セキュリティ最新ニュース SECURITY NEWS

  • このエントリーをはてなブックマークに追加

Security

攻撃手法解説:標的型ランサムウェア

近年、ランサムウェア攻撃による被害が再び取り沙汰されるようになりました。その手法も、従来のばらまき型から、標的型へとシフトしている傾向があります。今回の攻撃手法解説では、標的型ランサムウェアについてご紹介します。

多額の金銭を奪い取るために標的を絞るランサムウェア

標的型ランサムウェアは、過去に大流行した WannaCry 等のランサムウェアとはどのように異なるのでしょうか。

従来のランサムウェアはばらまき型が多く、広範囲から金銭を獲得していたのが特徴でした。ところが、この方法では確実に大金を入手することが難しいため、標的を絞ることで、より効率的に高額な身代金を回収する方法へと変化していきました。それが標的型ランサムウェア攻撃です。

標的型ランサムウェアは、大規模なフィッシングキャンペーンや脆弱性攻撃ツール等を介して配布される一般的なランサムウェアとは異なります。その感染経路は、特定の組織に関係者を装ったメールを送り付けるといった、標的型攻撃の手法を応用しています。
また、組織が対象のため、システム復旧に要するコストを踏まえて、個人を標的にしたランサムウェアに比べて高額な身代金を要求してきます。

一時期ランサムウェアが大流行したため、ランサムウェア対策としてバックアップを取っている組織も増えたことでしょう。ところが、標的型ランサムウェアの中には、それを見越して端末やサーバーだけでなく、バックアップされたデータまで暗号の対象にするものも存在します。

このように、ランサムウェアは悪質さを増して再流行しているのです。

海外ではすでに多くの被害が確認されている

海外ではすでに標的型ランサムウェアによる被害が多数確認されています。

2019年、特に世間を騒がせた標的型ランサムウェアが「Ryuk」です。
Ryuk は 2018年8月頃に登場した標的型ランサムウェアで、海外で確認されている事例では、医療機関や自治体、教育機関等の組織が標的となっています。これらの組織に共通するのは、「身代金を支払う可能性が高い」という点です。特に米自治体では標的型ランサムウェアによる被害が相次いでおり、身代金の支払いに税金を使用するか否かについて議論が繰り広げられているほどです。

「Emotet」「TrickBot」「Ryuk」の関係

実はこの Ryuk、最近話題の Emotet によって二次感染することもあるのです。海外では Emotet から標的型ランサムウェアの被害に至る事例も確認されています。

最近では、米国で介護施設や救急医療施設に対してMSP事業を行っている企業が Ryuk の被害を受け、運用設備復旧と引き換えに1400万ドル相当の身代金支払いを要求されました。ある調査によると、同社が Ryuk に感染したのは、Emotet や TrickBot からの二次感染が原因だったと指摘されています。

米国自治体の事例では、Emotet がシステム内に侵入後、Trickbot をダウンロードし、内部拡散。その後 Trickbot がRyuk を展開するという三段攻撃が確認されました。職員がメールのリンクを開いたところ、リンク先からダウンロードされた Emotet が市のネットワークに感染。この Emotet がシステムに接続された端末に Ryuk をインストールし、端末内のファイルが暗号化されてしまったというのが経緯です。

対策

標的型ランサムウェアの端緒となりうる Emotet が日本でも急速に感染を広めていることから、この波がいつ日本に来てもおかしくはないと考えられます。

Ryuk のようにバックアップされたデータまでも暗号化してしまう標的型ランサムウェアも存在しますが、それでも万一に備え、ファイルを頻繁にバックアップし、復旧プランを準備しておくことは重要です。

とはいえ、一番良いのは「感染しない」こと。

標的型ランサムウェアに対しては、従来のランサムウェアや標的型攻撃と同様、まずはOSやソフトウェアは最新の状態に保つなどの基本的な対策が重要となります。その上で、感染経路となる標的型メールに対する社員教育や、ネットワークとエンドポイントによる多層防御を導入することで攻撃を防ぐことができる可能性が高まります。

宝情報では、標的型ランサムウェアに有効なセキュリティ製品を取り扱っています。

記事一覧に戻る