2019/10/25

「情報セキュリティ10大脅威 2019」を読み解く(3) ランサムウェアによる被害

「情報セキュリティ10大脅威 2019」は、独立行政法人情報処理推進機構（以下 IPA）が選出した2018年において社会的な影響が大きかったと考えられる情報セキュリティ上の脅威について、情報セキュリティ分野の研究者、企業の実務担当者など約120名で構成される「10大脅威選考会」が審議・投票し、「個人」「組織」における脅威を1位から10位まで順位づけしています。

情報セキュリティ10大脅威 2019（組織編）
※NEW 初めてランクインした脅威

IPA　情報セキュリティ脅威2019:
https://www.ipa.go.jp/security/vuln/10threats2019.html#download

本コラムでは、「情報セキュリティ10大脅威 2019」の組織部門で３位にランキングされた、「ランサムウェアによる被害」についてご紹介します。

ランサムウェアとは？
どうしてランサムウェアに感染してしまうのか？
どうして被害を受けた企業はOSやアンチウイルスソフトを最新化してなかったのか？
身代金（ランサム）を払うと？
ランサムへの対策は？

ランサムウェアとは？

独立行政法人情報処理推進機構（IPA）が発表した「セキュリティ10大脅威 2019組織編」では「ランサムウェアによる被害」は昨年が２位、一昨年も２位となっており、脅威は高水準で推移していることがわかります。

ランサムウェアはマルウェアの一種で、感染するとデータを強制的に暗号化し、復号鍵と引き換えに匿名性の高いビットコイン等でランサム（身代金）を要求してくるのが一般的です。2017年に世界中で猛威を振るったWannaCryは、ファイルを暗号化するだけでなく、ワーム型であった事も影響し、感染が世界中に急速に拡大しました。
結果、英国の日系自動車工場では操業が停止し、スペインの大手通信会社、日本の大手SIer企業でもメール送受信が止まるなど、150カ国以上で20万台以上の端末が影響を受けました。

同じく2017年にウクライナで大流行したPetyaやPetya亜種は、端末操作ができないようにするデバイスロック型で、空港・電力会社・交通機関・銀行を攻撃し、社会生活を大混乱に陥れました。ほかにも米国の大手製薬会社やデンマークの海運企業、英国の広告代理店、ロシアの石油会社なども被害を受けています。

どうしてランサムウェアに感染してしまうのか？

過去に大きな被害をもたらしたランサムウェアの多くは、既知の脆弱性を利用して感染被害を拡大させました。侵入経路はフィッシングメールのほか、正規のWebページを改ざんした水飲み場攻撃、広告を悪用した攻撃で感染するケースもあります。
この際、OSやアンチウイルスソフトで最新のソフトを使っていない、クライアントPC（エンドポイント）が狙われることが多いのですが、複数の顧客の運用・監視・保守を行うMSP（Managed Service Provider）のリモートデスクトップ機能（RDP）をまず狙い、システム侵入後にランサムウェアをばら撒く攻撃も出てきており（※１）、エンドポイント対策だけでは進化し続けるランサムウェアへの対策として、十分とはいえなくなってきています。

どうして被害を受けた企業はOSやアンチウイルスソフトを最新化してなかったのか？

WannaCryが大流行した際、英国で一番大きな被害を受けたのは国民保険サービス（NHS）で、600を超える医療施設が感染して、診察や手術に影響がでました。この時、NHS傘下の医療機関の多くはWindowsXPを使っていました。古いOSをこうした医療機関が使用していたのは、更新費用（コスト）の問題だけでなく、医療システム特有の事情があったからといわれています。医療機器は人命を預かるために誤作動が許されませんので、OSを更新をする際は、医療機器ベンダーのサポートやシステム認定が必要となるケースが多く、一般企業程には切り替えがスムーズには進まないことが被害を拡大した原因となりました。

これは日本でも必ずしも対岸の火事とは言い切れません。来年1月のWindows7のサポート切れに際し、同様な状況に陥る医療機関は日本でも多いのではないでしょうか？

それでは、セキュリティ対策がしっかりしていたはずの日本の大手SIerは、どうしてWannaCryで大きな被害を受けたのでしょうか？ソフトの最新化（パッチ当て）という意味では、２つの脆弱点があったようです。（※２）最初にWannaCryに感染した端末は欧州拠点の検査機器で、パッチ当ての必要性について認識がなかったことが感染の原因となりました。また内部ネットワークにランサムウェアが侵入した後、諸々の事情で停止できない（パッチ当てのできない）端末やサーバー経由で被害が拡大しました。つまり、パッチ自動適用外の端末についての管理が不十分だったから被害が拡大したのです。

身代金（ランサム）を払うと？

英国の消費者団体「Which?」の2017年の世界1176社を対象にした調査（※３）によると、ランサム被害を受けた企業の約4割がランサム（身代金）を支払っていますが、その内データを復旧できた企業は約5割となっています。つまりランサム（身代金）を払ったからといって、ファイルが復旧できるとは限らないのです。

ランサムへの対策は？

それでは、ランサムウェア攻撃には何から対応していけばよいのでしょうか？

クライアント端末保護でしょうか？
クライアント端末（エンドポイント）や重要サーバーのソフトの最新化は非常に重要です。しかしそれだけでは年々進化し、場合によってはゼロデイを含むランサムウェア攻撃への対応は難しくなりつつあります。

最近日本でも出始めているサイバー保険でしょうか？
ランサム攻撃を受けるかもしれないという視点では、保険対策も重要です。しかし海外では、サイバー保険に入っていると公表している医療機関、教育機関、公的機関、交通機関が、ランサム（身代金）を払いやすいとハッカーに認知され始めているのか、ランサム被害を受けています。

ランサムウェア対策で最も有効なのはバックアップだといわれています。
前述の「Which？」（※３）の2017年調査によると、ランサムウェア被害を受けた際に、ランサム（身代金）を払わずにバックアップデータからデータを復旧できた企業は53.8％あり、「オンラインバックアップサービス」の活用を提案しています。

データのバックアップについては、クラウドサービスを使う企業も多いかもしれませんが、海外のランサムウェア事件では、最初にバックアップを襲った（暗号化してしまった）Hancock Health Hospitalのような事例（※４）も多数報告されています。クラウドやオンラインで直接つながっているストレージも必ずしも安全とはいえません。テープ等の物理メディアに差分バックアップを定期的に取る、あるいはクラウドやNASのバックアップデータを、さらに別の場所にバックアップすることも検討の余地があるのではないでしょうか。

参考：
※１ Sodinokibi ランサムウェアが WebLogic サーバの脆弱性を悪用
https://gblogs.cisco.com/jp/2019/05/talos-sodinokibi-ransomware-exploits-weblogic/
※２日立のセキュリティ担当、WannaCry感染の反省を語る
https://tech.nikkeibp.co.jp/it/atcl/news/17/112102710/
※３＜英国＞身代金ランサムウェア、払っても半数が復旧できず
https://www.jc-press.com/?p=1062
※４ Cyber Attack（Hancock地域病院）
https://www.hancockregionalhospital.org/2018/01/cyber-attack/