情報セキュリティ10大脅威の1位は「ランサムウェアによる被害」だが……
アカマイ・テクノロジーズ合同会社は2月8日、企業内セキュリティ担当者を対象とした「脅威分析ウェビナー 継続する標的型ランサムウェア攻撃のアップデート」を行い、主に現在の脅威動向と対策について解説を行った。
アカマイ・テクノロジーズ合同会社シニアプロダクトマーケティングマネージャーの金子春信氏
同社シニアプロダクトマーケティングマネージャーの金子氏は、ランサムウェア攻撃の悪質化について触れた。昨年、徳島県の半田病院の電子カルテシステムがランサムウェア「LockBit 2.0」によって攻撃され、8万5000人の電子カルテ情報にアクセスできなくなる事件があった。このような事件は日本だけではなく欧州や米国でも複数の病院/ヘルスケア組織が被害を受けている。
このように、システムの早期復旧のために脅迫金を支払わざるを得ない相手を狙う非常に悪質なケースが多数見受けられる。金子氏はJPCERT/CCの「侵入型ランサムウェア攻撃を受けたら読むFAQ」を紹介し、一読を勧めた。
ランサムウェアによる脅威は、情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威」において、組織を標的とした攻撃のランキングでは1位になっている。
以前のランサムウェアは、単にファイルを暗号化し身代金と引き換えに復号化キーを渡すスタイルだったが、現在はファイルそのものを事前に犯罪者側に転送し、機密情報の暴露を行うと脅迫行為を行う二重脅迫になるという。
現在のランサムウェア攻撃は標的型に加え、多額の脅迫金を得るために手を変え品を変えて脅迫行為を行う
一方、金子氏は「ランサムウェアは最終的な収益の手段」と指摘する。先のIPAの情報セキュリティ10大脅威の2位は「標的型攻撃による機密情報の窃取」だ。かつての攻撃はランサムウェアを無差別にばら撒いて引っ掛かった人からお金を取るというスタイルだったが、現在は事前に周到に情報収集をしたうえで多額のお金を要求する(Big Game Hunting:大物狙い)標的型ランサムウェアに変化している。
また、3位のサプライチェーンの弱点を悪用した攻撃に対して、米IT管理サービス企業のKaseyaが標的になった事件を挙げた。Kaseyaはリモートでシステムの管理を行うソフトを開発しており、このソフトを利用していたMSP事業者に認証バイパスの脆弱性を突いた攻撃を行った。結果として信頼しているMSP事業者からの通信によってエンドユーザーに不正なスクリプト経由でランサムウェアを感染させ、Kaseyaに対して解除コードと引き換えに身代金を要求している。
サプライチェーン攻撃はエンドユーザー側からは防御しにくい。Kaseyaのケースでは1つの脆弱性で1500社に上る被害が発生した
4位の「テレワーク等のニューノーマルな働き方を狙った攻撃」も警視庁のレポートによれば、VPN機器とRDPに関する攻撃を足掛かりにしてシステムに侵入するという。
6位の「脆弱性対策情報の公開に伴う攻撃」に関しては、昨年のランサムウェア動向レポートから既知の脆弱性が繰り返し使われていることが分かる。7位の「修正プログラムの公開前を狙う攻撃(ゼロディ攻撃)」に関しては、「Log4j」の脆弱性を悪用したランサムウェアが複数確認されている。
ランサムウェア被害に至る裏では、既知の脆弱性やリモート接続、サプライチェーン攻撃を足掛かりにシステムに侵入していることが分かる。ランサムウェア被害に繋がる脅威はIPAのセキュリティ10大脅威の中で5つリストアップされており、これらを包括的に対処しなければランサムウェア被害という結果を生み出すことになる。
2018年に発見され2019年に修正されているVPN認証情報漏洩事例は3年経過した現在も進行中である。全てのセキュリティパッチを早急に適用している企業は少ない
