【ブックレビュー】ランサムウェア攻撃との戦い方
ランサムウェア専門家が語る、ランサムウェアの過去と現在、そして未来
先日ご紹介した『サイバー攻撃その瞬間 社長の決定』が、被害に遭った経営者の視点から描かれたドキュメンタリーだったのに対し、本書はより技術的・専門的な視点からランサムウェアの正体を暴く一冊です。
著者がランサムウェアについて書き始めたのは、なんと20年前。当時はほとんど注目されていなかったこの脅威が、今や「情報セキュリティ10大脅威」で5年連続1位に君臨しています。なぜここまで凶悪化したのか? 著者はその理由を、「匿名ブラウザTor」と「仮想通貨」の組み合わせにあると分析します。足がつかずに身代金を回収できる仕組みが完成してしまったことが、爆発的な普及を招いたというわけです。長年この分野を追い続けてきた筆者ならではの、非常に説得力のある分析が光ります。
かつてのランサムウェアは、不特定多数にメールを送りつける「ばらまき型」が主流でした。しかし現在は、ネットワーク機器の脆弱性を突いたり、ダークウェブで入手したID・パスワードを使って社内システムを直接狙う 「侵入型」 へと進化しています。
昨年、アサヒグループが被害に遭ったのもこのタイプです。特にリモートワークの普及で利用が増えたVPNは、攻撃者の格好の標的となっています。 「IDとパスワードだけで守れる時代は終わった」と痛感させられます。多要素認証(MFA)の導入は、今や企業システムにおいて避けては通れない必須条件と言えるでしょう。 しかし、「MFAを設定していれば安心」と言いたいところですが、現実はそう甘くありません。攻撃者は、従業員を騙して認証情報を盗み出すフィッシングサイトを構築します。 本物そっくりの画面で、ID・パスワードだけでなく、その時だけ発行される「6桁の数字」までリアルタイムで盗み取ります(技術的には、フィッシングサイトに入力された文字列をリアルタイムで取得し、奪取します)。そのまま正規のルートでログインしてしまうのです。私たちが使い慣れている「6桁のコード」がいかに脆弱になりつつあるか、本書は警鐘を鳴らしています。 これは「技術的には可能」という話ではなく、最近でも実害が生じており、ニュース番組でも報道されるほど差し迫った攻撃なのです。
本書には、攻撃者が送りつける「脅迫文(ランサムノート)」の実物が多数掲載されています。その勝ち誇った文面は、読んでいて非常に不快です。 最近の手口は、データの暗号化(一重)と、データの暴露(二重)にとどまりません。
- 三重脅迫: 盗んだデータに含まれる顧客に対し、「この会社はあなたの情報を流出させた。身代金を払うよう会社に圧力をかけろ」と直接メールを送る。
- さらなる追い打ち(四重脅迫): DDoS攻撃でサイトを麻痺させたり、コールセンターに脅迫電話をかけ続けたりして、精神的に追い詰める。
攻撃者の公式サイトには「この企業を攻略した」と誇らしげに掲示されます。「人の心はないのか」と憤りを感じずにはいられませんが、これがサイバー犯罪の冷徹な現実です。
本書で最も価値があるのは、第3章の 「事例分析」だと思います。被害に遭った企業が内部で何が起きていたかを明かすことは稀ですが、本書は公開された報告書を元に、被害の経緯を詳細に説明しています。
徳島県・半田病院のケース: 「ウイルス対策ソフトが重いので無効化していた」「PC利用者が管理者権限を持っていた」「パスワードの総当たり攻撃への対策がなかった」など、今の感覚では考えられない隙だらけの状態でした。しかし、これが5年前の地方病院のリアルです。直接の引き金はVPN装置の脆弱性放置でした。サプライチェーンのリスクが叫ばれる今、委託先のセキュリティ管理がいかに重要(かつ大変)かを物語っています。
大阪急性期・総合医療センターのケース: こちらは業務委託先のサーバを経由して侵入される「ラテラルムーブメント(横展開)」という手法が取られました。複数の事業者が絡むシステムで起こりがちな「相手がやってくれているはず」という 「現場猫」的な思い込み が被害の原因となりました。
岡山県精神医療センターのケース: 侵入された際のID/パスワードが「Administrator / P@ssw0rd」だったという記述には、セキュリティ担当者としてショックです、ところがどっこい、これが現実です。金融機関がことごとくパスワード廃止、パスキーの導入を強制させようとしているのは、ユーザにパスワードを任せられない、かといってユーザが詐欺被害に遭ったら自分達にも責任が生じる、という考えの表れでしょう。
では、私たちはどう戦えばいいのでしょうか。
本書が提示する対策は、大きく分けて2つの柱で構成されています。
- 侵入を未然に防ぐ対策(予防)
- 被害を前提とした対策・準備(事後対応)
注目すべきは、後者の「もし被害に遭ったらどうするか」が詳細に書かれている点です。KADOKAWAやアサヒのような大企業が被害に遭う時代、自分たちだけは大丈夫だと言い切れる担当者はいないでしょう。
1.予防策:VPNからクラウド・ゼロトラストへ
VPNの管理が追いつかない現状への解決策として、本書は 「社内システムのクラウド移行」と 「IAP(ID認識プロキシ)」 の活用を提案しています。AWSやGoogleなどのクラウドベンダーが提供する高度な検知機能を利用し、認証認可を共通のIAPで制御する。これにより、トータルで「ゼロトラスト」を実現でき、異常にも気づきやすくなります。 また、認証についても「物理的なMFAキー」や、このブログでもたびたび推している 「パスキー」 への移行が、強固な防壁となります。
2.事後対応:バックアップの「罠」にハマらないために
統計によると、身代金を支払った企業の方が、支払わなかった企業よりも復旧に時間がかかっているそうです。「絶対に払わない」と決めておくことが第一歩です。 そして、最も重要なのがバックアップ。しかし、被害企業の半数は「バックアップデータまで暗号化された」と回答しています。
さらに、多くの企業が陥るのが 「バックアップは取っていたが、復元リハーサルをしたことがなかった」 という落とし穴です。
「気持ちはわかる、痛いほどわかります……!」
でも、いざという時に動かないバックアップは、存在しないのと同じです。気が乗らなくても、リハーサルは必須。また、侵入経路を特定するための「ログ(アクセスログや操作ログ)」の保存も、再発防止には欠かせません。
本書は、ランサムウェアという”現代に終わりなく生み出されるモンスター”に対する処方箋です。セキュリティ担当者にとって、対策を完璧にこなすのはハードな仕事です。しかし、本書で紹介されている事例を「他山の石」とし、私も自社のVPNルータの設定確認や、復元リハーサルの計画から始めようと思います。