データを窃取して脅迫的活動を行うサイバー犯罪と対策

「ランサムウェア」から始まった脅迫的サイバー活動の今

ランサムウェアとは、身代金を意味するランサム(ransom)とソフトウェア(software)を組み合わせて作成された造語です。侵入したコンピュータに保存されたデータを暗号化し、復号と引き換えに金銭を要求する不正プログラムは、ランサムウェアに分類されます。
ランサムウェアの1種である Wannacry は Microsoft Windows の脆弱性を狙って拡散を試み世間を大きく賑わせました。また、他にも様々な種類のランサムウェアが登場し、現在ではランサムウェアという名称は世に広く認知された用語になったと言えるでしょう。

ランサムウェアの登場以降、脅迫的サイバー攻撃の手法や攻撃対象は様々な変遷を遂げています。トレンドマイクロではブログでもその変遷について取り上げる※1などしながら、継続して調査を行っています。
また昨今、これまでに観測されているランサムウェア攻撃や盗み出したデータを公開すると脅迫するダブルエクストーション（二重脅迫）型のランサムウェア攻撃に加え、ランサムウェア自体を使用せずに金銭を要求するサイバー犯罪も観測されています。

この記事では、当研究所が観測している現在活発な脅迫的サイバー活動を考察し、その対策について検討します。

※1 ランサムウェアの脅威の変遷と今後の予測
https://blog.trendmicro.co.jp/archives/15216

拡散活動の変遷とダブルエクストーション

ランサムウェアの感染手法はこれまでに、下記のような様々な手法が観測されています。

・電子メールでの配布によるもの
・Webブラウザの脆弱性を悪用してインターネットサーフィンをしている最中に感染をさせるもの
・ネットワーク経由で攻撃可能な脆弱性を悪用して、感染端末から別の端末へ感染を拡大するワームタイプのもの

更には、ランサムウェアとは異なる複数の不正プログラムへの感染が起点となってランサムウェアの感染に至った事例も確認しています。 Emotet はその一例です。
Emotet は拡散に盗用したメールへの返信を装う手法を取ったことで日本国内においても猛威を振るい、多数の組織や端末がその被害者となりました。また2021年初めには欧州捜査当局によりテイクダウンされ大きなニュースになったことも記憶に新しいところでしょう。Emotet はその出現当初、侵入した端末から銀行口座に関する情報を盗み出すことを主目的としたバンキングトロジャンとして活動していました。
しかし Emotet は、自身単体で不正な活動を行うものではなくインターネットから目的毎に都度インターネットから追加の命令をダウンロードして実行する仕組みを採用し、更には別の不正プログラムへ感染させるためのインフラとも言えるような役割を担うようになりました。

Trickbot や Qakbot、Zloader などの不正プログラムも同様に、別の不正プログラムのダウンローダとしても使用されており、これらの不正プログラムへの感染端末を分析した結果、ランサムウェアが同時に発見されるという事例を確認しています。ボットネットを形成する不正プログラムとランサムウェアのような別の不正プログラムが協力関係になるのは、RaaS(Ransomware as a Service) ※2の発展もその一因であると見られます。

加えて2019年以降、ダブルエクストーション型ランサムウェア攻撃の被害が続出しています。
ダブルエクストーション型ランサムウェア攻撃とは、従来型のようなファイルの暗号化のみにとどまらず、盗み出したデータを公開すると二重に脅迫して金銭の支払いを要求する攻撃を指します。
VPN装置やネットワーク装置の脆弱性を悪用し、外部から企業ネットワークへ侵入する手口が頻繁に使われています。盗み出したデータの一部を先に公開してデータの持ち出しに成功している証拠であるとPRするケースや、時間経過とともに公開するデータを追加してじわじわと被害者を苦しめ、金銭の支払いを迫るケースも確認されています。

［参考］
※2 闇市場とサイバー犯罪：「RaaS」ランサムウェアのサービス化
https://blog.trendmicro.co.jp/archives/17416

ランサムウェアを使用しない脅迫的サイバー活動

企業ネットワークに侵入後、データの持ち出しのみを行い、ファイルの暗号化はせずにデータの公開と脅迫のみを行う、ランサムウェアを使用しない攻撃が確認されています。当研究所の観測においてはこうした攻撃を行っているアクティブなグループ数は増加傾向にあります。なぜ攻撃者はこのような行動を取るのでしょうか。考えうる状況をいくつか列挙します。

１．ランサムウェアを開発するコストやメンテナンスするコストがかかること開発コストやメンテナンスコストに加え、RaaSを通じた調達であれば手数料がかかる点は、ランサムウェアを使わない選択肢を取る理由として挙げられます。
長くランサムウェア活動を継続していて開発やメンテナンスのノウハウが潤沢な言わば老舗のグループと異なり、今後活動を開始するような新興の攻撃者グループにとっては、ランサムウェアを使わずに行う脅迫的サイバー活動は低コストであるため参入障壁も低いと言えます。

２．攻撃者が対象組織への侵入後にランサムウェアの使用可否を判断すること攻撃者グループの中には、企業ネットワークへ侵入し内部偵察を行い、侵入した企業の業種や規模、及び持ち出し可能なデータの属性を確認して攻撃効果の最大化を図っている集団がいる可能性があります。
一般的には、会計データや顧客情報などはデータが公開されることのほうがダメージは大きいでしょう。データが暗号化されたことに対してはバックアップデータを復元すれば一時的には対処できますが、データを外部に公開されてしまう場合は自組織による対応で完結できないからです。
一方で、医療に使用される電子カルテのようなデータについては、公開による脅迫よりも暗号化のほうが被害組織にとってダメージが大きい可能性があります。侵入後に攻撃者にとって収益を最大化できる選択肢を考慮してランサムウェアの使用可否を判断するという選択は自然であると考えます。

３．攻撃者が継続的にデータを持ち出せるように侵入経路を維持することファイルの暗号化を行うとその時点で被害組織が侵入を認知します。そのため、継続して侵入している状態を保持し、更なる情報を持ち出すことを目指すならば、あえて暗号化はしないという選択肢を選ぶことも考えられます。

４．被害組織が要求に応じない場合に更なる脅迫として暗号化を行えるようにすること被害組織がデータの公開停止に対する金銭の支払いに応じない場合にのみランサムウェアを使用しファイルの暗号化を図るなど、攻撃者グループ側がオプションとしてその権利を保持することを選ぶケースも出てくるかもしれません。

上記のような事項を鑑みて私たちはこの攻撃が今後も増加するであろうと推測しており、攻撃者のグルーピングや被害地域及び業種等の調査を含めた分析を通じて被害の根絶に向けて活動しています。

自組織が取るべき対策は？

様々な変化を遂げる脅迫的サイバー活動に対して取るべき対策は、従前の対策で十分でしょうか？脅迫的サイバー活動に係る攻撃の大半は従来の対策で防げるものです。各所で提言されているパッチマネジメントやネットワーク防御・監視は重要であり実際に効果が高く、脅迫的サイバー活動に対しても例外ではなく効果的です。また、攻撃者が組織のネットワークに侵入後、端末で動作しているエンドポイントセキュリティ製品を停止させ、不正プログラムやハッキングツールを実行するケースが多く観測されています。例え一台の端末が被害にあったとしても組織ネットワーク深部への侵入を防ぐべく、多層防御やゼロトラストといった考え方は重要です。

また、ネットワーク境界に存在するサーバやVPN機器などの脆弱性については特に注意が必要です。例えばVPN機器において、VPN接続に用いる認証情報を攻撃者が入手できてしまう脆弱性の場合、セキュリティパッチを適用したとしてもその前に取得された認証情報を使用してネットワークに侵入されてしまう可能性があります。そのようなケースにおいてはセキュリティパッチの適用だけでは不十分であり、合わせて認証情報の更新が必要です。パッチマネジメントに加えて、脆弱性の内容について理解し正しく対処することも重要でしょう。

窃取したデータを公開されたくなければ金銭を支払えという要求にはどのように対応すべきでしょうか。もちろん、犯罪者に安易に金銭を支払うことが得策とは言い難いと考えられます。仮に金銭を支払い一時的にデータの公開が停止されたとしても、再度脅迫されたり何らかの手段でそのデータを手に入れた第三者が脅迫してきたりする可能性は消えません。また、そもそもサイバー犯罪者の約束がどの程度信用できるのかという問題も残ると考えられます。一方で、人命が掛かっている場合や事業の存続危機である場合など苦渋の決断を迫られるケースがあるかもしれません。昨今このようなサイバー攻撃が発生しているということを念頭に置き、事前に被害をシミュレーションして自組織が取るべきアクションを決めておくべきでしょう。

また、こうしたサイバー攻撃を犯罪するためには、犯罪者の収益を絶つこと（つまり金銭を支払わないこと）と、捜査当局や法執行機関による攻撃者への追求が必要です。一般論として、相談ケースが多いほど犯罪捜査の手がかりになる可能性が高くなります。仮にひき逃げ事件を目撃したり特殊詐欺に係る電話を受けたりしたら、警察へ通報する人は多いでしょう。サイバー犯罪に関してもそうした行動は被害組織や関係者に対する社会的要請であるとも言えます。管轄警察署への相談や連携が他組織の被害を防ぐきっかけになるかもしれません。

サイバー犯罪に立ち向かうデジタル社会に近づくために、復旧手段や対応方針を整えておくこと、攻撃を受けないための対策をしっかりと実施すること、そして、実際に被害にあった際には警察との連携を検討する意識が重要と考えます。

サイバーセキュリティ・イノベーション研究所
スレット・インテリジェンス・センター

トレンドマイクロのサイバーセキュリティ・イノベーション研究所の中核センターの一つ。サイバースレットリサーチを通じ、日本社会と国内組織の安全なセキュリティイノベーション推進を支援する研究組織。日本国内を標的にした高度なサイバー攻撃や国家が背景にあるサイバー攻撃など、グローバルとリージョン双方の視点で地政学的特徴や地域特性を踏まえた脅威分析を行い、日本社会や国内組織に情報提供や支援を行う。