情報セキュリティやIT運用、テクノロジーに関する最新の動向、
弊社商品の情報などをご紹介するサイト

Sky株式会社

SKYSEA Client View
情報セキュリティ対策
公開日2023.02.22更新日2024.01.24

第11回「どう悪用しようか?」
攻撃者の目線を知って行うセキュリティ対策

著者:Sky株式会社

「どう悪用しようか?」<br /> 攻撃者の目線を知って行うセキュリティ対策

他社のシステムに侵入する『ペネトレーションテスト』を業務とする筆者が、攻撃者の目線でセキュリティ対策について考えます。

上野 宣 氏

株式会社トライコーダ 代表取締役

上野 宣 氏

奈良先端科学技術大学院大学で情報セキュリティを専攻。2006年に株式会社トライコーダを設立。ハッキング技術を駆使して企業などに侵入を行うペネトレーションテストや各種サイバーセキュリティ実践トレーニングなどを提供。

ランサムウェアはどこから来るのか?

ランサムウェアはデータを人質に取る

ここ数年、テレビのニュース番組でも「ランサムウェア」という言葉を耳にするようになりました。ランサムウェアとは「身代金要求型ウイルス」などと呼ばれるコンピュータウイルスの一種です。コンピュータ内のデータやディスクを勝手に暗号化することで、データを人質に取って身代金を要求します。

暗号化されたコンピュータ画面には、ビットコインなどの仮想通貨で数万ドルから数100万ドル支払えば復号する鍵を送るという、身代金を要求するメッセージが表示されます。過去には、身代金を支払わなければ盗んだデータを公開するとさらに脅しをかける事例もありました。

ランサムウェアはアンダーグラウンドでは大きなビジネスになっていて、ランサムウェアを開発する組織や、ランサムウェアを使って攻撃する組織などが存在しています。警視庁の報告書によると、2021年はランサムウェアによる被害が把握しているだけで146件も起きています。

ランサムウェアはどこから来るのか?

ランサムウェアはウイルスの一種ですから、侵入経路はほかのウイルスや不正アクセスなどと同様です。よくある侵入経路としては下記のものがあります。

ほかにも侵入経路はありますが、公開されている事例では記載の3点を原因とするものが多数を占める状況です。

また、EDRやアンチウイルスソフトウェアなどのセキュリティ対策を行っていても、ランサムウェアにも最新のほかのウイルスと同じくそれらを回避する機能などがあり、感染してしまう可能性は十分にあります。

また、最初の端末に侵入した後も活動はさらに続き、ネットワーク内に存在するほかの端末に対して共有フォルダやリモートデスクトップ、管理用の機能などを狙って攻撃を仕掛け続けます。それによってネットワーク内の複数の端末をランサムウェアに感染させ、重要なデータやバックアップデータまで暗号化のターゲットとするのです。

よくある侵入経路

  • VPN装置経由
    メンテナンスや社内ネットワークへのアクセス用に使われている“アップデートされていないVPN装置”の脆弱性を利用して、IDやパスワードを窃取したり、弱いパスワードなどを破って侵入
  • リモートデスクトップ(RDP)経由
    インターネットに公開されている、リモートデスクトップのユーザーIDやパスワードを破って侵入
  • メール経由
    メールの添付ファイルやダウンロードURLを受信者に実行させることで遠隔操作が可能になり侵入

身代金を払うとデータは復元するのか?

相手は犯罪者ですから、身代金を支払えば確実に復号できるという保証はありません。過去には身代金を支払うことで復号できた事例も多数ありますが、支払ったのに復号鍵が送られてこなかったという事例もあります。

犯罪者もビジネスとしてランサムウェア攻撃をしているので「この犯罪者にお金を払っても復号できない」といううわさが流れると、身代金を支払う被害者が減ってしまう可能性も。そのため、身代金を支払えば復号鍵は送られてくる可能性が高いとも考えられますが、これは確実ではありません。

また、犯罪者に身代金を支払うことが反社会的組織への支払いに該当し、会社のコンプライアンス的にそれで良いのかという懸念もあります。

徳島県つるぎ町立半田病院の事例

2021年10月末に徳島県つるぎ町立半田病院で起きたランサムウェアの事件は、その経緯や対策などが有識者会議調査報告書として公開されています。病院組織はもちろん、中小企業などでよくある環境で起きた事件の報告書ですので、非常に参考になるはずです。ぜひ一度は目を通すことをお勧めします。

事件は2021年10月31日未明、半田病院内の複数台のプリンターが一斉に犯行声明を印刷し始めたことで発覚します。感染したのはLockBit2.0と呼ばれるランサムウェアで、電子カルテや複数台の端末が暗号化された結果、救急を含む新規患者の受け入れ中止など、病院としての機能を事実上停止する事態に陥りました。

半田病院の感染経路は事件当時の重要なログが残されていないことから真相は不明です。しかし、電子カルテシステムなど医療システムではメールを使用していないとのことですから、メール経由での侵入は考えにくいでしょう。また、外部に公開されたサーバーは存在せず、リモートデスクトップ接続なども行われていないため、その経路での侵入もないと思われます。消去法で考えると、電子カルテなどのメンテナンスを行う際に接続するVPN装置が侵入経路だと考えるのが妥当です。このVPNの脆弱性(CVE-2018-13379)は本連載の『第4回 VPNへの不正アクセスはプライベートネットワークへの道』でも取り上げました。

Windowsやソフトウェアのアップデートを行っていなかったり、Active Directoryで弱いパスワードを使っていれば、院内でのさらなる感染拡大の原因となります。

ランサムウェアに備える

ランサムウェアへの対策は、ほかのウイルス対策と同様です。以前からいわれているセキュリティ対策にしっかり取り組む必要があります。特に、昨今狙われるリスクの高いVPN装置やリモートデスクトップなど、インターネットに公開されているシステムには注意が必要です。ファームウェアやソフトウェアのアップデート、IDやパスワード管理は必須です。

万が一ランサムウェアに感染してしまったときのためにも、少なくとも重要データやシステムのバックアップは必ず取っておきましょう。その際、同じネットワーク内にバックアップデータを置くと、そのデータまで暗号化されてしまう可能性もあるので、別メディアに保存するなどの対策が必要です。

(「SKYSEA Client View NEWS vol.88」 2023年1月掲載)