サイバー攻撃
ノーウェアランサムとは?新種のランサムウェア手口と対策について最新情報を解説
Written by 夏野ゆきか
SEとして自動車業界/旅行業界の開発・保守・運用を経験後、フリーランスライターとして独立。IT系メディアに関するコラムや地域情報、エンタメなどの記事を執筆。
目 次
はじめに理解したい「ランサムウェア攻撃の変遷」
ノーウェアランサムとは?2023年9月に登場した新たな手口
ダークウェブへの販売を目的とする、最新のランサムウェア攻撃
海外におけるノーウェアランサムの被害事例
2023年「従来のランサムウェア被害件数」も、引き続き高水準で推移
ノーウェアランサムに有効な「セキュリティソリューション」とは
ノーウェアランサムにも有効な「4つの事前対策」
まとめ
ノーウェアランサムとは、「データの暗号化」を行わない、新たなランサムウェア攻撃手法の1つです。
「暗号化」を行わず、盗んだデータの公開・ばらまきを対価に身代金を要求するため、「より少ない工数で手軽に行えるランサムウェア攻撃」として、今後被害の増加が危惧されています。
2023年以降、国内でもすでに6件の被害が報告されていることから、改めて企業・組織は「ノーウェアランサム」及び「通常のランサムウェア攻撃」への対策を、見直す必要があるでしょう。
▼この記事をまとめると
- ノーウェアランサムとは、「データの暗号化」を行う工程を省くことで、効率化に特化した新たなランサムウェア攻撃手法
- 暗号化を行わないことで、挙動が検知されづらくなる(発見しづらい)という特徴もある
- 「ファイル暗号化」「企業への金銭要求」どちらもせず、データ自体をダークウェブで販売して金銭を得る、新たなランサムウェアの手口も発生
- 2023年度以降、通常のランサムウェア攻撃も一貫して猛威をふるっている
- LANSCOPEのセキュリティソリューションでは、最新のランサムウェア攻撃にも対策が可能
「ノーウェアランサムとは何か?」「最新のランサムウェア攻撃の動向を知りたい」という方は、ぜひご一読ください。
また、弊社では最新のランサムウェア攻撃に対応可能な、セキュリティソリューションを提供しています。ぜひ以下より「3分でわかる資料」をご活用ください。
はじめに理解したい「ランサムウェア攻撃の変遷」
はじめに、ランサムウェア攻撃における「攻撃手法の変遷」について見ておきましょう。
・日本で主流とされる従来の「ランサムウェア攻撃」が①②の手口、
・今回紹介する、日本で新たに報告された「ランサムウェア攻撃」が、③④の手口
となります。
①最初期 | ファイルを暗号化、復元を条件に金銭を要求(身代金は被害企業からもらう) |
---|---|
②主流な攻撃 | ファイルを暗号化 + データのバラまきを条件に、二度の身代金支払いを要求する「二重恐喝」(身代金は被害企業からもらう) |
③最新の攻撃1 | ファイルを暗号化せず、データの窃取のみ。データのバラまきを条件に身代金を要求(身代金は被害企業からもらう) |
④最新の攻撃2 | ファイルの暗号化も、被害企業の恐喝もしない。盗んだデータ自体をダークウェブで販売する(被害企業のデータを購入する、第三者から金銭を取得) |
この記事では「③ノーランサムウェア」「④ダークウェブの販売を目的とするランサムウェア」について、詳しく解説を行います。
ノーウェアランサムとは?2023年9月に登場した新たな手口
ノーウェアランサムとは、「データの暗号化」を行わず、身代金要求を行う新たなランサムウェア攻撃の手口です。
データを暗号化せず、ターゲットのデータ公開・ばらまき等と引き換えに身代金を要求します。暗号化しない特徴から、警察庁より「ノーウェア(非暗号化型)ランサム」と名づけられました。
ノーウェアランサムによる犯行は、海外ではこれまでも被害が報告されていましたが、日本国内での発見は2023年が初めてとなります。従来のランサムウェア攻撃に変わり、今後主流になる可能性もあるなど、国内組織は十分に警戒する必要があるでしょう。
従来のランサムウェア攻撃とノーウェアランサムの違い
先述の通り、従来のランサムウェア攻撃とノーウェアランサムの明確な違いは「データの暗号化」をするか・しないかです。
従来のランサムウェア攻撃は、企業のシステムへ侵入しデータを暗号化することで、データを使用できなくする犯行です。「データの復旧」を対価に、高額な身代金要求を行うことが一般的でした。
また近年では、データの暗号化解除に加え、盗んだデータのばらまきと引き換えに、追加で身代金を要求する「二重恐喝(ダブルエクストーション)」も頻繁に見られています。
一方、ノーウェアランサムは、「二重恐喝」の手口のうち、データの暗号化の手順を飛ばし、最初からデータの公開と引き換えに身代金を要求する手口です。
出典:警察庁|令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について(令和5年9月21日)
警察庁の報告によると、国内では2023年の上半期(1〜6月)にかけて、既に6件の被害が報告されており、今後被害の増加が懸念されています。
効率的なノーウェアランサムは、今後さらに増加する可能性も
ノーウェアランサムは、従来のランサムウェア攻撃のように「データの暗号化」を行いません。そのため、「データを暗号化する工程」を削減し、1度の攻撃に必要な工数を減らせることが大きなポイントです。
一般的なランサムウェア攻撃の方法は、まず攻撃者がVPN機器やリモートデスクトップなどの脆弱性を利用し、ネットワークへ侵入。その後「権限昇格」を繰り返し、データの暗号化を行います。
「権限昇格」のためには、パスワードの窃取、設定ミスや脆弱性を利用してシステムの管理者権限を取得する必要があり、実行までの過程が多いことや、攻撃を検知されやすくなる等のリスクがありました。
この点、ノーウェアランサムであれば、データの暗号化が不要な分、管理者権限を奪う手間が省け、より少ない工数で効率的に攻撃を仕掛けることが可能です。また、そもそもデータの暗号化を行わないことにより「暗号化の不備(暗号化を十分に実行できない)」や「企業のバックアップ対策」によって、攻撃の効果を無効化されるリスクも軽減できます。
このようなメリットから、ノーウェアランサムによる被害件数は、今後ますます増加する可能性が示唆されています。
ダークウェブへの販売を目的とする、最新のランサムウェア攻撃
ノーウェアランサム以外にも、「データの暗号化」や「身代金の要求」を行わず、データの不正入手のみを行う「新種のランサムウェア攻撃」手法が報告されています。
この新たなサイバー攻撃では、攻撃者はランサムウェア攻撃にて入手した機密情報をダークウェブ上で販売し、攻撃のターゲットではなくデータを必要とする第三者から、金銭を獲得することを目的とします。
実際、日本の大手ITメーカーを標的に、入手したデータを販売目的で使用する、新種のランサムウェア攻撃が、2023年9月に発生しました。
具体的には「Ransomed.vc」と名乗るハッカー集団が、国内ITメーカーのシステムをハッキングし、データを盗んだと主張。
社内システムログインページのスクリーンショット、ベンチマークの詳細を概説するPowerPointの社内プレゼンテーション資料、複数のJavaファイルなど、同社の保有する「約6,000個のファイルにアクセス権限」を保有していると、供述しています。
出典:cyberdaily.au|Ransomed.vc group claims hack on ‘all of Sony systems’
▼Ransomed.vcからの脅迫文
We have successfully compromissed all of ■■■■ systems. We wont ransom them! we will sell the data. due to ■■■■ not wanting to pay.
(私たちはすべての ■■■■ システムを侵害することに成功しました。私たちは身代金を要求しません!データを販売いたします。■■■■ が支払いたくないため。)
出典:https://www.cyberdaily.au/commercial/9600-ransomed-vc-group-claims-hack-on-all-of-sony-systems
報告によると、身代金の要求は一切なく、攻撃の目的はデータの不正入手と販売であるとみられています。データの価格は明示されていませんが、Ransomed.vcは連絡先情報を提供し、データの取引を可能にしているようです。
大手ITメーカーは、社内検証用サーバー1台に不正アクセスの形跡はあるが、業務に大きな影響を与えるほどではないと発表しています。既に該当のサーバーを社内ネットワークからは切断し、より詳しい状況を調査中です。
この「新種のランサムウェア攻撃」が今後どれだけ流行するかは、不正入手したデータがダークウェブでどれだけ需要があるか(販売できるか)に依存するでしょう。従来のランサムウェアと対策内容に大きな差異はないため、企業は引き続き入念な対策の実施が必要となります。
海外におけるノーウェアランサムの被害事例
ノーウェアランサムは、国内では2023年度以降から見られた手口ですが、海外ではすでに2〜3年前から被害が報告されています。
ここでは、実際の海外における「ノーウェアランサムの被害」を紹介します。
「Clop」がアメリカ政府に仕掛けた、暗号化しないランサムウェア攻撃の事例
2023年5月、ランサムウェアのサイバー攻撃集団「Clop」が、米国政府で利用されているファイル共有サービスの脆弱性を悪用し、ランサムウェア攻撃を実行した事例が報告されました。既に米国では複数の政府関連機関が、Clopによるランサムウェア攻撃を受けています。
この攻撃で特徴的だったのが、一般的なランサムウェア攻撃の常套手口である「データの暗号化」が行われず、窃取した情報のみを脅迫材料として使用する手法が採用された点です。
この手法は「ノーウェアランサム」に該当し、データの暗号化は実施されず、正規ツールや正規アカウントを悪用した攻撃フェーズが中心になりました。その結果、ランサムウェア攻撃の検知・対策が難しくなり、被害者が攻撃に気づきにくくなる仕組みです。
被害の具体的な額は公表されていないものの、被害対象となった製品のサーバーは、世界で2,000台強、法人数は1,000社を超えるとみられます。
この事態を受けCISAは、利用者に対して、ファイル共有サービス環境へのHTTP、HTTPSトラフィック無効化を呼びかけ。サイトへのアクセスを制限してセキュリティ向上を図ると共に、利用バージョンアップデートの実施を促しました。
2023年「従来のランサムウェア被害件数」も、引き続き高水準で推移
ノーウェアランサム等、新たなランサムウェア攻撃が国内でも発見される一方、「従来ランサムウェア攻撃」の発生件数も、引き続き高い水準で推移しています。
令和5年上半期、警察庁に報告された「ランサムウェア攻撃による企業・団体への被害件数」は103件を記録。令和4年上半期以降、引き続き高い水準で推移しています。
出典:警視庁|令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について
また、企業・団体等の規模別に見ると内訳は、大企業は30件、中小企業は60件と規模を問わず発生しています。業種別に見ると、製造業が34件、サービス業が16件、卸売・小売業が15件など、業種も問わず、被害の発生が報告されている状況です。
「二重恐喝」の犯行が78%、感染経路の7割はVPN
ランサムウェア攻撃被害件数103件のうち、手口を確認できたものは83件でした。そのうちの65件は「対価を支払わなければ当該データを公開する」など、全体の78%が二重恐喝の手口であったと判明しています。
出典:警視庁|令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について
また、「感染経路」は有効な回答49件のうち、VPN機器経由が35件で全体の71%、リモートデスクトップ経由が5件で10%を占めています。令和4年に引き続き、ネットワークを介しての侵入が目立ちました。
出典:警視庁|令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について
感染経路は、近年増加したテレワークなどで使用される機器や、脆弱性のある認証情報を悪用したと考えられる攻撃が、全体の82%と大半を占めています。
これらの結果を受けて
・国内では通常のランサムウェア攻撃も、引き続き猛威をふるっている
・大企業・中小企業など、規模を問わず被害にあっている
・ランサムウェア攻撃の78%が「二重恐喝」である
・感染経路では「VPN」「リモートデスクトップ」の対策が特に重要
であることがわかります。
企業・組織が取り組みたい「VPNのセキュリティ対策」については、以下の記事もご参考ください。
ノーウェアランサムに有効な「セキュリティソリューション」とは
ノーウェアランサムを中心に、新たなランサムウェア攻撃被害について解説してきました。
「暗号化」の過程を行わないノーウェアランサム攻撃では、通常のランサムウェア攻撃に有効な「エンドポイントに侵入後の”不審な挙動”をキャッチし、検知対応する(事後対応)」という、EDR製品での対応が、困難となる可能性があります。
この懸念を払拭するには
1.そもそもの侵入を防ぐ、高性能な「アンチウイルス(EPP)」の導入
2.VPN経由など、ネットワーク侵入時に脅威を検知する「NDR」の導入
が有効です。ただし、“従来のランサムウェア攻撃を防御する要”としては、
3.エンドポイント侵入後のランサムウェアを検知する「EDR」の導入
も欠かすことができません。
弊社の提供する、1~3 に該当するセキュリティソリューションをご紹介します。
1.EPP・アンチウイルスによる「ランサムウェア攻撃の事前防御」
ランサムウェア攻撃の侵入をブロックするため、まずは高性能なアンチウイルスの導入が必要です。
仮にデータを暗号化しないノーウェアランサムであっても、優秀なアンチウイルスを導入することで、そもそもPCやサーバーへ侵入することを防御できます。
LANSCOPE サイバープロテクションでは、人工知能を仕様した高精度な「次世代型アンチウイルス」として、Deep Instinct(ディープインスティンクト)を提供しています。
「ディープラーニング」機能で未来を予測し、従来のアンチウイルスソフトでは検知することができない「未知のウイルス」も、99%※の確立で防御をすることができます。
※Unit221B社調べ
2.VPN経由など、ネットワークに侵入したランサムウェアを検知「NDR」
ノーウェアランサムの確実な検知として、有効な手段がネットワークセキュリティをつかさどる「ダークトレース(NDR)」という製品となります。
通常のランサムウェア攻撃では
・攻撃が侵入する場面
・データを暗号化する場面
の2つのシーンで攻撃を検知することが可能ですが、ノーウェアランサムの場合、後者のシーンがないことで、検知が難しくなるという懸念がありました。
しかし、NDR「ダークトレース」であれば「攻撃の侵入時」「データの暗号化時」両方でランサムウェアを検知できるため、通常・新種を問わず、幅広くランサムウェアに対応できるという強みがあります。
ダークトレースを導入していれば、仮にサーバーへ「アンチウイルスソフト」が導入できていない場合も、VPNやリモートデスクトップ経由で侵入したランサムウェア攻撃を、NDRにて検知することが可能です。
3.PCに侵入後のランサムウェアの検知なら「EDR」
「データの暗号化を行わない”ノーウェアランサム”は、『EDR』では検知できない可能性がある」旨をお伝えしました。
たしかにノーウェアランサムとの相性は未知数ですが、やはり従来のランサムウェア攻撃対策として、エンドポイントの事後対応を可能とする「EDR」導入は欠かせません。
仮にEPPで取り逃したランサムウェア攻撃も、EDRによって検知・対応することが可能なためです。
LANSCOPE サイバープロテクションでは、EPPにオプション追加で利用できる、お手頃価格のEDR「CylanceOPTICS」を提供しています。
また、自社のEDR運用が困難という企業様に向けて、EDR×運用監視サービスである「CylanceMDR」の提供も今期より開始しています。
ノーウェアランサムにも有効な「4つの事前対策」
ノーウェアランサムは、新種のランサムウェアですが有効な対策があります。
1.OSやソフトウェアを最新バージョンにアップデート
2.パスワードポリシーの見直し
3.不審なリンク・添付ファイル・サイトを開かない
4.「復元できる前提」で、データのバックアップを残す
ここでは、4つの事前対策について説明します。
1.OSやソフトウェアを最新バージョンにアップデート
古いバージョンのOSやソフトウェアを放置せず、常に最新バージョンにアップデートしましょう。古いOSやソフトウェアを放置すると、セキュリティプログラムが更新されず、新たな脆弱性に対応できないためです。
セキュリティ上の脆弱性の放置は、ランサムウェアをはじめ様々なサイバー攻撃に狙われる原因となります。
特にランサムウェア攻撃の主な侵入経路である「VPN」の脆弱性は、サイバー攻撃の踏み台として頻繁に悪用されています。VPNも忘れず、アップデートや最新のセキュリティパッチ適用をしてください。
2.パスワードポリシーの見直し
パスワードポリシーの見直しもノーウェアランサムの対策に有効です。パスワードポリシーを適切に設定すれば、セキュリティを向上できるでしょう。
簡単に推測できるパスワードを使用すれば、それだけ攻撃者も容易にログイン情報を推測できるため、不正アクセスなどの攻撃を受けやすくなります。
そのため、社内でパスワードを設定する場合は「文字数の長さ」「複数の文字列を組み合わせる」など、簡単に推測ができないパスワードの作成をポリシーで義務付けると良いでしょう。
さらに、不正ログインの根本的な解決策として推奨したいのが「多要素認証の導入」です。多要素認証とは、システムなどにログインする際、パスワードの他に「SMSコード」や「生体認証」、「ワンタイムパスワード」などの入力を組み合わせる手法です。
組織のパスワードポリシーを見直すことで、攻撃者の侵入対策の強化を図ることが重要です。
3.不審なリンク・添付ファイル・サイトを開かない
不審なリンクや添付ファイル、ウェブサイトから、アカウントデータなどの情報を抜き取られてしまう場合もあります。基本的に不審なメール、サイト、またはURLは開かないようにしましょう。
スパムメールなどには、ランサムウェアにつながるリンクや添付ファイルが、含まれる可能性があります。同様に、特定のウェブサイトを訪れた際にも感染するので注意してください。不正なウェブサイトを開くことで、マルウェア(ランサムウェア)がコンピュータに侵入し、データを奪われる危険性が高まります。
このような事態に陥らないために、組織内では社員に対する社内教育やセキュリティポリシーの周知が不可欠です。同時に、組織はセキュリティポリシーを策定し、社員にその遵守を徹底させる必要があります。セキュリティ意識の向上をはかり、ノーウェアランサムのリスクを最小限に抑えましょう。
4.「復元できる前提」で、データのバックアップを残す
ランサムウェアに限らず「データのバックアップ」をとることは、サイバー攻撃で重要な対策の1つです。この時重要なのが、「確実に復元できる前提」で、データのバックアップを残すことです。
というのも警察庁の報告によると、データのバックアップを取得していたにもかかわらず、被害前の状態に復元できなかった企業数は79%にのぼることが判明しています。主な理由は、「バックアップ自体が暗号化された」「データが古い・欠損等で復元できなかった」など、いずれも保管方法が適切でなかったために発生した事態です。
データのバックアップにおいては、「3-2-1ルール」と呼ばれる鉄則があります。ルールに従えば、データの安全性を確保でき、ノーウェアランサムなどの被害からデータを守れるでしょう。
▼「3-2-1ルール」
1.データはコピーして3つ以上持ちましょう。元データとは別に、バックアップを2つ以上取ると安心です。バックアップが1つしかないと、元データと同時にバックアップも失われる危険性が高まるためです。
2.次に、2種類以上の機器にデータを保存しましょう。常用する機器以外に、異なる種類の機器を使用してバックアップを保存します。同じメーカーや型番の機器を使っていた場合、同時に障害が発生する可能性があるからです。
3.最後に、バックアップの1つは遠隔地で保存しましょう。保存機器を置く場所も、1つは遠隔地にしておくのがよいでしょう。バックアップが1か所にまとまっていると、自然災害や火災などの災害が発生した際に、すべてのデータが失われる危険性が高まります。本社と会社の別支店といったように、複数の場所に分散して保管が推奨されます。
また、バックアップデータは暗号化に備えネットワークから切り離して保管し、定期的に取得しましょう。さらに、バックアップを使用したシステムの復旧手順を日頃から確認し、不測の事態に備えることが望ましいです。
以上が「ランサムウェア攻撃」に有効な、基本の4つの対策となります。
万一、ランサムウェアに感染した場合は?
仮に「ランサムウェア攻撃へ感染してしまった」ことが判明した場合は、事前に定めた「サイバー攻撃の対応フロー」に基づき、迅速かつ適切な処置を進める必要があります。
「ランサムウェア攻撃に感染したかも?」と考えられる端末は、電源をオフせず、速やかにネットワークから切り離し隔離を行いましょう。
また、身代金の支払いは安易に行わず、まずは警察庁やセキュリティベンダーへと相談することをおすすめします。
「ランサムウェア攻撃感染時の対処方法」については、以下の記事で詳しくまとめています。
まとめ
ノーウェアランサムをはじめとする「最新のランサムウェア攻撃」について、手口や対策・近年の動向トレンドなどを解説してきました。
- ノーウェアランサムは暗号化を行わないランサムウェアで、海外では数年前から被害が出ており、2023年に日本でも初の被害報告が上がった
- ノーウェアランサムでは、データの暗号化でなく、公開やばらまきを対価に身代金を要求する
- 最新のランサムウェアの中には、身代金の要求をせず、データを販売し第三者から金銭を得るのが目的の手口もある
- ノーウェアランサムには、「EPP」「NDR」などのセキュリティソリューションが有効
- ノーウェアランサムの事前対策は「OSやソフトウェアを最新バージョンにアップデート 」「パスワードポリシーの見直し」「不審なリンク・添付ファイル・サイトを開かない」「復元できる前提」で、データのバックアップを残す」が有効
従来のランサムウェア攻撃やノーウェアランサムは、今後も引き続き猛威を振るうことが予想されています。被害を最小限にするために、組織として早期に現状対策の見直し・取り組みを行いましょう。
最新のランサムウェアにも有効な、弊社のセキュリティソリューションについては、以下の資料もご活用ください。
関連する記事