数字で見る「ランサムウェア」と「標的型攻撃」

小山安博

May 23, 2016 15:00
by 小山安博

いよいよ日本でも「ランサムウェア」の被害が広がり始めてきた。ランサムウェアは、感染すると被害者のデータを暗号化して利用できないようにし、復号化のための金銭を要求する「身代金要求型」マルウェアのことだ。

セキュリティ大手各社が、2016年のセキュリティ動向について発表しているが、共通して目立っていたのがランサムウェアの急増についてだった。同じく昨年より頻繁にマスメディアでも取り沙汰されるようになった「標的型攻撃」と併せて、最新の数字を見てみたい。

日本企業のランサムウェア検出台数は前年比16.2倍増

シマンテックによると、こうしたマルウェアは4段階を経て進化してきたという。2005年から2009年ごろは「PCのシステムに問題を発見した」という名目で偽アプリを購入させるものが流布し、2010年から2011年には「ウイルスに感染している」と脅して偽アンチウイルスソフトを購入させる攻撃が頻発。2012〜2013年になると、感染するとPCをロックして使えなくする「ロック型ランサムウェア」が流行し、解除するために金銭を支払うことが要求されるようになった。

そして14年から流行しているのが「暗号型ランサムウェア」だ。PC自体は使えるが、ファイルが暗号化されて使えなくなってしまうため、致命的なデータが保存されていた場合、企業の業務に大きな影響が出る危険性がある。

シマンテックによるランサムウェアの変遷

シマンテックが発見した暗号型ランサムウェアによる攻撃は、2014年が26万9000件で1日平均737件だったが、15年には36万2000件、1日平均992件となり、35%も増加したという。

暗号型ランサムウェアが急増している

2016年もランサムウェアによる攻撃は多く発見されているが、特に日本での攻撃が目立ってきているとカスペルスキーは言う。今年2月にカスペルスキー製品ユーザーがブロックした3種類のランサムウェアは、検出数がどれも日本が突出して多くなっている。しかも、日本におけるカスペルスキー製品のシェアは欧州に比べて低いことから、実際の攻撃数はさらに多いのではないかとカスペルスキーは予想する。

日本で広がるランサムウェア

シマンテックの調査では、2015年全体でランサムウェア検知数は日本が世界で17位、アジア太平洋地域では3位という結果で、やはり日本への攻撃は増加しており、シマンテックも「日本は今後かなり狙われるのではないか」と危惧する。

日本はアジア太平洋地域で3位と攻撃が増えている

トレンドマイクロの発表でも、日本企業の同社製品利用者でのランサムウェア検出台数は前年比16.2倍と急増したとしており、世界の2.3倍に対して高い増加率となっている。ESETの国内販売元であるキヤノンITソリューションズによれば、ランサムウェアをダウンロードするマルウェア「Nemucod」は、Eメールによる攻撃の82%に添付されていたという。しかも、この攻撃が最も多かったのが日本だったそうだ。

ダウンローダーのNemucodの検出率。日本が特に多い

これまで、日本はマルウェアやフィッシング詐欺などの攻撃に狙われにくい傾向があった。日本語が2バイト文字ということもあるし、英語メールの添付ファイルをいきなり開くといったことも起こりにくく、日本語の文面の場合でも不自然なものが多かった。

しかし、最近は自然な日本語を使ったフィッシング詐欺メールやマルウェア添付メールが増えており、日本が犯罪者の「稼ぎ場所」として認知されたことが窺える。それに加えて、ランサムウェア自体が闇市場で取引され、簡単に攻撃者が参入できるようになったことや、ランサムウェア攻撃の費用対効果(ROI)が1,425%とかなり効率がいい点からも、「今後も攻撃が継続する」とキヤノンITは予測する。

ランサムウェアは、データを暗号化して使えなくすることで、復号化するための金を脅し取るのが目的だ。そのため、感染すると連絡先が表示されるのが一般的である。実際に金銭を支払っても復号化されないという懸念もあるが、「継続して金を脅し取るために、手厚いサポートを行う」(シマンテック)ことが多いというのが興味深い。「金を払っても復号化されない」という情報が広まると、結果として支払う人がいなくなってしまうからだと考えられ、非常にビジネスライクなサイバー攻撃である。

手厚いサポートが提供されるのがランサムウェアの特徴

以前はランサムウェアの質も低く、暗号化キーがマルウェア本体と一緒にシステム内にインストールされ、それを探し出せば解読できてしまうといったケースや、一部では「バグがあって犯罪者側でも復号化できなかった」(カスペルスキー)ということもあったようだが、最近は品質が大きく向上し、そういったこともあまりないという。

ランサムウェアの難しい点は、脅し取る金額が極端に高くないため、支払いが選択肢に入ることだ。攻撃者側の「サポート」は、チャットや電話などがあるが、現時点で「東京の市内局番もあるが、日本語でのサポートは確認していない」(シマンテック)という。とはいえ、カネさえ支払えば再びデータが復旧できるというのであれば、それを選択せざるをえないという場合もあるだろう。

シマンテックが対策として推奨するのは、「バックアップを取っておく」ということに尽きるという。仮にランサムウェアに感染した場合に攻撃者に金を支払うかどうかのアドバイスはできないとしており、とにかく「暗号化されても復旧できる体制」を取っておくことが重要だという。

「標的型攻撃の85%以上は防御可能」

ランサムウェアと同様に多いのが標的型攻撃だ。シマンテックによれば、日本に対する標的型攻撃は世界で7位の攻撃数だが、大企業に対する攻撃が59%を占めて、世界平均の35%に比べると数が多い。特に卸売、サービス業が多く、「製造業と消費者の間」をになう業種やホテル業に集中している。ホテルのような顧客情報を持っている業種だけでなく、卸売と取引関係にある製造業のシステムへのアクセスを狙う攻撃も多いとシマンテックでは見ている。

日本でも標的型攻撃が拡大中

卸売やサービス業への攻撃が多い

カスペルスキーでは、標的型攻撃への対策は「簡単なことで防げる」と指摘する。オーストラリア国防省通信電子局(ASD)が示した対策では、4つのことを実施するだけで「85%以上の攻撃を防御できた」という。アプリケーションホワイトリスティング、アプリケーションの脆弱性パッチ適用、OSの脆弱性パッチ適用、管理者権限の制限の4点で、それだけ未知の攻撃が少なく、既知の脆弱性への対応が遅れているということでもある。

標的型攻撃のほとんどが既知の脆弱性を狙っている

ASDによる4つの対策

今回はランサムウェアや標的型攻撃に絞って取り上げたが、犯罪者の攻撃手法は多様化し、洗練されてきており、モバイル環境やIoTなど、新たなターゲットも生まれてきている。セキュリティ各社も対策に乗り出しているが、脆弱性対策やバックアップなど、今からでも企業側で行えることはあるので、今一度自社内のセキュリティ対策を見直して欲しい。

小山安博

小山安博

フリーランスライター。IT系ニュースサイトの編集者からフリーに。海外を含めて日々取材をこなしており、セキュリティから携帯電話、デジタルカメラなどのガジェット系、法人ビジネスまで幅広くカバーする。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

善意のサイトが犯罪の片棒を担ぐ!? 手軽にサイバー犯罪を行う中国の富豪の子弟

February 19, 2018 10:00

by 牧野武文

中国のサイバー犯罪者というと、地方で工学系の大学を卒業したものの、仕事がなく、生活費に困って、知識を活かした犯罪をするというのが大半だ。しかし金持ちの子弟が、サイバー犯罪に手を染める例も数は多くないもの存在する。本来は、視覚障害者のためのサービスとして始まった「快啊答題」は、運営者がスリルを求めてサ…

「教科書アダルトリンク事件」の犯人が逮捕される

February 13, 2018 08:00

by 牧野武文

中国の中学高校用副教材『中国古代詩歌散文鑑賞』の中に、参考用としてアダルトサイトのURLが掲載されて教育界が大騒ぎになった事件を以前にお伝えした。このアダルトサイトの運営者が逮捕されたことを『騰訊新聞』が報じた。 「あぶれ組」による犯行 中国の人口は約14億人。中国政府は伝統的に教育に力を入れており…

悪いのは誰だ? フィットネストラッキングが「軍の秘密」を暴露する(後編)

February 9, 2018 08:00

by 江添 佳代子

→前編はこちら 人々の「動き」が伝える情報 Global Heatmapによって引き起こされた問題について、英語圏のメディアの多くは「Stravaのマップで世界の軍用基地が発見された」などの見出しをつけて伝えている。しかし、それは誤解を招きやすい表現かもしれない。なぜなら人々が報告した「場所」そのも…