数字で見る「ランサムウェア」と「標的型攻撃」

小山安博

May 23, 2016 15:00
by 小山安博

いよいよ日本でも「ランサムウェア」の被害が広がり始めてきた。ランサムウェアは、感染すると被害者のデータを暗号化して利用できないようにし、復号化のための金銭を要求する「身代金要求型」マルウェアのことだ。

セキュリティ大手各社が、2016年のセキュリティ動向について発表しているが、共通して目立っていたのがランサムウェアの急増についてだった。同じく昨年より頻繁にマスメディアでも取り沙汰されるようになった「標的型攻撃」と併せて、最新の数字を見てみたい。

日本企業のランサムウェア検出台数は前年比16.2倍増

シマンテックによると、こうしたマルウェアは4段階を経て進化してきたという。2005年から2009年ごろは「PCのシステムに問題を発見した」という名目で偽アプリを購入させるものが流布し、2010年から2011年には「ウイルスに感染している」と脅して偽アンチウイルスソフトを購入させる攻撃が頻発。2012〜2013年になると、感染するとPCをロックして使えなくする「ロック型ランサムウェア」が流行し、解除するために金銭を支払うことが要求されるようになった。

そして14年から流行しているのが「暗号型ランサムウェア」だ。PC自体は使えるが、ファイルが暗号化されて使えなくなってしまうため、致命的なデータが保存されていた場合、企業の業務に大きな影響が出る危険性がある。

シマンテックによるランサムウェアの変遷

シマンテックが発見した暗号型ランサムウェアによる攻撃は、2014年が26万9000件で1日平均737件だったが、15年には36万2000件、1日平均992件となり、35%も増加したという。

暗号型ランサムウェアが急増している

2016年もランサムウェアによる攻撃は多く発見されているが、特に日本での攻撃が目立ってきているとカスペルスキーは言う。今年2月にカスペルスキー製品ユーザーがブロックした3種類のランサムウェアは、検出数がどれも日本が突出して多くなっている。しかも、日本におけるカスペルスキー製品のシェアは欧州に比べて低いことから、実際の攻撃数はさらに多いのではないかとカスペルスキーは予想する。

日本で広がるランサムウェア

シマンテックの調査では、2015年全体でランサムウェア検知数は日本が世界で17位、アジア太平洋地域では3位という結果で、やはり日本への攻撃は増加しており、シマンテックも「日本は今後かなり狙われるのではないか」と危惧する。

日本はアジア太平洋地域で3位と攻撃が増えている

トレンドマイクロの発表でも、日本企業の同社製品利用者でのランサムウェア検出台数は前年比16.2倍と急増したとしており、世界の2.3倍に対して高い増加率となっている。ESETの国内販売元であるキヤノンITソリューションズによれば、ランサムウェアをダウンロードするマルウェア「Nemucod」は、Eメールによる攻撃の82%に添付されていたという。しかも、この攻撃が最も多かったのが日本だったそうだ。

ダウンローダーのNemucodの検出率。日本が特に多い

これまで、日本はマルウェアやフィッシング詐欺などの攻撃に狙われにくい傾向があった。日本語が2バイト文字ということもあるし、英語メールの添付ファイルをいきなり開くといったことも起こりにくく、日本語の文面の場合でも不自然なものが多かった。

しかし、最近は自然な日本語を使ったフィッシング詐欺メールやマルウェア添付メールが増えており、日本が犯罪者の「稼ぎ場所」として認知されたことが窺える。それに加えて、ランサムウェア自体が闇市場で取引され、簡単に攻撃者が参入できるようになったことや、ランサムウェア攻撃の費用対効果(ROI)が1,425%とかなり効率がいい点からも、「今後も攻撃が継続する」とキヤノンITは予測する。

ランサムウェアは、データを暗号化して使えなくすることで、復号化するための金を脅し取るのが目的だ。そのため、感染すると連絡先が表示されるのが一般的である。実際に金銭を支払っても復号化されないという懸念もあるが、「継続して金を脅し取るために、手厚いサポートを行う」(シマンテック)ことが多いというのが興味深い。「金を払っても復号化されない」という情報が広まると、結果として支払う人がいなくなってしまうからだと考えられ、非常にビジネスライクなサイバー攻撃である。

手厚いサポートが提供されるのがランサムウェアの特徴

以前はランサムウェアの質も低く、暗号化キーがマルウェア本体と一緒にシステム内にインストールされ、それを探し出せば解読できてしまうといったケースや、一部では「バグがあって犯罪者側でも復号化できなかった」(カスペルスキー)ということもあったようだが、最近は品質が大きく向上し、そういったこともあまりないという。

ランサムウェアの難しい点は、脅し取る金額が極端に高くないため、支払いが選択肢に入ることだ。攻撃者側の「サポート」は、チャットや電話などがあるが、現時点で「東京の市内局番もあるが、日本語でのサポートは確認していない」(シマンテック)という。とはいえ、カネさえ支払えば再びデータが復旧できるというのであれば、それを選択せざるをえないという場合もあるだろう。

シマンテックが対策として推奨するのは、「バックアップを取っておく」ということに尽きるという。仮にランサムウェアに感染した場合に攻撃者に金を支払うかどうかのアドバイスはできないとしており、とにかく「暗号化されても復旧できる体制」を取っておくことが重要だという。

「標的型攻撃の85%以上は防御可能」

ランサムウェアと同様に多いのが標的型攻撃だ。シマンテックによれば、日本に対する標的型攻撃は世界で7位の攻撃数だが、大企業に対する攻撃が59%を占めて、世界平均の35%に比べると数が多い。特に卸売、サービス業が多く、「製造業と消費者の間」をになう業種やホテル業に集中している。ホテルのような顧客情報を持っている業種だけでなく、卸売と取引関係にある製造業のシステムへのアクセスを狙う攻撃も多いとシマンテックでは見ている。

日本でも標的型攻撃が拡大中

卸売やサービス業への攻撃が多い

カスペルスキーでは、標的型攻撃への対策は「簡単なことで防げる」と指摘する。オーストラリア国防省通信電子局(ASD)が示した対策では、4つのことを実施するだけで「85%以上の攻撃を防御できた」という。アプリケーションホワイトリスティング、アプリケーションの脆弱性パッチ適用、OSの脆弱性パッチ適用、管理者権限の制限の4点で、それだけ未知の攻撃が少なく、既知の脆弱性への対応が遅れているということでもある。

標的型攻撃のほとんどが既知の脆弱性を狙っている

ASDによる4つの対策

今回はランサムウェアや標的型攻撃に絞って取り上げたが、犯罪者の攻撃手法は多様化し、洗練されてきており、モバイル環境やIoTなど、新たなターゲットも生まれてきている。セキュリティ各社も対策に乗り出しているが、脆弱性対策やバックアップなど、今からでも企業側で行えることはあるので、今一度自社内のセキュリティ対策を見直して欲しい。

小山安博

小山安博

フリーランスライター。IT系ニュースサイトの編集者からフリーに。海外を含めて日々取材をこなしており、セキュリティから携帯電話、デジタルカメラなどのガジェット系、法人ビジネスまで幅広くカバーする。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

アリペイの盲点を突いた男に懲役5年

May 15, 2018 08:00

by 牧野武文

アリババが運営するQRコードスマホ決済「アリペイ(支付宝)」のシステムは、かなり堅牢だ。 アリババは、どのようなセキュリティ対策をしているかは一切公表していない。ただ、ネットではよく「10段構えの防御システムになっている」と言われる。最も外の防御システムが突破されるとアラートが発せられて、緊急チーム…

刑務所をハッキングして友人の刑期を書き換えた男

May 11, 2018 08:00

by 江添 佳代子

2018年4月26日、刑務所のシステムをハッキングした罪で逮捕されていた米国人男性、Konrads Voits(27歳)に7年3ヵ月の禁固刑が下った。彼がミシガン州ウォッシュトノー郡のコンピューターシステムに侵入しようとした動機は、服役中の友人の刑期を短くするためだった。この「受刑者記録を改ざんすれ…

「事故前提の中国無人運転車」の公道走行試験

May 8, 2018 08:00

by 牧野武文

中国工信部、公安部、交通運輸部は連合して、「スマートネット自動車公道試験管理規範(試行)」を発表したと『中間村在線』が報じた。いわゆる無人運転車の公道走行試験の方法を国として定めたもので、中国はドライバレースカーの実用開発で他国を一歩リードすることになる。 無人運転の6要件 このガイドラインは、国と…