ノーウェアランサムとは
ランサムウェアとは重要なデータを暗号化し、組織が要求された身代金を支払うまで復号化キーを攻撃者が所持することで大金を企業や個人に要求するものです。既に広く認知が進んでいるランサムウェアは、データの窃取を行ったあと、暗号化を行うことで、データの復号費用と、 重要なデータの公開をやめさせるための費用を請求する、いわゆる二重恐喝を行います。
以前はこれがランサムウェア攻撃の大半の手口でした。しかし最近データを暗号化しない新しいランサムウェアが世界的に増えていることがわかっています。これがノーウェアランサムです。そしてついに日本でもこのノーウェアランサムが確認され始めました。
2023年9月、警視庁より「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」が公開されました。公開された資料でノーウェアランサムについての被害が発生していることが触れられており、「データを暗号化する(ランサムウェアを用いる)ことなくデータを窃取し対価を要求する手口」であると説明しています。ノーウェアランサムは、暗号化のプロセスを行わずに動作します。その攻撃者は企業のシステムに不正アクセスし、機密データを流出させ、企業が身代金を支払わない限りそのデータを公開すると脅迫します。その目的は、被害者を恐喝することであり、一般的にはダークウェブ上で情報を販売または公開すると脅しをかけます。
ゼットスケーラー社の2023年春の分析では、昨年1年間でランサムウェア攻撃が40%増加した中で、暗号化を使わないランサムウェアのテクニックが最も注目すべきトレンドの1つであると指摘しています。この1年の間に、二重恐喝または暗号化なしのテクニックを使用する少なくとも25の新しいランサムウェアの種類が出現しました。
参照:令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について
Zscaler 2023 Ransomware Report Shows a Nearly 40% Increase in Global Ransomware Attacks
ノーウェアランサムが出現している理由
暗号化不要のランサムウェアが出現した理由は新しいセキュリティに適応したためと言えます。より新しく、より優れた海外の復号化ツールを前にして、暗号化ベースのランサムウェアは対応できなくなってきています。そうした状況を踏まえて、海外の攻撃者は新しいランサムウェア対策ツールを出し抜くために戦術をアップデートさせなければならなくなってきていました。
さらに、より優れたバックアップソリューションの出現により、企業は暗号化されたファイルをより簡単に復元できるようになりました。これらのバックアップ技術の多くはクラウド上にあり、企業は貴重なデータの安全なコピーを定期的に作成することができ、従来の暗号化ベースのランサムウェアからの復旧をたやすく行うことができます。その結果、攻撃者は、もはや復号化キーの代金を支払う必要のない企業に対する影響力として、ますますデータ流出に頼るようになってきています。
また、暗号化不要のランサムウェアは攻撃者にとって簡単であることも挙げられます。
暗号化を使わないランサムウェアが出現したのは単に攻撃者にとって簡単だからでもあります。攻撃者はもはや、重要な情報を暗号化するという、技術的スキルとソフトウェアエンジニアリングの専門知識を必要とする、手間と時間のかかるプロセスを経たり、サービスとしてのランサムウェアにサブスクリプション料金を支払ったりする必要がなくなってきたことも理由に挙げられます。
その代わりに、攻撃者は必要なデータをダークウェブ等に流出させるだけで、全体として同じ結果を得ることができます。
このような背景からノーウェアランサムが出現してきたといえます。
ノーウェアランサムウェアは気づかずに侵入している
暗号化ベースのランサムウェアの目的は、組織の重要なシステムを暗号化し、業務を妨害することで、支払い要求を通そうとします。
一方、暗号化を使用しないランサムウェアは、静かに攻撃を行います。業務を中断させることなくデータを抜き取り、組織は身代金の要求を受け取るまで攻撃を受けたことに気づかない可能性があります。
このような傾向は、企業がデータ侵害による風評被害などを避けるのに役立つ一方で、被害者が攻撃を公にする可能性を低くしています。その結果、サイバーセキュリティの機関がノーウェアランサムが発生していることに気づかず、拡散を阻止することが難しくなります。
ノーウェアランサムをどう対策するのか?
ノーウェアランサムの主な脅威は、組織の機密データが売られたり、公に暴露されたりする可能性にあります。解決策としては、データ保護とセキュリティ対策をビジネス全体で強化し、すべての機密データへの不正アクセスを予防することです。
サイバー脅威に対処するための第一歩は、自社の資産、システム、脆弱性を理解することです。従来の暗号化ベースのランサムウェアと暗号化なしの両方に対して安全を保つために、組織は情報システム、ポリシーの評価を実施する必要があります。この評価は、内部監査、サードパーティの専門家による外部監査、さらには専用のソフトウェアを使用した自動評価によって実施することができます。そしてシステムを最新の状態に保ち、安全を確保するためには、定期的にこれを実施する必要があります。
また、アクセス対策の徹底も有効です。サイバーセキュリティやインフラセキュリティ機構は、機密データや重要システムへのアクセスを制限するための対策を推奨しています。企業は、認証機能を組み込んだパスワードレス多要素認証を含め、フィッシングに強い仕組みを導入することを検討してみる必要があります。ロールとアクセス権限を監視・管理できるアイデンティティ・アクセス管理システムも有効です。漏洩した機密情報をダークウェブで監視するモニタリングサービスへの加入も検討し、危機に備えることもまた有効です。
最先端のツールを採用するのも大きな一手です。ランサムウェアに特化したものも、そうでないものも含め、機密データへのアクセスを防止する技術は数多く存在しているので、総合的にノーウェアランサムを対策していくのが望ましいです。併せて暗号化型のランサムウェアも同時に対策していく必要があります。そのため侵入検知製品、アンチウイルス製品、脆弱性管理製品、ランサムウェア特化型の検知製品、AI学習行動分析といった複数の製品や機能を併用していくことで同時にこれらの脅威に対応していくことが望ましいです。
こうした総合セキュリティ対策が求められる中で重要なのが、予防的措置がとれるDNSフィルタリング対策製品です。Heimdal統合対策セキュリティの中のDNSセキュリティという製品はエンドポイント端末のDNSクエリを精査して悪意がある接続を検出します。これによってフィッシング対策をはじめ、様々な次世代型攻撃を予防することができます。
Heimdalは統合型セキュリティ対策製品で、多くのセキュリティ製品を集めた製品群です。その中のDNSセキュリティはエンドポイントからブラウザ経由などでwebサイトにアクセスする際に接続前にそのドメインを検査してフィルタリングします。このフィルタはAIによって作成されており、毎週800,000以上の新しいアップデートを受信します。最新の情報によって悪意あるドメインを判別できるので効率的にエンドポイントの保護、予防を可能にします。
このようにDNSセキュリティはノーウェアランサム対策をはじめ、多くのサイバー脅威に対してエンドポイントを守る手始めとして最適な機能となっています。
製品詳細・お問い合わせ
製品のお問い合わせ・デモに対応いたします。
