POQA magazinePOQAがお届けするITお役立ち情報
2023年9月に警視庁が発表した「サイバー空間をめぐる驚異の情勢について」には、以下のような記載があります。
「ランサムウェアの感染被害状況。
令和4年上半期以降、高い水準で推移している。
特徴として二重恐喝による被害が多くを占め、また、暗号化することなくデータを窃取するなど、新たな手口も確認されている」
この「暗号化することなくデータを窃取する」攻撃手法のことを「ノーウェアランサム」と呼びます。
警視庁によれば、2023年1月から9月の間に、6件の被害報告があったとのことです。
2024年1月には、日本の市町村の委託を受けた企業がノーウェアランサムの攻撃を受け、個人情報を含む健康診断のデータが窃取されています。
今回は、このノーウェアランサムについて、ご説明をします。
ノーウェアランサムの攻撃工程
ランサムウェアとは、「攻撃者がデータを暗号化し、復元することと引き換えに身代金を要求する」というマルウェア、手口のことを言います。
それに対して、「ノ―ウェアランサム」とは、「データを暗号化することなく窃取したうえで、身代金を要求する」という手口です。
現在判明しているランサムウェアの手口では、以下の手順で攻撃が行われます。
| セキュリティの脆弱なポイント(VPNやリモートデスクトップ接続などが狙われる傾向)から、組織内のネットワークに侵入する。 ↓ ネットワーク内の管理者権限を取得し、データを窃取。 更に、組織内のデータを暗号化していく。 ↓ 顧客や社会に対して情報を公開すると脅迫し、身代金を要求する。 あるいは、詐取した情報をダークウェブにて違法に販売する。(販売する場合、身代金要求と平行することもあれば、身代金の要求をせずに販売のみ行う場合もある) |
管理者権限を取得するには、ネットワークに侵入した後
・パスワードの窃取
・設定ミスや脆弱性を探す
必要があり、実行・完了までの手順が多いことから、防御する側は攻撃を途中で検知し、防ぐことができました。
一方、暗号化を行わないノーウェアランサムであれば、管理者権限を奪う必要はありません。
攻撃工程が「データを窃取する」の一点になるため、防御側が攻撃を検知、遮断する難易度が上がります。
なぜ攻撃方法が変わったのか?
ノーウェアランサムは、ランサムウェアと比較して、攻撃者にとってメリットがあります。
①被害に気付きにくい
前段でもご説明しましたが、ランサムウェアと比較してノーウェアランサムの場合は攻撃完了までの工程が少ないです。
そのため、被害者に邪魔されずに、データの窃取を完了することができます。
②攻撃の効率が良い
ランサムウェアの場合、バックアップを取っていさえすれば業務を再開することができます。
そのため、現在のランサムウェア攻撃の場合は、「復号するから身代金を払え」という脅迫の次に「情報を公開してほしくなければ身代金を払え」と、「二重恐喝」することが一般的です。
ノーウェアランサムの場合は、この二重恐喝の一段階目を省略するため、攻撃者にとって効率的だと言えます。
③支払いに応じざるを得ない状況を作れる
ランサムウェアの攻撃を受けて暗号化されて業務がストップしてしまっている以上、被害組織は関係各所や社会に対して、被害を公表せざるを得ないケースがほとんどです。
企業にとっては、この時点で企業イメージが落ちてしまっているため、身代金支払いに応じるメリットが感じられないことがあります。
しかし、ノーウェアランサムの場合、データの暗号化による業務停止がないので、この段階では被害を公開する必然性はありません。
そのような状況で情報公開と引き換えに身代金支払いの要求を受けてしまうと、被害者にとっては、「今身代金を支払えば、穏便に事態を収拾できるのでは?」という判断があり得ます。
そのため、身代金の回収効率が上がります。
但し、身代金を支払ったからと言って、攻撃者が必ず情報を公開しないという確約はありませんし、二度三度と脅迫がある可能性もありますので、「身代金を支払うこと」が必ずしも情報を守ることにつながるわけではないので注意です。
ノーウェアランサムへの対抗策
ノーウェアランサムは、ランサムウェアと比較して、侵入・感染手段については変わりがありません。
継続して、
・VPN機器の対策
脆弱性の把握と速やかな修正
IP制限やロックアウト機能、多要素認証機能を活用すること
・セキュリティソフトを導入すること
・OSその他のソフトウェアは常に最新の状態にしておくこと
などが有効な防御手段です。
また、入り口の防御だけでなく、組織内部の監視も強化する必要があります。
組織内の通信の監視を行っている場合、仮に攻撃の瞬間に検知ができずとも、後から攻撃を受けたのかどうか、検証することができます。
仮に、「ノーウェアランサム攻撃を仕掛けた」という連絡があった場合でも、検証の結果攻撃を受けていない確証があるのであれば、自信を持って要求を拒否することができるでしょう。
しかし、もし組織内の通信の監視を怠っていた場合、要求が事実なのか虚偽なのか、それを判断することもできません。
また、情報を詐取された後に身代金の要求がなく、そのままダークウェブにて情報を販売されてしまう場合、自発的に攻撃に気づいて遮断するよりほかに、被害拡大を防ぐ手段はありません。
さいごに
皆さんの組織は、正しく守られているでしょうか?
犯罪者の手法は日々変化・進化し、全ての情報を得て、且つ体制を整えることを、本来業務と平行しながら行うのは至難の業です。
そのような時は、情報収集とセキュリティ対策について、外部委託することをご検討ください。
ランサムウェアとは?の詳細は、過去のこちらの記事から。
ゼロトラストってなんだっけ?と思ったあなたは、過去記事のこちら。
