マルウェアによる攻撃は増加しており、特にランサムウェアによる被害は日々世間を騒がせている。マルウェアによる情報漏えいやランサムウェアによる業務の停止は、企業に大きなダメージを与える。業種によっては人命にも関わる深刻な事態を引き起こす。侵入前提の対策が一般的となった現在は、マルウェアの水平移動の阻止が重要となっている。

そこで今回は、マルウェアの現状と効果的な対策を紹介する。

とどまるところを知らない企業の脅威としてのランサムウェア

ランサムウェアは現在、数あるサイバー攻撃の中で最も注意すべき脅威となっている。IPA(情報処理推進機構)が毎年公開している「情報セキュリティ10大脅威」の2023年度版においても、「ランサムウェアによる被害」は3年連続で組織向けの脅威の1位にランクインしている。

ランサムウェアはマルウェアの一種だが、感染したPCにあるファイルを暗号化して使えないようにして、元に戻す(復号)ために“身代金”を要求する。近年は共有フォルダにあるファイルも暗号化し、共有しているメンバーの業務も停止させたり、バックアップリポジトリも暗号化して復旧を困難にさせたりするなど、より悪質化している。

ランサムウェアの被害を受ける企業も多く、Illumio(イルミオ)が発表した2022年の調査では76%の組織が過去2年間にランサムウェアの攻撃を経験している。また、ランサムウェアのインシデントの70%は、業務の中断が数日以上にわたっていることが判明している。特に製造業や医療機関で被害が多くみられた。

これらの業種はランサムウェアにより業務が停止してしまうと、大きな損失が発生したり、人命に関わる影響を受けたりするため、身代金を支払ってしまうことが多い傾向にある。サイバー攻撃者は、それを見越してランサムウェア攻撃を行っていると考えられる。

ただし、身代金を支払ったとしても、暗号化されたファイルのすべてを復号できるとは限らない。それどころか、「身代金を払ってくれる会社」と認識され、その情報がサイバー攻撃者間で共有されて、繰り返し被害に遭う可能性が高い。

感染手法についても、以前はメールの添付ファイルや、メールから誘導されるサイトから感染させる手法がほとんどであったのが、近年は別のサイバー攻撃と組み合わせるケースが増えている。

特に目立つのが、不正アクセスなどにより企業の重要な情報を盗み出す際に、ランサムウェアを設置していくケースだ。サイバー攻撃者は、自身が運用する“暴露サイト”に盗み出した情報の一部を載せ、「身代金を支払わないと情報を公開する」と脅す。いわゆる“二重脅迫”が常套手段となっている。

ランサムウェア攻撃が増加した背景には、サイバー犯罪者たちの闇市場も関係していると言われる。前述の10大脅威の10位に新たにランクインした「犯罪のビジネス化(アンダーグラウンドサービス)」がまさにそれである。最近はランサムウェア攻撃がサービスとして提供されており、サイバー攻撃の初心者であってもランサムウェアを作成して、攻撃を行って受け取った身代金の管理まで行える。

こうしたサービスを利用してランサムウェア攻撃を行う「サイバー攻撃初心者」が増えている。また、サイバー攻撃者も最近はROI(投資対効果)を重視するようになっており、その観点でランサムウェアは非常に効率が良い。ランサムウェアによるサイバー攻撃が増加しているのは、これらが理由と考えられる。

  • 増加するマルウェア感染:赤の線グラフ 引用:IPAの届出状況

ラテラルムーブメントを阻止する難しさ

ランサムウェアを含むマルウェアに感染する経路は、9割が電子メールといわれている。これに続くのが脆弱性を悪用した侵入であり、じわじわと増加している印象がある。メールによる侵入の場合は、メールの受信者にマルウェアを実行させる必要がある。これに長けているマルウェアが「Emotet」である。

Emotetは非常に多くの企業を感染させたマルウェアであり、活動と休止を繰り返している。しばらく休止状態であったが、2023年3月に活動が活発化しており、IPAをはじめさまざまな機関が注意喚起を発表している。

また、手法をこまめに変更することも特徴となっている。代表的な手法は、WordやExcelのファイルを添付し、メールの本文にマクロを有効にするよう記載するものだ。添付ファイルを開いてマクロを有効にすると感染する。ただし、この手法は以前からある。

Emotetで最も特徴的なことは、感染したPCからOutlookやGmailなどのメール履歴を取得し、その差出人や文面を次のステップのメールに悪用することである。実際にビジネスで使われたメールを再利用するため、受信者が送信者を信じて添付ファイルを開いてしまうことが多い。

感染したマルウェアは、ネットワークの把握とドメインコントローラーの発見、そしてそのための水平移動(ラテラルムーブメント)を行う。ネットワークの把握は、重要なデータが格納されているサーバを見つけるためであり、ドメインコントローラーの発見はマルウェア自身の権限を昇格するためである。そのために企業ネットワーク内を移動していくことが水平移動である。

多くの企業は、これまで侵入させないための“入口対策”に注力しており、企業ネットワークの状況を把握できない。マルウェアは企業ネットワークを自由に移動し、特権を取得した上で重要な情報にアクセスして盗み出す。なお、こうした移動はC&Cサーバを介して攻撃者が指示したり、追加のマルウェアをダウンロードさせたりする。二重脅迫におけるランサムウェアも、C&Cサーバから送られる。

常識で考えれば、従業員が自分のPCから隣のPCにアクセスすることはほとんどないため、異常な行動であると気づくことができる。しかし、企業ネットワークが可視化されていない場合、こうした行動に気づくことができない。また、システムの潜在的な弱点を特定し、攻撃者の動きを監視することが難しくなってしまう。

また、オープンなネットワークポートの多さも課題の一つである。一般的に使用されるポートが開放されたままだと、マルウェアが急速に拡散し、組織を乗っ取るための経路に悪用されてしまう。

そして、プロアクティブなセキュリティ防御の欠如も大きな課題である。検出型のソリューションに依存すると、攻撃を阻止するのに時間がかかりすぎることが分かっている。

  • ラテラルムーブメントのイメージ