情報セキュリティの選りすぐりの技術と信頼を届けます
SIPSセキュリティレポート 2020年12月3日号
***************************************************************
被害続出!ランサムウェアによる日本企業の平均被害額1億2000万円にNISCが注意喚起
***************************************************************
身代金要求ウイルスと呼ばれている【ランサムウェア】は、当レポートでも何度か注意喚起を行って
いるが更に進化して猛威を振るっている。
最近では「カプコン」のランサムウェアによる被害がニュースとして報じられたが、この事例からその進化
の様子がうかがえる。
カプコンは11月2日に不正アクセスを受けたが、この攻撃の中にはファイルを暗号化するマルウェア
【ランサムウェア】が存在していた。 このランサムウェアに感染するとファイルが暗号化されてしまい、
同時に金銭を要求する脅迫文が表示される。
しかしサイバー攻撃者は事前に対象サーバのファイルを搾取していた。
カプコンは金銭要求を拒否したが、その後サイバー攻撃者により搾取した財務状況が記載された
書類や社長以下社員の給与情報などの情報がダークウェブ上に公開された。
ウイルスやマルウェアはメール添付や不正サイトに誘導して感染させるという方法を取ることが多いが
今回は対象サーバを事前にハッキングしてファイルを盗み、更にそのファイルを暗号化させて身代金
を要求、拒否したら公開するという脅迫するという方法が取られている。
ランサムウェアの原型となる暗号化して金銭要求をするウイルスは1989年に発生していて、現在の
ランサムウェア(マルウェア)としては2016年頃から流行し始めた。
当初は悪性プログラムに感染させて金銭を要求するもので、ターゲットは無作為に選ばれていた。
ランサムウェアに感染するように誘導する方法で、罠にかかるターゲットを待つ形であり、感染したら
暗号化されてしまうため、金銭を支払い暗号化されたファイルを元に戻してもらうのを待つか、暗号
化されたシステムを諦めて再構築するか、のどちらかであった。
これが徐々に変化してきた。
脆弱性のあるシステムを検出して攻撃先を事前にハッキングし、暗号化対象のファイルを事前に
搾取し、その後ファイルを暗号化して金銭を要求するという形に変わってきている。
金銭要求に応じなければ搾取されたファイルはネット上に公開されてしまうのである。
今まではランサムウェアで暗号化されても金銭要求に応じず、可能な限り早く安価にシステム
復旧させるためバックアップを取ることが重要とされていたが、それも通用しなくなってきている。
暗号化の復元に対し金銭要求され、要求を拒めばネットに公開すると脅迫するという2段階の
方法で金銭要求するのである。
バックアップによりシステムの復旧がされたとしても、サイバー攻撃者の要求を拒否しネットに公開
されてしまうと様々な影響が発生して、結果として被害が出てしまうということである。
更に最近のランサムウェアを使った攻撃には変化がみられ、完全にターゲットを決めて実行されて
いるのである。
標的型攻撃と同等の方法を使い、ターゲットのネットワークに侵入し、機密情報や重要情報が
存在するサーバーを特定してそのファイルを搾取した上で暗号化させるのである。
これによって多額の金銭要求ができる大手企業を狙った攻撃が可能になり、成功すればその
報酬も多額になると言うわけだ。
現在では、今まで同様に無作為に罠を仕掛けてランサムウェアに感染させる方法から、ターゲットを
決めて感染させる方法まで様々なランサムウェアのサイバー攻撃が発生していて、その数は以前と
比べようもないほど増加している。
米国サイバー対策企業クラウドストライク社の調査結果では、過去1年以内にランサムウエアによる
攻撃を受けた日本企業は52%あり、その中の32%が身代金の支払いをしたとある。
支払をした企業のランサムウェアの身代金による平均支払額は【1億2000万円】を超えている。
カプコンのニュースは日本を代表する上場企業でありインパクトもあるが、中小企業であってもサイバー
攻撃者のターゲットになることを忘れてはならない。
このような状況下で内閣サイバーセキュリティセンター(NISC)からランサムウェアに関するサイバー攻撃
の注意喚起が発表された。
-----【内閣サイバーセキュリティセンターからの注意喚起】----------------------------------
2020年11月26日、内閣サイバーセキュリティセンターは、重要インフラ事業者等に向けてランサム
ウエアによるサイバー攻撃について注意喚起を行いました。
また、本件は、昨今、ランサムウエアによるサイバー攻撃が国内外の様々な組織で確認されている
ことを踏まえ、あらかじめ、予防策、感染した場合の緩和策、対応策などを検討しておくための注意
喚起ですが、広く一般にも活用していただけるよう公開するものです。
----------------------------------------------------------------------------------
この注意喚起の中にも、最近のランサムウエアの特徴として【2段階の脅迫】【人手によるランサムウエ
ア攻撃】について記載されており、更に対応策として以下4つの項目が挙げられているので参考にしたい。
【対応策】
1.ランサムウエアの感染を防止するための対応策(予防)
2.ランサムウエアによるデータの暗号化に備えた対応策(予防)
3.不正アクセスを迅速に検知するための対応策(検知)
4.迅速にインシデント対応を行うための対応策(対応・復旧)
※NISCからの注意喚起に関しては下記参考URLから確認できます。
もちろん対応策を実施するためには費用が発生するが、実際に攻撃を受け身代金の要求やシステム
復旧などにかかる費用を考えれば安価な金額である。
日本は被害に遭わないと対策をしないと言われているが、一回攻撃を受けただけで企業存続の危機
にもなり兼ねない。
セキュリティ対策は保険のようなものという考え方は既に過去の考え方であり、現在のインターネット
社会には通用しない。
コロナ禍で多くの企業にも影響を与えている中でも、サイバー攻撃は止まらない。
むしろ増加の一途であり、企業の大小に関係なくサイバー攻撃を受ければ大きな被害が出てしまう
事は間違いない。そうならないためにも、最低限のセキュリティ対策は必要不可欠である。
セキュリティ対策と企業存続を天秤にかけるような考え方はしないで頂きたい。
---------------------------------------------------------------------------------
<参考URL>
ITmedia:2020/11/30
カプコンは氷山の一角 狙われる日本企業、ダークネットで流出情報の取引も
https://www.itmedia.co.jp/news/articles/2011/30/news058.html
日本経済新聞:2020/11/26
身代金ウイルス、日本企業の支払額1.2億円 米社調査
https://www.nikkei.com/article/DGXMZO66664290W0A121C2X20000/
内閣サイバーセキュリティセンター:11/26
ランサムウェアによるサイバー攻撃について【注意喚起】
https://www.nisc.go.jp/active/infra/pdf/ransomware20201126.pdf
***************************************************************
■SIPSで確認された日本に対するサイバー攻撃トピック
***************************************************************
【要注意】ダークウェブにFortinet
VPNの脆弱性が存在するIPアドレスが流出!
流出した情報は全体(世界中)で49,577個あり、日本のIPアドレス5470個が存在。
該当するVPN機器の脆弱性を突けば内部情報が搾取可能。
SIPSでは該当するIPアドレスリストを入手しましたので心当たりのある方はお問合せ下さい。
<参考URL>
Yahoo
NEWS:2020/11/24
Fortinet製SSL-VPNの脆弱性にパッチ未適用のリスト約5万件が公開される。日本企業も含む。
https://news.yahoo.co.jp/byline/ohmototakashi/20201124-00209286/
毎日新聞:2020/11/27
警察庁の端末1台に外部から不正アクセス46回 情報流出は確認されず
https://mainichi.jp/articles/20201127/k00/00m/040/405000c
Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved