近年、ITベンダーやMSP(ITサービス提供業者)に対するサイバー攻撃が急増しています。世界的にも企業や組織に対するサイバー攻撃は増加していますが、中でも急増しているのがランサムウェアによる攻撃です。マルウェアの一種に分類されるランサムウェアの一番の特徴は「身代金」を要求すること。今回はランサムウェアの特徴から、実際に起きた被害、セキュリティ対策を最優先するべき理由などについて解説していきます。

ITベンダーを中心に急増する脅威

GoogleやSalesforceといった代表的なマーケットリーダーと共同でクラウドビジネスを展開する株式会社インターナショナルシステムリサーチ(以下、ISR社)が発表したサイバー攻撃の実態調査によれば、2021年1月から8月にかけて公表された日本におけるサイバー攻撃は161件。そのうち「ペイメントアプリの改ざん」が16%、「不正ログイン」が13.5%、「ランサムウェア」が12.9%、「脆弱性」が12.3%という結果でしたが、近年特に増えているのがランサムウェアによる被害だと報告されています。

また、IPA(独立行政法人 情報処理推進機構)が発表した「情報セキュリティ10大脅威 2021」でも、ランサムウェアによるサイバー攻撃の被害が第1位となっています。このように近年被害が急増しているランサムウェアとは、どのようなマルウェア(コンピューターを不正かつ有害に動作させる意図で作成された、悪意のあるソフトウェア)なのでしょうか?

ランサムウェアとは?

ランサムウェア(Ransomware)は、Ransom(身代金)とSoftware(ソフトウェア)を組み合わせた造語です。パソコンやサーバ、スマホなどがこのランサムウェアに感染すると、ユーザーの意図とは関係なく保存されているデータが暗号化され、見ることはもちろん、一切操作することができなくなります。ランサムウェアの作成者(犯罪者)は、感染したユーザーに身代金を要求する画面を表示し、支払いがなければ暗号化を解除する手段(ほとんどの場合は複合キー)を教えないと脅迫してきます。

ランサムウェアがやっかいなのは、この無差別な暗号化の被害がネットワークでつながった他のパソコンやサーバ、データストレージにまで拡散されてしまう点です。社内の1台のパソコンから全社に、場合によってはクラウドサービスを利用している顧客にまで被害が及ぶこともあり得ます。ひとたび感染すれば身代金が支払われるまで暗号化は解除できませんが、あるデータによれば日本の組織の52%がランサムウェアの被害に遭っており、支払った身代金の平均は1億2300万円にもなっています。

ランサムウェアは主にメールの添付ファイルで拡散されますが、偽ウェブサイトにアクセスした途端に感染した事例もあります。不審なメールやリンクには、決してアクセスしないように注意が必要です。

Kaseya社が受けたランサムウェア攻撃

ランサムウェアの猛威を一躍有名にしたのが、2021年7月に起きたKaseya社の被害です。米国・マイアミに本拠を置きIT管理ソフトウェアを提供するKaseya社は、MSP(マネージドサービスプロバイダー:ITサービス提供業者)にVirtual System Administrator(VSA)という、ネットワーク上のコンピューターをリモートコントロールするソフトウェアを提供しています。

このVSAにロシアのランサムウェアグループ「REvil」がサイバー攻撃を行い、結果としてKaseya社のVSAを利用している60社のMSPが感染し、最終的に2時間でMSPのクライアント1,500社がランサムウェアに感染する事態となりました。被害額は身代金という性質上、各社がその額を明らかにはせず全体は把握できていません。

この事件の一番の原因は、VSAがユーザーが使いやすいようにブラインドトラスト状態(ユーザーを無条件で信用する状態)になっていたこと。つまりユーザーの利便性を優先したことが、簡単に攻撃を許し被害を拡大させる原因となったのです。

利便性かセキュリティかは、本当に悩ましい問題

このような状況を踏まえて実態調査を行ったISR社は、ブラインドトラストからゼロトラスト(何も信頼しないことを前提に対策を講じるセキュリティの考え方)への移行と、セキュリティへの積極投資を提唱しています。たとえばMSPは高いセキュリティを実装したITベンダーを選択し、エンドユーザーの認証にはMFA(多要素認証)などを採用したセキュアソリューションを導入していく、ということです。

MFAとは、認証の3要素と言われる「知識情報」と「所持情報」、「生体情報」のうち、2つ以上を組み合わせて認証を行う仕組みです。最近ではシステムへのログインで、IDとパスワードを使った認証(知識情報)の他に、携帯電話などへのコードの送信(所持情報)が組み合わされる場合があります。これがMFAです。MFAは煩雑でありユーザーの利便性は低下しますが、セキュリティは格段にアップします。このようなセキュアなシステムの導入には投資が必要になりますが、セキュリティへの積極投資を行わなければ、その数倍もの被害(額)と、著しい信用の低下を招くことにもなりかねません。利便性を取るかセキュリティを取るかは本当に悩ましい問題ですが、早急に判断することが必要になっています。

まとめ

ネットワークのセキュリティ対策は、一朝一夕に、また容易にできるものではありません。特にITベンダーやSaaSといったクラウドサービスを中心に事業展開している企業では、完全に外部との通信をシャットダウンすれば事業そのものが成り立たなくなります。ユーザーの利便性を優先するか、セキュリティを堅牢にするかの問題は落とし所が本当に難しいのです。とはいえ、世界中で急増するサイバー攻撃に備える必要があることは言うまでもありません。ネットワークセキュリティを専門にする会社とじっくり協議し、自社に合ったセキュリティ対策を進めていきましょう。