エクストーションウェア攻撃に進化するランサムウェア攻撃
ランサムウェア対策といえば、少し前は、攻撃の入り口となるフィッシングメール、詐欺メール対策を強化すること。そしてデータの破壊・暗号化に備えるためのバックアップが重要とされた。もちろん、これはいまでも有効な対策であり欠かせない取り組みだ。
だが、近年のランサムウェアは暗号化だけでなく盗んだデータを公開すると脅す「暴露型ランサムウェア」に進化している。暴露型ランサムウェア(二重脅迫型ランサムウェアと呼ぶこともある)と従来型の違いは、標的のファイルやデータを暗号化して読めなくするだけでなく、それらを事前に盗み出しておいて、復号とデータ消去を引き換えに身代金を脅迫する点にある。
暗号化さえせず、重要データによる脅迫だけを行うランサムウェア攻撃も増えている。このような攻撃は、脅迫を目的とするエクストーションウェア(Extortionware)攻撃に分類されるものだが、ランサムウェアグループの変化を示すものといえる。
盗み出すデータは顧客・取引先の個人情報や役員のメールやメッセージの内容、財務データや機密情報などだ。2024年にカドカワが暴露型ランサムウェアの被害にあった事例では、役員のXアカウントが乗っ取られたこともあった。攻撃者は、盗み出したデータの証拠として、一部を脅迫文に含ませたり、GitHubやPastebinのようなパブリックなサイトに公開したりする。ランサムウェアグループによっては、専用の公開サイトを立ち上げている。
APT攻撃のように高度化するランサムウェア攻撃
暴露型ランサムウェアが示すのは、脅迫方法が高度かつ悪質になったことだけではない。以前は侵入し暗号化したら即座に感染をアピールしていた。暴露型では、侵入してからすぐにデータを暗号化するのではなく、脅迫に使えるデータを探し回り、外部に持ち出してから暗号化および脅迫を開始する。一連の作業は当然隠密裏に行われる。攻撃者のサーバーとの通信路も確保される。
これらの特徴は、国家支援型のAPT攻撃(サイバーキルチェーン)に通じるものがある。侵入(デリバリー)してから、エクスプロイトや横展開、遠隔操作といった段階を経ていることになる。
これは、一般的なRaaS(Ransomware as a Service)プラットフォームが、アフィリエイターに提供するシンプルなキットを使った攻撃ではない可能性も示唆する。かといって、特定の国家が支援しているとされるAPTグループが暴露型ランサムウェア攻撃にシフトしているかどうかまでは不明だ。北朝鮮系のAPTは金銭目的の金融犯罪やランサムウェア攻撃を行うことはあるが、国家支援型のAPTの主な目的は、諜報活動と有事の破壊工作である。身代金目的の優先度は低い。ただし、アサヒHDの事例では、犯人側からアサヒHDに対する脅迫、接触はないと発表されている。日本の対ロシア経済制裁への報復という可能性はあるものの、攻撃を行ったとされるQilinの今回の攻撃が、国家支援型攻撃であることを示す情報はない。
ランサムウェアおよびエクストーションウェアにどう対処するか
攻撃手法やツールが高度化しているので、ランサムウェアの対策・対応も相応なものにする必要がある。
といってもランサムウェアに対する基本的な対策に変わりはない。まずランサムウェアに感染しないための対策や予防措置には以下が考えられる。
1. フィッシングメールや詐欺メールへの対策強化
① 各種メールセキュリティ対策の導入
2. 従業員の教育・トレーニング
① セキュリティ研修
② 攻撃メール演習
3. 接続環境の対策強化
① MFA・リスクベース認証
② アクセス制御・最小権限の原則
③ ネットワーク装置の管理・アップデート
続いて、感染後の対応や復旧に備えるため、バックアップを中心とした対策も考える必要がある。
1. 重要データのバックアップ
① 3-2-1ルール(3つのコピー、2種類メディア、1か所のオフラインサイト)
2. 復旧のための演習・訓練
① 復旧手順・プロセスの作成
3. 出口対策の強化
① ログの統合監視
② SOC機能の強化
インシデント対応のポイントはバックアップ
ランサムウェアの多くは、フィッシングサイトに誘導され漏出したアカウント情報で侵入されるか、詐欺メール等で誘導された攻撃サイトによって感染させられるかのどちらかだ。メールセキュリティは入り口対策の基本となる。関連して、セキュリティアップデートの徹底、重要ファイル、アカウントのアクセス制御、適切なアプリやクラウド設定(ポスチャマネジメント)も欠かせない。
暗号化データの回復(復号)は、身代金の支払いや専門家による復号(解読)も選択肢ではあるが、バックアップデータによる復旧を確実にしておけば、身代金の支払いや犯人との交渉といったリスクやコストを回避できる。
バックアップは重要データだけでなく業務システムやサーバー・ネットワーク環境なども代替手段、バックアップ体制が必要だ。サービス停止を避けなければならない業務では、汚染システムおよびデータを隔離し、代替環境などで縮退運転や段階的な復旧をさせていくことになる。
バックアップは保存するだけでは意味がない。実に復元作業がうまくいくか、迅速に行えるかどうか。システムを復元させることが目的である。そのための演習、プロセスの確認・アップデートとセットで考えること。
ボリューム全体、システム全体のバックアップは、管理がしやすい半面、復旧に時間がかかる、部分復旧ができない(リストアが成功か失敗かの二択)といった問題が起きがちだ。手間やコストがかかっても、業務システムごと、データごとの細かいバックアップ、優先度をつけたバックアップを考えたい。
暴露型ランサムウェア・エクストーションウェア対策のポイント
対外業務が停止したり、顧客・取引先情報が漏洩した(可能性がある)場合、関係者への説明、当局への届け出、通報などの広報業務が発生する。暴露型ランサムウェアの場合、この優先度は高くなる。インシデント対応における外部連携や広報活動は、他のサイバー攻撃被害より重要かつ大きな負荷になるはずだ。
情報公開が遅れることは、市場やサービスの混乱を招き犯人側の脅迫に有利に働く。サービス停止のような英断を短時間で決定する必要もある。情報公開と関係者への連絡、外部連携を復旧作業と並行して進めなければならない。
情報の外部流出対策は、一般的にはDLP(Data Loss Prevention)と呼ばれるソリューションで、重要データのアクセスや外部への送信の監視を行う。EDRやSOCサービスなどによって、トラフィック監視と流出防止、異常検知および対応も強化する。アサヒHDの事例ではEDRが検知できなかった(正規アカウントの操作は異常検知になりにくい)という報告もある。SIEMでシステムログを横断的に監視する体制も有効だ(コストはかかる)。
流出したデータは、ほぼ回収不可能と考えるべきで、重要データはバックアップも含めて暗号化して保存しておくことも有効な対策となる。
暗号化は有効だが、開発済みで稼働中のシステムのファイルを暗号化したものに対応させることは簡単ではない。暴露型ランサムウェアで顧客情報や財務情報、社内文書などが漏洩・流出する被害は減らない現実がある。
窃取データが公開された場合の対処は?
拡散されたデータの回収はほぼ不可能だ。サーフェスウェブ上の公開データは、プロバイダーや運営者に削除依頼を地道に行うしかない。犯人側が脅迫などで接触してきた場合、犯罪者との交渉はいっさい拒否するというポリシーを貫ければ理想だが、データが公開、または販売されるリスクが発生する。
攻撃者との交渉は、専門の交渉人やプロフェッショナルな研究者、あるいは当局の人間にまかせることになるだろう。大手や上場企業では、ステークホルダーや社会に対する、対外的な発表や説明、管轄官庁との連携も必要となる。インシデント対応における広報および外部コーディネーション活動の体制を整え、前述のシステム復旧演習とともに対応プロセスの確認を行う。
犯人側は身代金が目的なので、金を払えばデータを本当に削除する可能性はゼロではない。身代金だけ受け取ってデータを削除しない犯行が続けば、だれも身代金を払うというオプションを選択しなくなる。犯罪行為にも最低限のモラルが発揮される。
以下に従来型のランサムウェアと暴露型ランサムウェアの対策・対応の違いをまとめた表を示すので参考にしてほしい。
参考:
STOPRANSOMWARE(CISA)
https://www.cisa.gov/stopransomware/ransomware-guide
