脅威と向き合う哲学――これからのランサムの話をしよう：ITmedia エグゼクティブセミナーリポート（2/2 ページ）

[酒井真弓，ITmedia]

　観察期間は、2019年12月〜2020年8月31日。観察対象は、Maze、DoppelPaymer、Nefilim、Revil、NetWalker、CL0P、Ragnarの7つのランサムウェア。基本的には自作のプログラムを使って、複数のランサムウェアのリークサイトから自動で常時更新情報を収集していった。

　「結果、被害が確認された424組織を世界地図上にマッピングすると、被害組織はアメリカ、ヨーロッパに固まっており、ロシアやカザフスタン周辺は被害にあっていないのは、何かしら事情があるのかもしれません」（辻氏）

　これを業種別に直すと、最も多かったのは建設土木の21件だが、424分の21なので大きな偏りはなくどの業種も狙われる可能性がある。

　また、辻氏によれば、あるランサムウェアは不動産や弁護士といった業種、または国に偏る印象を受けるケースが見られる。顧客の機密情報を扱う業種だからだろうか。加えて、これらの業界には、IT化やセキュリティ対策が遅れているイメージがあり、攻撃者たちもそういった組織を狙っているのかもしれない。

　ランサムウェアの侵入経路としては、メールなどのメッセージングサービスに加え、ハンコックリージョナル病院のケースと同様、リモートデスクトップを介したものが目立つ。

　「実はメンテナンス業者が使っていたなど、そういったところが穴になります。リモートデスクトップが開いていないか、アクセス手段がどうなっているのか、いの一番に確認していただきたい」（辻氏）

　VPN機器などの脆弱性を使って侵入するパターンも見られる。新型コロナ対策で急きょ導入した機器に穴があったというケースもあり。また、今あるVPN機器だけではテレワークの負荷に耐えられず、古い機器をつないだらそこに脆弱性が……というケースも見られる。

　さらに、別のマルウェア（最近また猛威を奮っているEmotetなど）を使って先に組織内に侵入し、その経路を使ってランサムウェアが入ってくるというパターンも観測されている。この場合、組織に侵入したマルウェアを早期に発見することが非常に有効になってくる。

2つの懸念

　一連の観察を続ける中で、辻氏には2つの懸念が生まれたという。1つは攻撃者グループ「Avaddon（アヴァドン）」の動き。もう1つは、VPN機器の脆弱性を利用した不正アクセスと標的型ランサムウェアの関係だ。

　これまでバラマキ型だったランサムウェア「Avaddon」が、標的型に転換し、「リークをするから金を払え」という手段を取るようになった。リークサイトもオープンし、「もう何％リークしている、早く払え」といった脅迫などの運用を開始している。

　「彼らのメッセージで興味深いのは、彼らはスパムメールを送りつけるということにもうあまり面白みを感じておらず、今はリモートデスクトップなどのアクセス経路に興味があると主張している点です。非常に厄介だと思っています」（辻氏）

　今年8月、国内の38社が不正アクセスを受け、VPNの利用情報が流出したことが分かった。被害に遭った組織は、米パルスセキュアのVPN機器を使用していた。同社は昨年この機器の脆弱性を公表し、修正パッチも公開していたが、一部の組織は適用していなかった。

　盗まれた情報には、VPN接続に必要なユーザー名、パスワードが平文で書かれていたという。「被害に遭った組織の中には、同じく標的型ランサムウェアの対象となるケースが見られました。この事案がそうだという確証はないのですが、流出情報の組み合わせで標的型ランサムウェアがやってくるケースは大いにありえます 。テレワークが当たり前の世の中、関連機器の脆弱性対応には今まで以上に気を配る必要があります」（辻氏）

当たり前のことを、当たり前に行おう

　最後に辻氏は、ともに脅威と立ち向かう同志に向けてこう締めくくった。

　「こちら側の理解を遙かに超える魔法のような攻撃が現れることはなかなかありません。ほとんどが今までの組み合わせ。つまり、対策も組み合わせでなんとかなるはずです。パスワード運用やパッチ適用など、今まで散々言われてきたことをきちんと実行しましょう。当たり前のことを当たり前に行うことが第一歩です。100％の対策は人、物、金を考えれば不可能ですが、完璧ではなくとも、最善は尽くした。未練はあるが、悔いはない――この言葉がいえるように脅威に立ち向かっていきましょう」（辻氏）