近年におけるランサムウェア被害　身代金要求 2つの事例（vol.5）

2022年09月30日（金）

AppGuard

IPA（独立行政法人情報処理推進機構）が公表している「情報セキュリティ10大脅威2022」によると、昨年に引き続き、

「ランサムウェアによる被害」

「標的型攻撃による機密情報の窃取」

が上位にランクインされています。近年では甚大な被害をもたらした、

「WannaCry(ワナクライ)」

「Emotet(エモテット)」

などが有名なマルウェアであり、攻撃手法が巧妙かつ高度化され続けているなか、多くの企業がマルウェア対策に頭を悩ませています。マルウェアのなかでも「身代金要求型マルウェア」とも呼ばれるランサムウェアの被害は、世界中で拡大しているのです。

ランサムウェアとは、組織内外のシステムを強制的にロックしサービスを停止させ、保存しているファイルを暗号化するなどして使用不能にし、ファイルを復元することと引き換えに金銭（身代金）を要求してくる不正プログラムです。ランサムウェアに感染するとパソコンの操作ができなくなったり、データが復旧できなくなったりするケースが多くなります。企業がターゲットとなった場合は業務がストップしてしまったり、支払いに応じてしまい企業が倒産してしまうケースもあります。

本記事では、「巧妙化するランサムウェア」にふれつつ、身代金要求の事例紹介と対策について解説いたします。

巧妙化するランサムウェアの攻撃手法
二重脅迫型ランサムウェアの先駆けと言われる「Maze（メイズ）」
史上最高額の身代金を要求した「REvil（レビル）」
まとめ

巧妙化するランサムウェアの攻撃手法

（１）従来のランサムウェア

従来のランサムウェアは、不特定多数の利用者を狙って電子メールを送信するといった手口が一般的でした。現在では、VPN機器から侵入し、特定の個人や企業・団体等のネットワークやインフラを狙って侵入してくるようになっています。

侵入後は大企業、政府機関に長期間潜伏し、ネットワーク内の脆弱性や可能な限り多くの端末に接続しているマシンを入念に調査した上で、被害の最大化を狙って攻撃する手法が増加しています。日本でも某企業のサーバがサイバー攻撃によりダウンし、その後、金銭を要求する脅迫文が送りつけられる事案が発生しました。

この攻撃を受けた企業の取引先である自動車メーカーでは、このサイバー攻撃の影響を受け、全工場を停止するという事態に発展しています。企業や政府機関を攻撃するには緻密な計画が必要ですが、うまくいけば何千万ドルもの身代金を効率的に引き出せる可能性があるため、ランサムウェア攻撃が無くなることはないでしょう。

（２）巧妙化するランサムウェアの攻撃手法

2020年頃からRaaS（Ramsomeware-as-a-Service）と呼ばれるランサムウェアを利用した攻撃をサービス化し、既成のランサムウェアコードを他の犯罪者グループに提供するというサービスが広がりはじめました。犯罪者グループは、提供元の用意したオプションを組み合わせることで、ターゲットに最適化した攻撃を行うことができ、世界中でRaaSグループが存在しています。

RaaSグループは一般的な企業と同じように組織的に活動しているとされており、「人事部門（優秀なハッカーを採用）」「開発部門（ランサムウェアを開発・保守）」「サポート部門（各部のサポート）」「交渉部門（対顧への各種交渉）」という組織構造になっているようです。

更にはRaaSグループ同士が手を組んで攻撃をしかけたり、攻撃対象のネットワークやシステムに侵入するための情報を専門的に扱っているIAB（Initial Access Broker）と連携します。そして攻撃対象企業の従業員に対して高額な報奨金を餌に、内部のネットワークの情報や故意にマルウェアに感染してもらう等の内部協力者を利用するなど、攻撃手法は巧妙化しています。

このように攻撃者はメールによる攻撃だけでなく、ネットワーク機器や外部公開されているウェブサイトの脆弱性をあの手この手を用いて執拗に攻撃を繰り返します。そして、短時間かつ容易に対象企業へ侵入することが可能となったのです。

このような背景から、最近では「二重脅迫型ランサムウェア」が主流となっています。これは、「データを取り戻したければ、身代金を払え」と脅迫した後、さらに「身代金の支払いを拒否すれば、奪取した暗号化する前のデータをインターネットに公開する」と続けて脅迫してくるランサムウェアのことです。

例えば、新製品の情報や研究データなどの知的財産、顧客情報や社員のマイナンバーの個人情報、経営関連する重要な機密情報などが狙われます。企業が守るべき機密性の高いデータの漏洩は、身代金を支払わずとも企業として多大なリスクになります。

それでは次に、代表的なランサムウェアの身代金要求事例をご紹介します。

二重脅迫型ランサムウェアの先駆けと言われる「Maze（メイズ）」

Mazeとは2019年11月に登場し2020年5月に閉鎖されたランサムウェアです。前述した二重脅迫型ランサムウェアの先駆けと言われ、奪取したデータを開示し企業に甚大な被害を及ぼした代表的なランサムウェアです。Mazeの攻撃手法は以下の通りです。

【Mazeの攻撃手法】

盗難または推測されたリモート・デスクトップ・プロトコル（RDP）の認証情報（ユーザー名とパスワードの組み合わせ）を使用してネットワークに侵入し脆弱性を突きながら攻撃をしかける。
攻撃方法も巧妙で、「偵察（脆弱性調査、被害が最大化されるマシンを特定）」、「水平移動（自身を拡散し偵察後のマシンに感染しようとする）」、「権限奪取（管理者権限を奪取し影響度の高い端末に感染）」、「存続（セキュリティ対策を回避し存続）」、「攻撃（データ暗号化と流出）」を繰り返し、被害を拡大させていく。

※インターネット、wiki調べ

事例としては、二重脅迫型は身代金を支払わない、拒否し続けるケースが多いようです。実際は機密性の高いデータが外部に流出され、以下のような被害をもたらせています。

2020年4月米IT大手Cognizant社が公式WebサイトでMaze被害を報告
2020年6月米ハードウェア企業MaxLinear社が盗まれたファイルに関して報告
2020年8月キヤノンUSA社の10TBデータ流出
2020年8月xerox社の10GBのデータ奪取
2020年8月LGエレクトロニクス社のソースコードデータ流出

※インターネット調べ

上記のなかでもCognizant社（フォーチュン500企業であり、ITサービスの最大のグローバルプロバイダーの1つ）は、攻撃の犠牲者となり、全面的に大規模なサービスの中断を引き起こしました。

同社のWebサイトでは、攻撃によりどの利害関係者に影響を及ぼしたのかなどの詳細情報の公表はしてないですが、サービスが完全復旧するまで数週間かかったと思われます。そしてビジネスが遅延・停止したことは公表しており、損害額は5,000万～7,000万ドル（当時のレート換算で計算すると、約54憶～75億円）にまで及んだとも言われています。

このように、たとえ身代金を支払わずとも、企業イメージの悪化・失墜、利害関係者（株主、取引先等）との問題が発生します。更には政府機関の規制に反することから課せられる罰金、ビジネスへの悪影響から生じる機会損失や損害金など、その代償は身代金どころでは済みません。

史上最高額の身代金を要求した「REvil（レビル）」

2019年4月に登場し2021年10月に閉鎖されるまで活動したREvilとは、RaaSを用いたロシア系のハッカー集団であり、別名「Sodinokibi（ソディノキビ）」と言われています。

2022年3月8日に日本IBMが纏めた年次レポート「IBM X-Force脅威インテリジェンス・インデックス2022によると、REvilは全ランサムウェア攻撃の37％を占（1位）、次いでRyuk（リューク）が13％(2位)となっています。アメリカ司法省によると、REvilが閉鎖された2021年10月の時点で、世界の17万5,000台のコンピューターが被害を受け、2億ドル（約226億円）の身代金が支払われていると言われています。世界で最も利益を上げたハッカー集団と報告されています。REvilの攻撃手法は以下の通りです。

【REvilの攻撃手法】

C言語で作られている暗号システムであり、ファイルの暗号化にurve25519/Salsa20を採用、鍵の暗号化にurve25519/AES-256-CTRを採用している。つまり一度ファイルやデータを暗号化されると解読が非常に困難であり、当時最も優れた暗号化システムと呼ばれている。
身代金を多く支払える財力のある企業を対象とする「標的型攻撃」であり、アンチウイルスソフトやその他の手法による検知を防ぐ手段を数多く使用するため、簡単に企業内部に侵入してくる。
被害者のネットワークからデータを盗みだし、ファイルを暗号化し使用不可にする。デフォルトのWindowsバックアップメカニズム（シャドウコピー）やNASやテープといったバックアップファイルを削除し、自力では復旧できないようにする。復旧するための暗号キーは身代金と引き換えとなる（二重脅迫）。

※インターネット、wiki調べ

ここで代表的なAcer社の被害事例を紹介します。

2021年3月10日前後に、世界で最大12万5,000個のMicrosoft Exchange Serverがセキュリティのアップデート対応の遅れがあるとの記事が掲載されました。このタイミングでREvilは、Apple Watchの組み立てを行っている台湾部品メーカー（Acer,inc社）に対して、Microsoft Exchange Serverの脆弱性をついて攻撃したと言われています。

REvilは、Acer社から機密情報を盗んだことを証明するために、詳細な財務情報、銀行口座番号、通信状況などの画像をデータ漏洩サイトに公開したり、機密設計図をオークションに出展したりしたりして、脅迫を繰り返したとされています。

REvilは、身代金の支払いの期日を提示し、期日までなら5,000万ドル（約55億円）、その支払い期限を過ぎた場合には1億ドル（約110億円）を支払わなければ、奪取した各種データをリークサイトで公開すると脅迫しました。この金額は、身代金要求額としては史上最高額となりました。

Acerは身代金を要求されてからREvilと値引き交渉したとされています。公式声明の中で「直近の異常な事態については、複数の国の法執行機関やデータ保護当局に報告済みだ」と述べ、要求には拒み続けたという記述が残っています。

まとめ

ランサムウェアの被害は身代金の要求に応じたとしても、ロックや暗号が解除される可能性はごくわずかです。金銭を支払うと攻撃者の思惑通りの結果となり、ランサムウェアの拡散を助長することになってしまいます。

また、身代金を支払わらなかったとしても、機密性の高いデータが流出し企業イメージを著しく悪化させるため、企業にとっては甚大な被害を及ぼす可能性が高いのです。

ランサムウェア対策をする上では、まずは二重脅迫型ランサムウェアを想定し、「文書を重要度に分類する(図1参照)」、「外部流出することを考慮し暗号化してデータ管理する」、「人為的な情報漏洩リスクも考慮し管理者の選定や社内教育を実施する」などの対策が重要となります。いずれのデータも犯罪者グループから狙われやすい機密データであり、奪取されてからでは遅く、交渉も負け戦となります。

図1.機密文書のレベルと該当する文書（ネット調べで筆者が作成）

また、ランサムウェアの被害を未然に防止するためには、さまざまな対策がありますが、実際のところセキュリティ侵害されないネットワークは存在しないと考えるのが現実的です。

ネットワークレベルで入口対策をしたとしても、メール1つで簡単に企業内に侵入されますし、犯罪者グループが狙う脆弱性は今後も無くなることは絶対にありません。また、侵入後に活動を記録し、監視して発見するというような仕組みも正しいですが、それですべてを発見できるとは限りません。そのため、各種のセキュリティ対策を施しながら、侵入されることを前提で、侵入されても発症させないタイプのセキュリティ製品の導入も有効であると言えるでしょう。

弊社ではランサムウェア対策やEmotet（エモテット）対策を学びたい方に参考になる資料「ランサムウェア被害・EMOTETの脅威をこっそり学べるガイド」をご用意しています。本資料は企業のセキュリティ強化に向けて必見の資料です。ぜひダウンロードいただき、ご覧ください。

本記事は2022年9月16日のインターネット等の情報を基に作成しています。