ランサムウェア被害件数は高止まり。2024年後半にさらに増加?

 毎週のように有名企業のランサムウェア被害が報告されています。下のグラフは警察庁に報告があったランサムウェアの被害件数で、2022年(令和4年)以降は半年ごとに100件以上が報告されています。警察庁が把握しているものだけでこの数字ですから、実際はもっと多いと考えていいでしょう。

企業・団体における被害の報告件数の推移(警察庁:令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について。以下同じ) ※なお、ノーウェアランサムとはランサムウェアによるデータの暗号化を行わず、摂取したデータの暴露で脅迫を行う手口

 2024年上半期(令和6年上半期)は128件と史上最悪の数字となっています。下半期の統計はまだ発表されていませんが、7月以降に企業が郵送やシステム管理などを委託した先でのランサムウェア被害が何件か報道されており、さらに被害件数が増えそうです。

ほとんどが二重脅迫で大企業が目立つ

 ランサムウェアの脅迫手口では二重脅迫がメジャーになってきました。二重脅迫とはデータやシステムを暗号化して使えなくする従来の手口に加えて、「金を払わないとデータを暴露するぞ」と脅迫するものです。2020年ごろから二重脅迫が増え始め、2024年上半期では75件中62件、約83%が二重脅迫となっています。ランサムウェアに感染した場合、ほとんどが「暴露するぞ」という脅しが来ると考えてもいいでしょう。

ランサムウェアの手口別報告件数と対価支払い方法

 警察庁は「ランサムウェアによって流出したとみられる事業者等の財務情報や個人情報等が、ダークウェブ上のリークサイトに掲載されていたことが確認されている」として、二重脅迫の手口が広がっているとして注意喚起しています。

 被害企業の規模をまとめたのが下の図です。

被害企業・団体の規模別/業種別報告件数

 大企業が114件中30件と26%を占めています。日本で大企業が占める割合はおおよそ0.3%程度ですから、圧倒的に大企業が多いことになります。
 これには二つの理由がありそうです。一つは大企業であるゆえに発表・報告せざるを得ないこと。大企業では顧客や取引先が多いことと社会的影響の大きさから、ランサムウェア被害を発表・報告する必要に迫られます。中小企業ではそもそも公表しないこともあると思われます。
 もう一つの理由は、犯罪グループ側が大企業を狙っていると思われること。規模の大きい企業になるほど巨額の脅しができること、また二重脅迫での「暴露するぞ」という脅しが大企業にとって大きなダメージになるためだと思われます。

 ただし中小企業の方が安全だというわけではありません。過去の被害事例でも、中小企業を足場として取引先の大企業が狙われるというパターンが複数ありました。いわゆるサプライチェーン攻撃は以前よりありましたが、ランサムウェアでは特に、中小企業を足場にして大企業を狙うパターンが増えているように筆者は感じています。

感染経路ではリモートデスクトップが増加

令和6年上半期のランサムウェア感染経路

 ランサムウェア感染経路をまとめたのが上の円グラフです。2024年上半期のアンケートで、VPN機器が22件、リモートデスクトップが17件となっています。最も多いのはリモートワークなどで使われるVPN機器ですが、最近の傾向としてリモートデスクトップ経由の感染が増えています。ここ数年の感染経路をまとめたグラフを作ってみました。

ランサムウェア被害の感染経路の割合

 令和3年(2021年)から令和5年(2023年)まで、リモートデスクトップ経由での感染は18~20%程度で、ランサムウェア感染のおおよそ2割程度でした。しかし令和6年上半期(2024年上半期)でのリモートデスクトップが占める割合は36%と、おおよそ2倍程度まで増えています。それに対してVPN機器が占める割合は減少傾向にあります。

 VPN機器からの割合が減少し、リモートデスクトップの割合が増えた理由は、二つ考えられます。一つはVPN機器に対して、企業の対策が進んだこと。ランサムウェア感染での経路として、VPN機器の脆弱性が悪用されていることは繰り返し報道・警告されており、企業が脆弱性対策に取り組んだ結果かもしれません。

 もう一つは、犯人が社員などの個人の端末からのリモートデスクトップ接続を狙っている節があることです。社員が使っているノートパソコンからのリモートデスクトップ接続では、甘いパスワードを使っている場合があるため、犯人にとっては狙いやすいターゲットになり得るのです。

 ちなみにVPN機器からの侵入では、脆弱性ではなくパスワードなどの認証情報が漏れた・推測されたことでの侵入もあります。ネットワーク大手・IIJのセキュリティ本部・秋良雄太氏によれば「VPN機器からの侵入は、脆弱性を突かれたのではなく、ブルートフォース(総当たり)攻撃や過去に漏えいしたアカウント情報を利用したと見られるケースが多くありました。一般的にVPN機器のファームウェアが最新でなかったことから、脆弱性が突かれた可能性を疑うケースもありますが、実際はアカウントの不正利用が原因であることも多いため、注意が必要です。」と述べています。

・IIJ サイバーセキュリティ最前線 インシデント対応の現場から IIJ.news Vol.184

SIM内蔵ノートパソコンへのリモートデスクトップ接続

 リモートデスクトップ経由だと発表された事例としては、2024年9月に起きた珈琲豆などの食品商社・石光商事のランサムウェア感染があります。11月に出されたプレスリリースによると、グループ社員のノートパソコンに対するリモートデスクトップ接続で攻撃を受けたと発表されています。

 具体的には「グループ会社のSIMカード搭載のノートパソコンに対して、リモートデスクトップ接続を介した不正アクセスによる攻撃後、当社及び国内グループ会社の一部サーバーにも不正にアクセスし、データの暗号化が行われたものと考えられます」としています。

 グループ会社で使われていたノートパソコンがSIM内蔵、つまり単体でネットに接続できるタイプだったのでしょう。このノートパソコンに対して、攻撃者がリモートデスクトップで侵入したことになります。詳細は発表されていませんが、ID・パスワードが甘かったなどの理由が考えられます。グローバルIPアドレスを割り当てられているとすれば、犯人にとっては攻撃しやすいターゲットだったのかもしれません。SIM内蔵のノートパソコンを使っている企業は警戒する必要があります。

 リモートデスクトップからの侵入経路としては、おおむね以下のようなルートが考えられます。

リモートデスクトップからの侵入経路

 まず考えられるのは標的型攻撃です。犯人が社員へフィッシングメールを送り、リモートデスクトップの認証情報(ID・パスワード等)を入力させる古典的手口です。またメールなどからマルウェアに感染させ、ブラウザに保存された認証情報やCookieを盗み、その認証情報を使って侵入するパターンもあります。

 さらに最近では「RDP構成ファイル」を使った標的型攻撃も行われています。RDP構成ファイルとはリモートデスクトップでの接続先、IDとパスワードなどをまとめたもので、開くと相手方のPCに簡単に接続できるものです。

 このRDP構成ファイルを添付した標的型攻撃について、アメリカのCISA(サイバーセキュリティ・社会基盤安全保障庁)が10月に警告を出しています。

・Foreign Threat Actor Conducting Large-Scale Spear-Phishing Campaign with RDP Attachments(CISA)

 それによるとRDP構成ファイルを添付した標的型攻撃メールが、日本を含む国の100を超える組織に対して送られているとのことです。マイクロソフトやクラウド事業者を装ったメールとして送られており、添付ファイルを実行させようとします。目的は諜報活動ではないかと分析されていますが、ランサムウェア攻撃にも悪用される可能性があるので注意が必要です。

 リモートデスクトップからの侵入経路としては、単純なパスワードリスト攻撃も考えられます。過去に流出・漏えいしたパスワードリストから、企業のリモートデスクトップ接続を狙うものです。安易なパスワードを狙う辞書攻撃もあるでしょう。

 警察庁ではランサムウェア攻撃が分業化されているとして以下のような分析図を出しています。

ランサムウェア等を提供する者と攻撃を実行する者(警察庁)

 この図の右上にある「IAB(認証情報等の売買者)」は、ID・パスワードなどの認証情報を収集して販売している業者です。攻撃者はこの業者から企業の社員のID・パスワードを購入し、リモートデスクトップ経由での侵入を狙っている可能性もあります。

 あわせて過去にはリモートデスクトップ自体の脆弱性を狙われた例もありました。Windowsアップデートを怠っているリモート用PCがどこかに残っていた場合、侵入ルートになる可能性があります。

パスワードの見直しと二要素認証ソリューション導入を

 これら最新のランサムウェア攻撃への対策としては、従来のセキュリティ対策に加えて、改めて以下のことを見直す必要があります。

  • VPNやリモートデスクトップでのパスワード管理と二要素認証 :まず重要なのはパスワードです。パスワードの使い回しをやめて桁数を増やすことを、改めて社員に徹底させる必要があるでしょう。加えて二要素認証を有効にするソリューションを導入することを勧めます。
  • VPN機器などの脆弱性対策:VPNなどネットワークに接続している機器・システムの脆弱性対策が重要です。脆弱性の情報をいち早くつかみ、パッチをできるだけ早くあてること。すぐにパッチをあてることが難しい場合は、開発企業が発表している緩和策(該当機能の無効化など)を実行する必要があります。またエンドポイントの端末での検知・隔離を行うEDR(Endpoint Detection & Response)など「侵入の検知」を早めるソリューションの導入を検討したほうがいいでしょう。
  • 社員が持つノートパソコンなど端末の安全強化:言い尽くされていることではありますが、クライアントのセキュリティ対策が欠かせません。特にSIM内蔵のノートパソコンを社員に持たせている場合は、ゼロトラストを前提としたセキュリティ対策と侵入検知が必要でしょう。

 大企業だけではなく、中小企業や個人事業主も上記の対策を実行する必要があります。中小企業や個人事業主を足場として、大企業を狙ってくるからです。特に大企業からの委託事業を受けている企業は、できるだけ早く対策を強化することを勧めます。