ソリトンシステムズのサイバーセキュリティ第2回「『ランサムウェア』が試金石？今、企業の多層防御が試される」

日本でも猛威を振るうランサムウェア。感染するとPC上のデータを暗号化したり、PCを使えなくしたりして、身代金を要求する古典的な攻撃手法だが、昨今進化した脅威となってきている。

ランサムウェアの被害に遭った企業からの相談が急増しているというセキュリティベンダーソリトンシステムズのエバンジェリスト荒木粧子氏に、ランサムウェアの被害実態とその対応について聞いた。

●ランサムウェアは、手っ取り早く、儲かるビジネス

従来、不特定多数をターゲットにした金銭目的の攻撃においては、マルウェアなどを駆使して感染端末から不正に取得した個人情報を名簿業者などに販売したり、取得したクレジットカード情報を悪用して、ようやく稼げるというビジネススタイルも多かったが、BitCoinをはじめとする匿名性の高いオンライン決済手法の普及に伴い、攻撃ビジネスの様相が変化してきたという。

「被害者も、BitCoinを利用すれば、自分の身元を明かすことなく身代金を支払うことができますし、攻撃者も比較的安全に、しかも、被害者から直接、身代金を回収できます。金銭のやり取りに関する敷居が低くなったことで、『ランサムウェアは儲かるビジネス』となったということだと思います。（荒木氏）」

●攻撃者に足元を見られている

ランサムウェアは、特定の企業が狙われる「標的型」だけでなく、「ばら撒き型」「マス型」と言われるようなタイプ、つまりスパムメールのように、組織の規模や業種問わず、ある程度広範囲に送付されることも多い。従来は個人をターゲットにしていたが、企業のほうが支払い能力もあり、より多くの身代金を要求できることから、最近では企業・組織にターゲットがシフトしてきている。

「攻撃者は受け取り用のBitCoin口座やメールアドレスを頻繁に変更しますが、通信を匿名化するネットワーク Tor (The Onion Router) の中で最新の連絡先情報を提供するなど、自分の身元が特定されないような工夫をしています。身代金を支払いたくても攻撃者に連絡が付かないということが無いよう、周到な準備・手厚い解説がなされている点からも、まさに身代金ビジネスといって良いと思います。

ソリトングループでも、ランサムウェアに暗号化されてしまったファイルの復号化サービスが出来ないか検討してみたのですが、100%復号できるとお約束できないこと、また、作業工数を考えるとどうしても身代金よりも金額の高いサービスにならざるを得ないことから見送りました。身代金は、1端末あたり数万円程度と、企業にとっては支払えない金額ではない価格帯に設定されており、攻撃者に私たちの足元を見られていると感じてなりません。」と荒木氏は語った。

●ランサムウェアに試されている多層防御

昨今のランサムウェアは、ウイルス対策ソフトのパターンファイルが生成される前に使い捨てられ、どんどん新種が利用されていくため、パターンファイル型の対策が間に合わない。感染するとPC上のファイルが暗号化されたり、PCの利用を制限されるといった実害があることから、ランサムウェアの感染リスクをいかに低減できるか、そして万が一の感染時にバックアップから復旧できるかどうかが対策の鍵となる。

荒木氏は、いくらユーザーに怪しい添付ファイルを開かないよう教育しても限界があるため、できる限りシステム側でリスク軽減し、ビジネスインパクトを低減するべき段階に来ているという。例えば、ソリトンシステムズが提供するZeronaのような、パターンファイルに依存しないタイプのエンドポイント対策製品や、Cisco ESA （旧 IronPort ）のような多層フィルタを持つメールセキュリティ製品を使えば、新種のランサムウェアにも効果を充分に期待できるという。

「先日も、Locky（ランサムウェアの一種）が、ウイルス対策製品のパターンファイルが出来る前の段階でCisco ESAのフィルタに引っかかっていたことがありました。もちろん、100%ではなくすり抜けるものもあるので、そこはZeronaでさらなるエンドポイントの防御を強化することをお勧めしたいところですが、こうしたソリューションを活用して昨今のマルウェアに対抗できる多層防御をなさっているお客様では、ランサムウェア感染リスクが随分違うと実感します。（荒木氏）」

ランサムウェアの被害が契機となり、これまで不十分だった多層防御に踏み切る企業が多く、ソリトンシステムズへの相談も増えているという。「できれば被害を予防できることが一番ですが、きっかけは何であれ、サイバーリスクを認識し、多層防御に取り組むのは良いこと」と荒木氏。

ランサムウェアによって、いま、企業・組織のサイバーリスク対策が試されているといえるのかもしれない。

●目先にとらわれないサイバーリスク対策を

このようにランサムウェアが流行すると、「○○というランサムウェアをブロックできるツールを導入しなければ！」という思考となり、ランサムウェア対策だけに終始してしまうことが懸念される。対策強化すること自体は悪いことではないが、そもそもサイバーリスクは今回のランサムウェアに止まるものではなく、ランサムウェア流行の陰で引き続き行われている標的型攻撃などにも注意が必要である。

「お客様からのお問い合わせが多いと、私たちセキュリティベンダーも、『ランサムウェア対策』を声高に叫んでしまうのですが、もしかしたらそのせいでお客様をミスリードしているのではないかと心配になることもあります。外部脅威の進化のスピードが速いこともあり啓蒙活動は重要なのですが、それが原因となって、お客様のセキュリティ対策を短絡化させていないかというジレンマは、私だけではなく、多くのセキュリティベンダーの方が感じていらっしゃることではないでしょうか？

いま流行しているランサムウェアへの対策は、もちろん重要です。しかし、これはあくまで一つの脅威であり、今後も、こうした脅威はさらに進化を続けることが予想されます。ぜひ、ランサムウェアだけに注目するのではなく、自社の全体的なサイバーリスク管理の一環として、対策に取り組んでいただきたいです。（荒木氏）」

ランサムウェアの進化や流行をウォッチしつつも、目先の脅威にとらわれず、全体的なサイバーリスク対策の中で、多層防御に取り組む必要性が高まっている。