ランサムウェアとは? | 「Darkside」がランサムウェアで5億超の身代金を取得
2021.05.16 セキュリティ
警察庁の定義に基づくランサムウェアの説明と、代表的な事例であるWannaCry、Colonial PipelineへのDarksideによる攻撃、カプコン事件などをまとめ、ランサムウェアの脅威と進化について解説します。
ランサムウェアとは?
引用元:警察庁のサイバー犯罪対策プロジェクト ランサムウェア(Ransomware)とは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた名称であり、コンピュータウィルスの一種です。 このウィルスに感染するとパソコン内に保存しているデータを勝手に暗号化されて使えない状態になったり、スマートフォンが操作不能になったりします。 そして、その制限を解除するための身代金を要求する画面を表示させるというウイルスです。 主に企業のPCに対してこのウイルスを仕込むことで、身代金を支払わないと業務を行えなくすることで身代金を支払わなければいけない状況に追い込みます。
代表的なランサムウェア「WannaCry」
2017年ごろから使われる様になり、25万台近くのPCに被害を与えたとされています。 ワーム機能によって他のPCに感染させることが特徴としてありました。 日本国内の大手企業でも被害が報告されており、日立やJR東日本でも「WannaCry」による攻撃を受けた様です。
ランサムウェアの被害
クラウドストライクの「The State of Ransomware 2021」によると、日本の組織の半数以上がランサムウェアの被害にあっており、身代金の平均額は1億を超えており、32%が身代金を支払ったとされています。 コロナの影響で在宅ワークが増えたことによりランサムウェアの被害が増加したと言われています。 こう考えるとランサムウェアの脅威は身近なものだと思います。 IPAが「情報セキュリティ10大脅威 2021」を発表しており、組織に対する脅威としてランサムウェアが一番に選ばれていました。 引用元:IPA「情報セキュリティ10大脅威 2021」 昨年は5位だったので脅威が増していることがわかります。
カプコンが11億5000万を請求される
国内の大手企業でもランサムウェアの被害が報告されています。 2020年11月、カプコンにランサムウェアの攻撃が行われました。 ランサムウェアの攻撃によるネットワーク上の機器に対するファイルの暗号化が判明しました。 「Ragnar Locker」を名乗る集団からの脅迫メッセージを発見し、大阪府警察に通報しました。 原因は北米現地法人に緊急避難用として残っていた旧型VPN装置1台がサイバー攻撃の対象となり、そこから米国および国内拠点における一部の機器に対する乗っ取りが実施されました。 国内拠点でセキュリティ対策がちゃんと行われたとしても、別拠点でセキュリティ対策が少しでも漏れていると全体がウイルス感染の脅威に晒されることを示す事例です。 カプコンのプレスリリースによると「当社では、本件発生後、第三者による調査を依頼し、当社のネットワーク環境における本件の原因、影響範囲等について調査を実施しております。現時点では、最大で約16万件の個人情報(お客様、取引先、採用応募者等の氏名、住所、電話番号、メールアドレス等)が流出した可能性があることが判明しております。」とのことです。
Colonial Pipelineが5億超の身代金を支払う
2021年5月7日に「Colonial Pipeline Company」にランサムウェアの攻撃が行われました。 感染を広げない様にするため情報システムをオフラインにし、燃料不足が深刻化する地域が出て、様々な州で緊急事態が宣言される事態になりました。 その後、Colonialがサイバー攻撃者に500万ドル近くを支払ったと報道され、システムを復旧しています。 BBCの報道によると「The Colonial Pipeline carries 45% of the East Coast's fuel supplies.」とのことです。
サイバー攻撃を行なったのは「Darkside」
「Darkside」と呼ばれるサイバー犯罪集団が「DARKSIDE」というランサムウェアを使用して攻撃しています。 トレンドマイクロの記事によると「Darksideは、RaaS(Ransomware-as-a-service)のビジネスモデルを採用しており、ランサムウェアを他の犯罪組織にも提供し、得た利益の一部を受け取る仕組みになっています。」とのことです。 機密情報の漏洩に関して脅迫する二重脅迫と呼ばれる手口も用いられています。
ランサムウェアの進化
今までのランサムウェアはファイルの暗号化と身代金の請求が主でしたが、Colonialの攻撃では機密情報の漏洩を行うといった脅迫も合わせて行われました。 トレンドマイクロの記事によると「二重脅迫(Dual Extortion)とは、従来のランサムウェアのように機密情報を暗号化するだけでなく、機密情報の漏洩を脅迫に利用する手口です。攻撃者は、身代金の支払いを拒否した場合、窃取した機密情報を公開すると脅迫します。」とのことです。 基本的にランサムウェアの感染経由は不正なWebサイトの閲覧やメールのリンククリックが多いですが、カプコンの様に社内ネットワーク環境の不備から侵入し感染させられることもあり、対策が困難になりそうです。 そもそもVPN機器に脆弱性があったことから侵入されたとのことなので、セキュリティ対策の窓口を用意するといった対策も必要になってきそうです。