はじめに
この記事では、フィルタリング製品を開発しているTitanHQが公開した情報を元に、アメリカとヨーロッパのサイバーセキュリティ機関が分析した2021年のランサムウェアのトレンドと、ランサムウェア攻撃を防ぐためのセキュリティ対策についての情報をご紹介致します。
2021年版 ランサムウェアの傾向
2021年のランサムウェアの傾向を調査した上で、2022年まで続くと考えられるランサムウェア攻撃、サイバー攻撃の傾向を抽出してご報告します。
最も狙われた組織
2021年はランサムウェアの攻撃が増加し、攻撃者から最も狙われた組織は、教育機関と政府機関でした。感染症によるパンデミックとロックダウンにより、企業はリモートワークでの業務継続が必要となり、突如リモートワーク環境への切り替えを余儀なくされた組織のセキュリティチームはネットワークの防御に苦慮しながらの対応をすることになりました。そんな実情を知ったサイバー攻撃集団は、いち早くランサムウェアを用いた攻撃に着手しました。企業が時間のない中に用意されたリモートワーク用端末に潜む脆弱性を悪用してネットワークにアクセスし、機密データを窃取、更にはファイルを暗号化して、組織に金銭を要求するためです。
2021年には、重要インフラ(国家安全、電力網といった重要度の高いインフラ)に対する高度なランサムウェア攻撃が増加しました。米国のサイバーセキュリティ当局は、サイバー攻撃者が重要インフラ16分野*1のうち14分野で攻撃を行ったと発表し、イギリスの国家サイバーセキュリティセンターは、企業、慈善団体、法律事務所、医療、地方自治体への攻撃が増加したと報告しています。
攻撃対象の変化
当初、ランサムウェアを用いたサイバー攻撃者の複数が、「大物狩り」に集中していました。大物とは、アメリカの大手石油輸送パイプライン、世界大手情報通信機器運用プラットフォーム、多国籍企業の食品メーカーといった国を代表する企業や重要なサービスを提供する高価値の大規模組織のことです。その結果、ランサムウェア攻撃の地位がテロのレベルにまで引き上げられました。ランサムウェアを用いた攻撃集団に対する監視が強まったことにより、中堅組織に焦点が移り、ランサムウェア攻撃の傾向が変化してきています。
恐喝手段の増加
2021年までの2年間、ランサムウェアの戦術は「二重」の恐喝戦術でした。ランサムウェアは感染した端末のファイルの暗号化をしてしまうことで有名なマルウェアですが、暗号化を行う前に内部データを外部へ流出させることで、以下の恐喝が可能になります。
- 暗号化されたファイルを復号化するためのキーの代金の要求
- 盗まれたデータの公開を阻止するための身代金の支払い
これがいわゆる、二重の恐喝です。ところが、2021年に「三重の恐喝」という新しい傾向が見られ始めました。二重の恐喝にプラスして、「被害を受けた企業が持つパートナー、株主、サプライヤーに対して、ランサムウェア攻撃を受けたことを知らせる」と脅迫したり、サイバー攻撃者が被害を受けた企業のライバル企業と協力し、「機密データを横流し」したりすることも既に一般的になっています。サイバー攻撃者が他の攻撃者と情報を共有し、ランサムウェア攻撃を受けた企業に再度攻撃を行うケースも、度々確認されています。
標的を「まとめて攻撃する」傾向
そして2021年は、サプライチェーンへの攻撃が増加しました。サプライチェーンを攻撃することで、複数のターゲットに対して攻撃を行うことと同義になるためです。また、MSP(マネージドサービスプロバイダー/顧客が利用するIT情報基盤のシステム運用・保守・監視を提供する事業者)を標的とした攻撃も増加しました。MSPを狙う理由は、彼らのサービスが持つ特性にあります。MSPが、契約した顧客のネットワークにアクセスする特性を悪用するのです。つまり、MSPを侵害してしまえば、複数のターゲットにランサムウェアを展開することが可能となります。
Cloud上の情報を標的に
ロシアのサイバー攻撃者は、ランサムウェアを用いて、クラウドインフラ、アカウント、API(アプリケーションプログラミングインターフェイス)、データバックアップシステムを標的とすることが増えており、これにより、クラウドに保存された大量のデータを盗み、重要なクラウドリソースにアクセスできないようにすることが可能になりました。
サイバー攻撃者の攻撃傾向
攻撃者は、多様な手口を用いて被害者のネットワークへ侵入するようになりました。以下に一部の例を挙げます。
- 既知の脆弱性を攻撃するツール(エクスプロイト)の迅速な開発
- リモートデスクトッププロトコルに対する総当たり攻撃(ブルートフォース攻撃/暗号解読や認証情報特定の手法)
- スパイウェアなどを用いて盗んだ認証情報の悪用
これらの手口は、感染症のパンデミックによるリモートワークやリモートスクールの増加も手伝って、有効であることが証明されています。
サイバー攻撃に対する防御強化の重要性
ランサムウェアを用いた攻撃を防御するためには、前述したサイバー攻撃者が手口を使う手段を物理的に減らすことが大切です。
脆弱性対策
攻撃者から組織や端末を守るため、脆弱性が見つかるたびに迅速なパッチの適用が重要です。しかしながら、2021年に報告されたセキュリティの脆弱性の数は増加し、企業の情報システム部門やセキュリティチームはパッチの適用対応に苦慮しています。
そこで、パッチ適用に優先順位をつけることが重要です。アメリカのサイバーセキュリティおよびインフラセキュリティ局の「Known Exploited Vulnerabilities Catalog」(英語のページ)、JVN(日本で使用されているソフトウェアの脆弱性関連情報、対策情報)等を参考に、悪用が確認されている脆弱性、および悪用された際の影響が大きい重要な脆弱性に集中してパッチを適用する必要があります。
総当たり攻撃への対策
総当たり攻撃(ブルートフォース攻撃)に対抗するためには、すべてのデフォルトパスワードを確実に変更し、すべてのアカウントに強力なパスワードを設定することが重要です。これを容易にするために、パスワード管理ソリューションの利用を検討する事も選択の一つです。特に、重要なシステム、VPN、特権アカウントへのアクセスには、多要素認証を設定する必要があります。RDP(リモートデスクトッププロトコル)やその他のリモートアクセスソリューション、リスクの高いサービスは厳密に監視し、使用されていないポートやプロトコルは無効化する必要があります。
フィッシング攻撃対策
フィッシング攻撃に対する対策も欠かせません。フィッシングは、ネットワーク侵入への足がかりとなる認証情報(クレデンシャル)を入手するために使用されたり、マルウェアの配信に使用されることが多くあります。高度な電子メールセキュリティソリューションを導入し、可能な限り多くのフィッシングの脅威を検知・ブロックし、従業員の受信トレイに配信されないようにする必要があります。Webフィルタリングソリューションは、フィッシングメールにリンクされたWebサイトへのアクセスをブロックし、インターネットからのマルウェアのダウンロードを防止することで、防御力を向上させることができます。
また、従業員のセキュリティ意識向上も重要です。不審なウェブサイトを訪問したり、不審なリンクをクリックしたり、不審な添付ファイルを開いたりすることの危険性を認識させるようなトレーニングが必要です。
最後に
ランサムウェアを始めとするサイバー攻撃は、2022年度も更に巧妙化し、猛威を振るうと考えられています。スパムメールを読んでいても、文章の違和感がどんどんなくなっており、攻撃手法の進化が感じられます。その結果、日本ではフィッシングサイトによるクレジットカードの情報窃取、悪用による不正なカード利用が増加しており、警察庁でも注意喚起がなされています。
Eメールセキュリティ製品 SpamTitan、DNSベースのWebフィルタリング WebTitan を通じて、Eメールを用いた攻撃や、Webサイトに仕込まれたマルウェアへの感染に対する防御を支援することができます。詳細については、弊社までお問い合わせください。
*1 重要インフラ16分野:情報技術、防衛産業基盤、エネルギー、健康・公衆衛生、商業施設、交通・物流システム、農業・食料、政府施設、水道・下水システム、化学、緊急対応サービス、様々な社会、通信、金融サービス、NPO、重要な製造業
