネル&アライアンスの責任者を務めるKamal Elkhaili氏と、ソフトウェアの第三者検証のプロ集団であり、製造業の製品設計・開発部門で多くの実績を持つベリサーブの執行役員で、ソリューション事業部長の桑野修氏が議論を交わした。
最優先でつぶされるバックアップデータ
――ここ数年、攻撃手法が巧妙化したことにより、ランサムウェアの被害が拡大していますね。
Rubrik, Inc. Director, Channels & Alliances APAC
Kamal Elkhaili氏
Kamal Elkhaili氏:実際のところ、ランサムウェアは2015年ごろには既に猛威を振るっていました。ただ、メディアなどに取り上げられることが多くなったのは、新型コロナウイルスがまん延した時期です。多くの日本企業はさまざまなセキュリティ対策を実施しているものの、攻撃手法の巧妙化がそれを上回っており、特にランサムウェアによる被害は無視できない水準に達しています。
桑野氏:従来のセキュリティ対策というと、ファイアウォールでネットワークゲートウェイを防御し、アンチウイルスソフトのシグネチャによるマルウェア対策を実施するといったことが主流でした。もちろん、さらに高度な対策をしている企業も現在では少なくありません。それでも、これらはシステムが安全なネットワーク内部に存在することが大前提でした。
しかし、コロナ禍がきっかけで在宅勤務が不可避になったことから、大規模なリモートアクセス環境が必要となり、VPNの利用が拡大しました。その結果、VPNの脆弱性を突かれるようなサイバー攻撃の被害が増えていったのです。そのような、市場環境の変化もあって特に2020年代に入ってからは、これまであまり目立った被害が報告されていなかった分野でも被害が増加している傾向が見受けられます。そして、その被害はランサムウェアの感染によるものが少なくありません。
ランサムウェア攻撃は、不正侵入に成功した攻撃者がシステム内の重要なデータを暗号化し、データの復旧には復号キーが必要となる状態に追い込んだ上で、身代金の支払いを要求する卑劣な手法です。加えて、支払われた身代金は攻撃者の利益となるだけでなく、次なる攻撃のための資金調達にも利用され、被害が拡大し続けるリスクがあります。
過去のサイバー攻撃の変遷からも明らかなように、不正侵入を100%防ぐことは難しいです。しかし、もしランサムウェア被害に遭ったとしても、迅速なデータ復旧が可能であれば、身代金を支払う必要はありません。そのため、ランサムウェアの被害を防ぐために、バックアップは非常に重要かつ有効な対策です。
Kamal Elkhaili氏:ところが、非常にいやらしいことに最近のランサムウェアの攻撃は、最優先でバックアップを狙うのです。つまり、復旧のための準備を台無しにした上でランサムウェアに感染させることで、企業が身代金を支払う確率を高めているのです。攻撃者は、まず何らかの手段で企業のシステムへの侵入を図ります。もちろん、セキュリティ対策が一定の水準であれば、容易に侵入することは難しいですが、ここで狙われるのが桑野さんより指摘のあった、VPNの脆弱性です。既知の脆弱性が放置されているネットワークやシステムは攻撃者にとって恰好の標的となります。
一度侵入が成功すると、攻撃者は企業や組織のシステムやネットワークの状況を把握し、バックアップデータを最優先でつぶして復旧できなくするのです。この時に、併せて重要機密なども窃取し、最後の仕上げとしてランサムウェアに感染させ、身代金を要求するのです。なお、ランサムウェアに感染させる前に窃取したデータも利用し、「公開されたくなかったら…」といった形で再び金銭を要求する二重脅迫も行われています。
ベリサーブ 執行役員 ソリューション事業部長
桑野 修氏
桑野氏:そうですね。あらかじめバックアップをつぶしておくことで、二重脅迫もできることなどを考えると、ランサムウェアは攻撃者にとって都合の良い、もうかりやすい仕組みだと思います。2024年1月24日に公開された情報処理推進機構(IPA)の「情報セキュリティ10大脅威 2024 [組織]」でも、「ランサムウェアによる被害」が4年連続ランキングのトップ(2021~2024)となりました。これは、そのことを裏付けていると感じています。
一方、同じランキングでかつて5年連続(2016~2020)トップだった「標的型攻撃」は、2024年は4位にランクダウンしました。標的型攻撃が3位までに入らなかったのは2011年以来となり、13年ぶりのことでした。攻撃手法のトレンドの変化だと言えばそれまでなのですが、これには重要な意味が存在しています。
重要な意味とは、「ランサムウェアの攻撃手法に従来の標的型攻撃の手法が内包されている」と考えられることです。標的型攻撃は、ターゲットに対して手間暇と時間をかけた攻撃手法で、執拗に実行される高度な攻撃です。しかし、窃取した機密情報が本物かどうか、やってみないと分からない部分があります。つまり、攻撃者にとって、本当に対価が得られるのかが不透明な攻撃なのです。
その点、ランサムウェアであれば、あらかじめ復旧手段をつぶしておけば、身代金が得られる確率をかなり高められます。攻撃者にとって都合の良い、もうかりやすい仕組みなのです。ただし、もしバックアップデータがつぶせないとすると、この前提は大きく崩れます。つまり、ランサムウェアによる被害の最も効果的な対策は、バックアップデータをつぶさせないで、守ることだと言えるでしょう。
製造業がランサムウェア攻撃のターゲットに
――近年、製造業のランサムウェアの被害が非常に多くなっています。印象に残っているランサムウェア被害の事例はありますか?
桑野氏:有名企業での被害は、メディアが大きく扱うため印象に残っているものが多いですね。例えば2017年5月、国内大手製造企業が「WannaCry」の被害を受けました。公開された情報によると、社内ネットワークが利便性を重視した設計だったこと、「自然災害対応のためのBCPに基づく対策会議」がサイバー攻撃の対策に成り得なかったことが原因の1つだったとされています。被害範囲は、世界の250カ国に拡大し、その総数は20万件を超えたようです。
また、2020年6月の有名自動車メーカーがランサムウェア「SNAKE」に感染した被害は、当社が日頃お世話になっている企業だったこともあり印象深いです。このときは世界30カ所、同社の3割もの工場が停止し、さらに全社員のPCの稼働を一時停止させるという事態に発展したと伺っています。
さらに、この例は製造業ではないのですが、2023年7月に、国内最大級の貿易港のシステムがランサムウェア「LockBit」によって停止したのは、重要基盤への攻撃として社会全体に影響が出る可能性を示唆した重要な事件でした。港は製造業に欠かせない物流の要であり、それがまひしたというのは由々しき事態だと言えるでしょう。
なお、この事件の際にコンテナの搬入出作業が数日間停止しましたが、港というのは天気や波浪の状況により、数日使えないことはよくあるようで、意外なことに致命的な被害とはならなかったようです。それでも、ロジスティクス拠点をサイバー攻撃でまひさせられることを、世の中に知らしめたという意味では重要な事件となりました。さらに、この件では、企業だけでなく、政府機関含めて、社会基盤も攻撃を受ける可能性があることを広く知らしめたという点で、インパクトのある攻撃でした。
Kamal Elkhaili氏:いま挙げられていた例は、いずれも大企業や組織ばかりです。被害に遭ってしまったため、セキュリティ対策は万全だったとまでは言えないかも知れませんが、一定レベル以上のセキュリティ対策を実施していたでしょう。しかし、どれほど優れたセキュリティ対策を講じる企業や組織であってもランサムウェアを含むサイバー攻撃の被害を100%防ぐことは難しいということを表しています。だからこそ、ランサムウェアの被害に遭った際に、確実に「復旧」できるための備えをすることが重要なのです。
桑野氏:製造業に限らず、実際にランサムウェアの被害を被った企業の多くは、自社が攻撃対象になるとは思っていなかったでしょう。しかし、デジタルトランスフォーメーションの急速な進展などにより、ITが関わる範囲が大きく広がりました。中でも製造業においては、事業の中核である工場の制御システム(Operational Technology)の領域に及ぶなど、従来と比較できないほど拡大しています。ほとんどの企業は、ITなくして事業を営むこと自体ができなくなっています。
いまやITは企業の重要な事業基盤であり生命線とも言えるものなのです。それは裏を返すとサイバー攻撃は企業活動そのものにダメージを与えることになります。それにしては、まだまだ多くの企業や組織において、サイバー攻撃の脅威の認識は甘いと言えるかもしれません。