企業などの組織を狙ったサイバー攻撃が後を絶たない。それどころか近年では、手口が巧妙化し海外のみならず国内においても被害件数が増加している。身代金の要求を拒否し、最大約35万件の個人情報が流出した可能性がある大手ゲーム会社のカプコンが記憶に新しいだろう。
企業や自治体、大学などの教育機関は、どのようにすればサイバー攻撃を未然に防ぐことができ、インシデント発生時はどのように対処すればいいのだろうか。このほど、IIJが個人・法人に対する最新のサイバー攻撃/脅威動向とその対策に関する説明会を開催したので、その内容をもとに、近年増加傾向にある「人手によるランサムウェア攻撃」や「Emotet(エモテット)」の最新動向や対処方法を紹介したい。
人手によるランサムウェア攻撃の増加
近年、ランサムウェアを使った攻撃が進化している。従来は不特定多数の個人ユーザーに仕掛けられていたが、最近では特定の企業や組織を狙った攻撃が増加しており、侵入経路についても、「ばらまき型メールや悪意のあるWebサイトからのマルウェア感染」よりも「RDP(Remote Desktop Protocol)やVPN(Virtual Private Network)製品の脆弱性からのマルウェア感染」が被害の大半を占めている。
また、ワーム機能による機械的な内部拡散ではなく、人的操作による広範囲かつ確実な拡散が主流になり、多額の身代金を要求するためデータ暗号化の前に情報窃取する動きも頻繁に見られるという。
このような組織を狙ったランサムウェア攻撃は、2018年頃から米国を中心に被害が急増しており、特に米国では、自治体や大学で多くの被害が出ている。自治体の場合は救急サービスにも影響が出てしまうため、身代金要求などの脅迫に対応するケースもしばしば発生している。サイバー保険サービスの広がりも、こうした支払いに応じる選択をする理由の一つになっていると考えられる。
そして、2020年8月20日に情報処理推進機構(IPA)が注意喚起したように、海外企業だけでなく、日本企業(特に海外拠点)での被害も増えているのが現状だ。
鉄建建設を例に挙げる。同社では2020年9月23日、自社サーバ約70台のうち約95%が暗号化などの被害を受け、社員PC約3000台のうち約10%のPCでアンチウイルスソフトがアンインストールされた。攻撃に使われたランサムウェアは、同社が準備していたウイルス対策ソフトでは検出できない新しいタイプだったという。サーバ群の復旧には1~2週間かかり(被害が大きいメールサーバを除く)、身代金の要求を断ったことにより、窃取された内部情報の一部がリークサイトで公開された。
ランサムウェア攻撃への対策
しかし、「こうした被害は最低限の対策をしっかりと講じることで予防できる」と、IIJ セキュリティ推進部 インテグレーション課 秋良雄太氏は語る。侵入防止の観点からは、重大な脆弱性について内部に侵入されることを前提で判断し、できる限り早急にパッチを適用することが最優先だという。
また、外部からのアクセス経路についてはできる限り接続元制限や多要素認証を利用し、社内からであっても各種リソースへのアクセスは必要な範囲に権限を絞る必要がある。各種アカウントについても、業務上必要な範囲に権限を絞ることで不正アクセスを防ぐことが可能だ。
「特に被害事例で多いセキュリティ対策が不十分になりがちな海外拠点からのアクセスについては注意する必要がある」(秋良氏)
インシデント発生時に備えた対策としては、バックアップ・ログの取得が必須だという。ネットワーク内のバックアップでは削除や暗号化される危険性があるため、物理的に分離された場所や媒体へバックアップを取得する必要がある。また、被害が発生した場合は、早急に侵入経路の特定を行わなければ復旧対応中に再度侵害を受ける危険性もあり、調査時に必要なログの取得は欠かせない。
早期に検知することも、インシデント発生時にはかなり重要なことだ。秋良氏は、「多くの被害ケースでは、初期侵入から暗号化までは、2、3日程度かけているため、EDR(Endpoint Detection and Response)やSOC(Security Operation Center)などの活用により早期検知することで被害は極小化できる」と、説明する。
拡大するEmotet感染による被害
また近年、感染力が非常に高い「Emotet」による被害も増えてきている。Emotetは、2014年頃にバンキングマルウェアの一種として利用され始めた。そして、2017年7月頃に2種類の拡散機能が実装され、2019年5月頃から国内の感染被害が増え始めている。秋良氏によると、2020年2月以降は、ばらまきメールは観測されなかったが、同年7月頃から活動が活性化しているという。
国内の被害事例としては、2019年11月に起きた首都大学東京が挙げられる。同大学によると、1万8千件を超えるメール情報が流出した可能性があるといい、大学教員をターゲットにした標的型のフィッシングメールに添付されたファイルを開封したことが原因だとしている。
Emotetの配信パターンは3つある。従来と同様の、請求書の案内や会議開催通知などの一般的によく使われるような内容を記載している「ばらまきメール型」、被害端末から窃取したメール本文の情報を引用し返信メールになりすます「返信型」、もともと入手しているアドレスや被害端末から窃取したアドレス情報(アドレス帳やメール本文)を利用し返信メールを偽装する「偽装返信型」の3つだ。
返信型が使われている場合は、自組織と取引先のどちらかが感染している可能性が高いが、実際の送信元アドレスは第三者であるため、単なるなりすましと勘違いしやすいのが特徴だ。このようなメールを受け取った場合、必ず自組織が被害にあっていないかどうかを確認する必要がある。
Emotet感染時の対処が不十分なケースが多発
秋良氏は「Emotetに感染した時、対処方法が不十分なケースが多い」と指摘している。Emotetは、自身に情報を窃取する機能はあるが、追加で他のさまざまなマルウェアに感染させるケースがほとんどだ。また最近では、直接Zloaderのダウンローダーとなるxlsファイルを添付したばらまきメールや、IcedIDのダウンローダーとなるWordファイルをパスワード付きzipで圧縮したばらまきメールなども多発しており、単なるEmotetと勘違してしまうケースもある。
そのため、JPCERT コーディネーションセンターが公開しているEmotet感染チェックツール「EmoCheck」を利用しEmotetを見つけて駆除するだけでは、他のマルウェアに感染した状態が続くので対処が不十分だという。フォレンジックなどの詳細調査を実施しない場合は端末の初期化するのが得策とのことだ。
「Emotet以外のマルウェアに感染したままでは、不正送金被害や人手によるランサムウェア攻撃の被害にあう可能性があるため、確実に根絶させる必要がある」(秋良氏)