ランサムウェア「暗号化なしの恐喝」とは
警察庁によると、国内のランサムウェア被害件数は引き続き高水準で推移しています。 最近ではデータを暗号化することなく、データを窃取し対価を要求する手法が国内で確認されており、警察庁がその手口を紹介しています。(英語では「pure data extortion」と表現されることがあります)
令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について
従来のランサムウェアは、感染したPC内のファイルを暗号化して使えなくしてしまい、もとに戻す(復号する)ために対価(身代金)を要求する「身代金要求型マルウェア」でした。感染すると、PCの画面にファイルを暗号化したことと、復号してほしければ数日以内に身代金を支払うことが書かれた画面が表示されたり、カウントダウンタイマーなどが表示されたりします。
また、近年のランサムウェアでは、データを暗号化する前に密かに情報を窃取し、身代金を支払わなかった場合はデータを公開すると迫る「二重恐喝(double extortion)」を行う手法(別名「暴露型ランサム」)も確認されています。また、単にデータを公表するだけでなく、取引先などにデータ漏洩があったことを通知するなど、ランサムウェアを用いた攻撃手法は多様化しており、より大きな脅威となっています。
令和5年上半期におけるサイバー空間をめぐる脅威の情勢等についてによると、ランサムウェアによる被害は二重恐喝が多くを占めますが、新たに6件の暗号化なしの恐喝が確認されています。 暗号化なしの恐喝とは、文字通り、ランサムウェアを用いてデータを暗号化するのではなく、秘密裏に組織のネットワークに侵入しデータを盗み出し、「対価を支払わなければ窃取したデータを公開する」と迫る攻撃です。
このようにサイバー攻撃者は日々手口を変えてきています。 しかし、対策には大きな変更はありません。
以下は、警察庁「ランサムウェア被害防止対策」から被害防止対策と感染に備えた被害軽減対策を引用しています。
| 被害防止対策 | 詳細 |
|---|---|
| 電子メール等への警戒 | 受信者の関心を引くような内容や重要と思わせる内容のメールを用いて添付ファイルを開かせる(実行させる)、又はリンク先のウェブサイトにアクセスさせるように仕向けて、ランサムウェアをはじめとしたマルウェアに感染させる手口が確認されています。 知人や企業等からの電子メールと思えるものであっても、送信元が詐称されていたり、本文からは不正なメールと見抜けなかったりすることもあります。 添付ファイル付きのメールやリンク付きのメールについては、送信元への確認を行うなど、その真偽を確かめ、不用意に電子メールの添付ファイルを開いたり、リンク先にアクセスしたりしないようにしましょう。 |
| VPN機器等のぜい弱性対策 | 利用している機器やOS等の更新ファイル、パッチ等を適用して、ぜい弱性を残さないようにしましょう。 OSやソフトウェアにぜい弱性がある状態のままでは、電子メールの添付ファイルの実行やウェブサイトの閲覧により、マルウェアに感染するリスクがあります。 また、ネットワークへの侵入のためにVPN機器等のネットワーク機器のぜい弱性が悪用される事例も確認されています。 |
| ウイルス対策ソフト等の導入 | 他のマルウェアやハッキングツール等を使ってネットワークへ侵入し、データを盗み出した後にランサムウェアによりファイルを暗号化する手口も確認されています。 ウイルス対策ソフトを導入し、定義ファイルを更新して最新の状態に保つことで、マルウェアやハッキングツール等を利用されるリスクを低減することができます。 また、ウイルス対策ソフトだけでなく、ネットワークへ侵入を許してしまった場合に、不審な動作を検知し、被害を最小限にくいとめるため、EDR(Endpoint Detection and Response)の導入も検討しましょう。 |
| 認証情報の適切な管理 | 利用しているリモート・デスクトップ・サービスやVPN機器等のネットワーク機器の認証パスワードがぜい弱であったためにネットワークに侵入され、ランサムウェアによる被害が生じる事例が確認されています。 パスワードが初期設定のままであったり、よく使用されているもの(「password」、「qwerty」、「12345678」等)に設定されていないか確認し、そのような設定になっている場合は、速やかに、大文字・小文字・数字・記号の組合せにより文字数が多く、推測されにくい文字列を設定するとともに、他のサービス等で使用していないものを設定し直すなど認証情報を適切に管理しましょう。 また、2要素認証等による強固な認証手段の導入や、IPアドレス等によるアクセス制限と組み合わせるなどといった対策も積極的に実施しましょう。 なお、パスワードが外部へ流出した可能性がある場合には、速やかにパスワードを変更しましょう。 |
| 感染に備えた被害軽減対策 | 詳細 |
|---|---|
| データのバックアップ等の取得 | ランサムウェアにより、バックアップデータやログも暗号化されてしまうという事例が確認されています。 不測の事態に備えて、バックアップやログはなるべくこまめに取得し、ネットワークから切り離して保管しましょう。 また、日頃からバックアップデータによるシステムの復旧手順を確認しておきましょう。 |
| アクセス権等の権限の最小化 | いったん侵入されると、ネットワーク内の複数の端末でデータが暗号化されるなどといったように、被害の範囲が拡大することとなります。 ユーザアカウントに割り当てる権限やアクセス可能とする範囲などは必要最小限にしましょう。 また、インターネットに公開されている機器が乗っ取られた場合に備えて、その機器からアクセス可能な範囲を限定しましょう。 |
| ネットワークの監視 | ランサムウェアを含め、マルウェア等に感染した端末では、外部のサーバーとの間で不審な通信が発生する場合があります。 EDR等を導入し、ネットワーク内の不審な挙動を早期に発見することで、感染拡大や外部からの侵入の範囲拡大を阻止することに繋がります。異常を検知した際には迅速に対処しましょう。 また、侵入経路の特定のため、ネットワークのログ等をはじめとする各種ログを確実に保存しておきましょう。 |
新たに加わった手口を含めマルウェアに対し、純国産エンドポイントセキュリティのFFRI yaraiはパターンファイルに依存せず、ファイルの振る舞いから不正な動作を検知でします。多層的なセキュリティを実現するために「FFRI yarai」と、Windows1標準搭載の「Microsoft Defender ウイルス対策」を組み合わせることで、より強固なエンドポイントセキュリティを実現します。
またFFRIセキュリティ マネージド・サービスは、お客様に代わって当社のセキュリティエキスパートがFFRI yarai Cloudの運用・管理、インシデント発生時の初動対応を一括で提供します。
2023-10-24
関連記事 Related Post
FFRI yaraiは、パターンファイルに依存しない先読み防御検出技術を徹底的に追及した「純国産エンドポイントセキュリティ」です。
FFRI yarai Home and Business Edition は、個人・小規模事業者向け「純国産エンドポイントセキュリティ」です。
最近の記事
特集
アーカイブ
HOME ≫ FFRIセキュリティ BLOG ≫ 2023年 ≫ 2023年10月 ≫ ランサムウェア「暗号化なしの恐喝」とは
