サイバー犯罪の脅威/ランサムウエア最新動向2017年は攻撃手法や標的が多様化
データバックアップ対策が不可欠

被害件数が国内でも過去最大に

2017年、サイバー犯罪の脅威として大きく話題に取り上げられているランサムウエアはさらに猛威を振るいそうです。

ランサムウエアとは、感染端末を操作不能にしたりデータを勝手に暗号化したりすることで端末やデータを人質に取り、その復元と引き換えに金銭を払わせる身代金要求型不正プログラムです。

2014年頃から顕在化し、2016年には国内でも急増して「検出台数と被害件数とも過去最大になった」とセキュリティメーカー各社のレポートなどで報告されています。

年間の脅威動向をまとめたトレンドマイクロの「2016年セキュリティラウンドアップ」によると、国内でのランサムウエア検出台数は2016年の1年間で6万5400件(法人:1万6600件/個人4万8800件)と、2015年から9.8倍も急増しました。

実害は法人が圧倒的

検出台数の増加に伴い、実被害も急拡大。同レポートでは2016年の被害報告件数は前年比3.5倍の2810件となっています。

その内訳は、法人2350件/個人460件と圧倒的に法人での被害が大きくなっています。これは、ランサムウエアの不正暗号化プログラムでは、端末内のデータだけでなく、端末とネットワークでつながったデータも暗号化する手口が主流になっていることが理由。ネットワークを介したデータ共有が進むオフィスなどでは、感染してしまうと共有データがすべて暗号化されてしまうため被害も大きくなるわけです。

また、2016年はランサムウエアの新種や亜種が急増し、新ファミリー数は前年比752%の247種類が確認されたとのこと。しかも、確定申告ファイルやサーバー関連ファイルなど業務に直結する特定の重要データを狙うタイプも確認されたといいます。

これだけランサムウエアが急増した背景として、「暗号化されたデータを取り戻すため身代金を払う企業が複数存在しており、サイバー犯罪者にとってうま味が大きいビジネスとして確立している」(シマンテック)ことが指摘されています。

2017年は攻撃手法や標的が多様化

セキュリティメーカーは各社とも、ランサムウエアの猛威は2017年以降も続くと警鐘を鳴らしており、特に「攻撃手法の多様化」や「標的の多様化」に注意を促しています。

攻撃手法の多様化

これまで、ランサムウエアの拡散は不特定なターゲットを攻撃する「ばらまき型」が主流でした。感染の多くはマルウエアスパムメールによるもので、ランサムウエア攻撃総数の約8割がメール経由です。

その約95%が英語メールといいます。この点、全世界で拡散している被害が国内にも流入しているというのが実態であり、日本を特定ターゲットとした攻撃とはなっていません。

しかし、逆の見方をすれば、「今後、日本を特定ターゲットとして狙った攻撃が本格化する可能性もある」(トレンドマイクロ)ともいえます。実際、「2016年10月には送信先を法人対象に限定した日本語メールによる攻撃が確認されている」(同前)とのこと。これまで以上に、不審メールへの注意が必要となりそうです。

●日本国内の法人に標的を絞った攻撃の兆候(トレンドンマイクロの脅威セミナー資料より)

さらに、2017年はデータ暗号化による身代金要求だけでなく情報搾取も行うようなタイプが登場する可能性が指摘されています(ランサムウエアと情報搾取の2重攻撃)。身代金の支払いに応じない場合でも、搾取した個人情報をアンダーグラウンド市場で売って金銭を得たり、次の攻撃に使ったりといったことが想定されます。

標的の多様化

また、ランサムウエアの被害は、PCだけでなくモバイルやスマートテレビなどにも広がりつつあり標的となる端末が多様化するとのこと。人気アプリの偽装やWebの不正サイトなどへの誘導が、ランサムウエアに感染させる主な手口とされています。

これまでは国内のモバイル環境は比較的安全といわれ不正アプリへの遭遇機会も少ないため、深刻な実害はありませんでした。しかし、「Android端末を狙うランサムウエア『FLocker』が2016年3月に確認されて以降、スマートフォンやスマートテレビでの検出台数が急増。毎月1万件以上を超えており、国内感染事例も確認されている」(トレンドマイクロ)とのこと。

IoT機器を感染対象として狙う「Mirai」などのランサムウエアも確認されており、PCやモバイル、その先にあるIoT機器も含めたトータルのランサムウエア対策を検討していくことが欠かせません。

●スマートテレビのランサムウエア感染例(トレンドマイクロのセミナーより)

万一の感染を意識した対策が必要

多様化するランサムウエアへの対策は、基本的には従来と変わりません。感染や侵入を防ぐことと、感染時の被害を最小限に抑えることです。この点、OSやソフトの修正プログラム(ソフトの脆弱性を修正するプログラム)が提供されたら、すぐに適用して常に最新の状態にしておくことなど、一般的なセキュリティ対策と同じです。

加えて、感染時の被害を最小限に抑える対策がこれまで以上に重要になると考えられます。身代金を支払うことなくバックアップ等の対策によりデータを復元できる体制を整えておくことが欠かせません(具体的な対策については関連記事も参照してください)。

というのも、どれほど対策を講じても巧妙化するランサムウエアの攻撃を完全に防御できる保証はなく、仮に身代金を払ったとしても不正に暗号化されたデータが復元される可能性は極めて低いからです。

年度末の忙しい時期ではありますが、ランサムウエアに限らずセキュリティ対策を今一度見直してみてはいかがでしょうか。(長谷川丈一)