ISACA東京支部基準委員会 福田重遠
1.ランサムウェアとは?
皆さまはランサムウェアのことをご存知でしょうか?
IPA(情報処理推進機構)が毎年公表している情報セキュリティ10大脅威でも常に、“ランサムウェアによる被害”が最上位に位置しています。
具体的に、ランサムウェアの定義やその歴史を振り返り、現在の発生状況を再認識し、新たな監査としてのランサムウェア対策に関する監査の実施について考えてみたいと思います。
まず、ランサムウェアとは、マルウェアの一種で·、感染したコンピュータをロックしたり、ファイルを暗号化したりすることによって使用不能にしたのち、元に戻すことと引き換えに「身代金」を要求するメッセージ(ランサムノート)を表示します。ランサムウェアという言葉はRansom (身代金)とSoftware (ソフトウェア)を組み合わせた造語です。 情報システム上に存在する、機微で、かつ重要な情報と引き換えに身代金を要求する犯罪行為の一つで、現代の情報化社会特有の犯罪といえます。
2.ランサムウェアの歴史
その歴史は1989年まで遡ります。
1989年に、世界初のランサムウェア はトロイの木馬「AIDSTrojan」が登場します。当時はインターネットもない時代で、「AIDSTrojan」は、フロッピーディスクを差し込んだシステムをユーザーが90回起動すると、ユーザーのファイル名が暗号化され、「パナマの私書箱に189米ドルを送金せよ」と被害者に要求する内容のメッセージが表示される仕組みになっていました。このランサムウェアは、オンラインの復号ツールを使えば比較的簡単に駆除することは可能でした。これが世の中に初めて登場したランサムウェアとなります
時代は経過し、2005年に保護された非対称暗号が使用されたランサムウェアが流行し、代表例は「GPcode」です。「GPcode」の攻撃対象はWindows OSで、最初は対称型暗号を使用していたものの、2010年には、より安全なRSA-1024を使用して特定のファイル拡張子を持つ文書を暗号化しました。これらのファイルは、身代金の支払い後に脅威アクターから提供される30桁のパスワードで復号することはできました。
2013年には「CryptoLocker」が登場し、ボットネットによって拡散された最初のランサムウェアでした、「CryptoLocker」は2,048ビットのRSA公開鍵および秘密鍵暗号を使用し、クラッキングが困難であることも特徴的でした。
2016年にはランサムウェアのコードを作成するグループとシステムの脆弱性を発見するハッカーとの協力関係によって運営される「ランサムウェア・アズ・ア・サービス(RaaS)」が初めて出現しました。
2017年には「WannaCry」が登場し、標的となるプラットフォームはMicrosoft Windowsで、仮想通貨であるBitcoinでの身代金支払いを要求する点に特徴がありました。150か国で約23万台のコンピュータに感染し、40億ドル規模の損害をもたらしました。
2019年には、「Maze」ランサムウェアグループは、Allied Universal社から盗んだ700MB相当の文書をリークし、同社や将来の被害者に圧力をかけて身代金を支払わせようと試みました。「ランサムウェアグループがリークサイトを設立して被害者に圧力をかける」という潮流がここで生まれました。盗まれたデータが公開されて、機密性の高い財務データ、顧客のPII(個人を識別できる情報)、企業秘密などが漏洩すると、身代金以外のさらなる経済的損失を被る可能性がありました。
2020年になると、感染規模が拡大し、被害や身代金が増大し、単にデータを暗号化するだけではなく、暗号化する前にデータを犯人グループに送付するランサムウェアが登場し、データを手に入れた犯人グループは「このデータを公にする」「競合他社へ漏らす」と脅迫して身代金の支払いを強要する手口が横行しました。
同年には英国の美容整形外科チェーンである「Transform Hospital Group」は、ハッカーグループの「Revil」によって、同社のデータ900GB分が暗号化され、盗み取られました。この中には患者の手術前後の写真も含まれており、犯人グループはそれらの写真を公開すると脅しました。また、この時期に、日本でもゲーム会社等でも同様な被害がでています。
約30数年の歴史になかで、情報技術の発展に合わせ、ランサムウェアも発展しています。このランサムウェアという犯罪行為との対峙は今後も続くことが想定されます。
【資料出所】
その①;ランサムウェア攻撃の歴史と進化 | Codebook|Security News (machinarecord.com)
その②:ランサムウェア「WannaCry」とは?特徴や被害を防ぐ対策をご紹介 (kaspersky.co.jp)
3.ランサムウェアの被害の状況は?
現在、ランサムウェアの代表的な感染は①VPN機器、②リモートデスクトップ、③Webサイト、④メールとその添付ファイル、⑤ファイルダウンロード、⑥外部記憶媒体(USBや外付けハードディスク)の6つの経路とされています。
警察庁が2023年9月に公表した「令和4年上半期のランサムウェア被害の実態」でも、感染経路として最も多かったのが「VPN機器からの侵入(71%)」です。VPNは社外から「社内ネットワーク」へアクセスするための接続機器です。攻撃者は脆弱性のあるVPN機器を経由して、社内ネットワークへ不正にアクセスし、ランサムウェアを送り込むのがその手口となります。次点で「リモートデスクトップからの侵入(10%)」であったことが報告されています。以前までは「メール」「Webサイト」を狙う犯行が一般的でしたが、最近では「リモートワーク」の普及に伴い、「VPN機器」「や「リモートデスクトップ」の脆弱性をついた悪質な攻撃被害が増加しています。
【資料出所】]警察庁 – 令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について
R05_kami_cyber_jousei.pdf (npa.go.jp)
ランサムウェアの典型的な動作は、PCを感染前の状態に戻すことと引き換えに「金銭の支払いを要求する画面」が表示されます。例えば、「このデータを返してほしければ○日以内に△△円を支払え」という脅迫文を表示し、ランサムウェアが活動すると「感染PCの特定機能を無効化し操作不能にする」、もしくは「データファイルを暗号化し利用不能にする」などの操作が行われます。また、ランサムウェアは身代金に使用する貨幣として、より身元を隠しやすい「仮想通貨」が頻繁に用いられます。そのため、支払ってしまった後に警察へ通報しても、犯人は雲隠れして、身代金は戻ってこない(最悪の場合、暗号化されたデータも復旧せず)というパターンもあります。
サイバーセキュリティ専門の調査会社Cybersecurity Venturesは、2021年のランサムウェアの被害額は2015年の57倍にのぼる約200億ドル(約2兆1000億円)に達し、2031年にはランサムウェアの被害額が世界全体で2650億ドル(28兆円)を超えるとの見通しを示しており、急速に増加しています。
【資料出所】
Global Ransomware Damage Costs Predicted To Exceed $265 Billion By 2031 (cybersecurityventures.com)
直近で、7月4日に名古屋港のコンテナターミナルで運用されている統一ターミナルシステム「NUTS」(Nagoya United Terminal System)がランサムウェア感染による障害で7月6日夕方まで業務が停止するという事態が生じました。この影響で、名古屋港の全コンテナターミナルでトレーラーへのコンテナ搬出入作業が中止となり、大きな経済的な損失が発生しています。
4.ランサムウェア対策の監査について
現在、各企業や団体で、情報セキュリティ、あるいはサイバーセキュリティに関する監査は実施されていますが、ランサムウェア対策に焦点をおいた監査に取り組んでいますでしょうか? ランサムウェアは企業や組織に広範な経済的損失を発生させ、単なるITやセキュリティに関わる事故ではなく、各組織の経営やビジネス、さらにはビジネスのサプライチェーン上で関係を有している各ステークホルダーにも多大なビジネス上の多大な損失を与えます。
今後、ランサムウェアによる被害増加が今後も想定され、各企業や組織で被害にあっているケースは対岸の火事とはいえず、各企業や団体のマネージメント観点も考慮した、ランサムウェア対策に焦点をおいた監査も必要になるのではないかと思います。
米国のISACAではランサムウェア対策に焦点を当てた“Ransomware Readiness Audit Program”( ISACA Puts Forward Ransomware Audit Program)を2023年1月に発刊しています。こちらはガバナンス、情報保護対策、技術対策、人的対策にドメインをわけ、合計で53個の統制が記載されています。技術対策だけではなく、組織のガバナンスや情報資産保護に関するコントロールが記載されており、監査プログラムとしては実践しやすい内容と云えます。また、米国のCISA(サイバーセキュリティ・社会基盤安全保障庁)でもランサムウェア対策として、#StopRansomware Guide(#StopRansomware Guide | CISA)を2023年5月に詳細な技術対策を含め更新しており最新の技術的対策を踏まえたプラクティスを世の中に出しています。
上記、ISACAの監査プログラムと米国CISAの技術的対策のガイドを組み合わせることで有効な監査が実現できると思います。英語版ではありますがそれぞれ一読しランサムウェア対策の監査の実施についても検討してみてください。
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
サイバーセキュリティアカデミー(サイアカ)では、各種のサイバーセキュリティ、監査のeラーニングを提供しております。