Information
SIPS Security Report

【配信日】 2020年12月3日

被害続出！
ランサムウェアによる日本企業の平均被害額1億2000万円にNISCが注意喚起

身代金要求ウイルスと呼ばれている【ランサムウェア】は、当レポートでも何度か注意喚起を行っているが更に進化して猛威を振るっている。
最近では「カプコン」のランサムウェアによる被害がニュースとして報じられたが、この事例からその進化の様子がうかがえる。

カプコンは11月2日に不正アクセスを受けたが、この攻撃の中にはファイルを暗号化するマルウェア【ランサムウェア】が存在していた。
このランサムウェアに感染するとファイルが暗号化されてしまい、同時に金銭を要求する脅迫文が表示される。
しかしサイバー攻撃者は事前に対象サーバのファイルを搾取していた。
カプコンは金銭要求を拒否したが、その後サイバー攻撃者により搾取した財務状況が記載された書類や社長以下社員の給与情報などの情報がダークウェブ上に公開された。

ウイルスやマルウェアはメール添付や不正サイトに誘導して感染させるという方法を取ることが多いが今回は対象サーバを事前にハッキングしてファイルを盗み、更にそのファイルを暗号化させて身代金を要求、拒否したら公開するという脅迫するという方法が取られている。

ランサムウェアの原型となる暗号化して金銭要求をするウイルスは1989年に発生していて、現在のランサムウェア(マルウェア)としては2016年頃から流行し始めた。
当初は悪性プログラムに感染させて金銭を要求するもので、ターゲットは無作為に選ばれていた。
ランサムウェアに感染するように誘導する方法で、罠にかかるターゲットを待つ形であり、感染したら暗号化されてしまうため、金銭を支払い暗号化されたファイルを元に戻してもらうのを待つか、暗号化されたシステムを諦めて再構築するか、のどちらかであった。

これが徐々に変化してきた。
脆弱性のあるシステムを検出して攻撃先を事前にハッキングし、暗号化対象のファイルを事前に搾取し、その後ファイルを暗号化して金銭を要求するという形に変わってきている。
金銭要求に応じなければ搾取されたファイルはネット上に公開されてしまうのである。

今まではランサムウェアで暗号化されても金銭要求に応じず、可能な限り早く安価にシステム復旧させるためバックアップを取ることが重要とされていたが、それも通用しなくなってきている。
暗号化の復元に対し金銭要求され、要求を拒めばネットに公開すると脅迫するという2段階の方法で金銭要求するのである。
バックアップによりシステムの復旧がされたとしても、サイバー攻撃者の要求を拒否しネットに公開されてしまうと様々な影響が発生して、結果として被害が出てしまうということである。

更に最近のランサムウェアを使った攻撃には変化がみられ、完全にターゲットを決めて実行されているのである。
標的型攻撃と同等の方法を使い、ターゲットのネットワークに侵入し、機密情報や重要情報が存在するサーバーを特定してそのファイルを搾取した上で暗号化させるのである。
これによって多額の金銭要求ができる大手企業を狙った攻撃が可能になり、成功すればその報酬も多額になると言うわけだ。

現在では、今まで同様に無作為に罠を仕掛けてランサムウェアに感染させる方法から、ターゲットを決めて感染させる方法まで様々なランサムウェアのサイバー攻撃が発生していて、その数は以前と比べようもないほど増加している。

米国サイバー対策企業クラウドストライク社の調査結果では、過去1年以内にランサムウエアによる攻撃を受けた日本企業は52%あり、その中の32％が身代金の支払いをしたとある。
支払をした企業のランサムウェアの身代金による平均支払額は【1億2000万円】を超えている。

カプコンのニュースは日本を代表する上場企業でありインパクトもあるが、中小企業であってもサイバー攻撃者のターゲットになることを忘れてはならない。

このような状況下で内閣サイバーセキュリティセンター(NISC)からランサムウェアに関するサイバー攻撃の注意喚起が発表された。

-----【内閣サイバーセキュリティセンターからの注意喚起】----------------------------------
2020年11月26日、内閣サイバーセキュリティセンターは、重要インフラ事業者等に向けてランサムウエアによるサイバー攻撃について注意喚起を行いました。
また、本件は、昨今、ランサムウエアによるサイバー攻撃が国内外の様々な組織で確認されていることを踏まえ、あらかじめ、予防策、感染した場合の緩和策、対応策などを検討しておくための注意喚起ですが、広く一般にも活用していただけるよう公開するものです。
----------------------------------------------------------------------------------
この注意喚起の中にも、最近のランサムウエアの特徴として【2段階の脅迫】【人手によるランサムウエア攻撃】について記載されており、更に対応策として以下4つの項目が挙げられているので参考にしたい。
【対応策】
1．ランサムウエアの感染を防止するための対応策(予防)
2．ランサムウエアによるデータの暗号化に備えた対応策(予防)
3．不正アクセスを迅速に検知するための対応策(検知)
4．迅速にインシデント対応を行うための対応策(対応・復旧)
※NISCからの注意喚起に関しては下記参考URLから確認できます。

もちろん対応策を実施するためには費用が発生するが、実際に攻撃を受け身代金の要求やシステム復旧などにかかる費用を考えれば安価な金額である。
日本は被害に遭わないと対策をしないと言われているが、一回攻撃を受けただけで企業存続の危機にもなり兼ねない。
セキュリティ対策は保険のようなものという考え方は既に過去の考え方であり、現在のインターネット社会には通用しない。

コロナ禍で多くの企業にも影響を与えている中でも、サイバー攻撃は止まらない。
むしろ増加の一途であり、企業の大小に関係なくサイバー攻撃を受ければ大きな被害が出てしまう事は間違いない。そうならないためにも、最低限のセキュリティ対策は必要不可欠である。
セキュリティ対策と企業存続を天秤にかけるような考え方はしないで頂きたい。

　<参考URL>
ITmedia：2020/11/30
カプコンは氷山の一角　狙われる日本企業、ダークネットで流出情報の取引も
https://www.itmedia.co.jp/news/articles/2011/30/news058.html

日本経済新聞：2020/11/26
身代金ウイルス、日本企業の支払額1.2億円　米社調査
https://www.nikkei.com/article/DGXMZO66664290W0A121C2X20000/

内閣サイバーセキュリティセンター：11/26
ランサムウェアによるサイバー攻撃について【注意喚起】
https://www.nisc.go.jp/active/infra/pdf/ransomware20201126.pdf