Cyber SecurityサウナJapan

エピソード #2: ランサムウェア、おさらいと対策/復旧について

Japan_Podcast_Cover_02_a

エピソード #2: ランサムウェア、おさらいと対策/復旧について

サウナのようにホットなセキュリティトレンド、テクノロジー、インサイトをお届けするポッドキャスト『Cyber SecurityサウナJapan』。第2回目ではランサムウェアの基本について、そして企業が取るべき対策や攻撃からの復旧について、最近の事例を交えながらディスカッションしています。

エピソード #2はこちらからご視聴ください。

スクリプト:

河野:
みなさん、こんにちは。『Cyber SecurityサウナJapan』へようこそ。このポッドキャストでは、サイバーセキュリティに関するホットなトピックをお届けします。ホストを務めるのは、ウィズセキュア株式会社法人営業本部、サウナ大好きの河野真一郎と、

トゥオミ:
同じくウィズセキュアジャパン法人のプリンシパルサイバーセキュリティコンサルタント 兼 技術ツッコミのアンッティ・トゥオミと申します。よろしくお願いします。

トゥオミ:
今回のエピソードも、実はサウナで収録しております。今回はですね、収録の後ではなくて、収録の前にもう既に貸し切りサウナで整いました。

河野:
貸し切りサウナ良かったですね、そして貸し切りサウナの後、会議室で収録してる『Cyber SecurityサウナJapan』です。
本日は、ランサムウェアをテーマにお話をさせていただきます。そもそもランサムウェアって何?っていう基本的なお話から、徐々にウィズセキュアのセキュリティコンサルタントであるアンッティさんの具体的なお話。最近どんな攻撃が行われてしまっているのか?また、どういうやり方で復旧するみたいなエピソードも徐々にさせていただくところなので、ぜひ最後までよろしくお願いします。
まず最初、おさらい的な話からなんですけれど、そもそもランサムウェアってものは何なのか?悪意のあるマルウェアによって脅迫をするっていったところがベースになってると思うんですけど、ちょっとアンッティさんからまたコメントいただけるとありがたいです。

トゥオミ:
おっしゃる通り、マルウェアに、ファイルを暗号化して、被害者がもうアクセスできないようにすることによって脅迫するとか、ベースになってますね。元々ですね、こういうウイルスとかマルウェアはちょっと趣味的なものから始めて、そこからお金にできないかっていう傾向になってしまいましたよね。最近はこういうマルウェアは悪用者としては、かなり一般的な方法とかツールになってますし、ランサムウェアは特にその中で一つの、そのお金にする方法の一つの有効なものになっていますよね。
とはいえ、ランサムウェアがそもそも侵入方法とかっていうことよりは、被害者のパソコンに侵入してから、これからお金にする方法になっていますね。それだけちょっと意識していただければと思います。

河野:
やはりランサムウェアが目的にするのは、身代金を奪う、悪意ある犯罪者がお金を何とか奪い取るっていうのが目的になるわけですよね。アンッティさんにちょっと聞きたいんですけど、ランサムウェアで身代金を支払う、お金を悪意ある人が何とか持ってこうとするっていう時に、よく暗号通貨などを使って身代金を支払えというのがニュースで出てきますけど、ランサムウェアが出てきた背景としては、銀行口座や現金の受け取りとかで足がつかない、身元がばれない暗号通貨ってものが出てきたから、ランサムウェアというものが出てきてしまったっていうことは言える感じなんでしょうか?

トゥオミ:
一部は、はい、その通りですが、暗号通貨があっても、今でも昔と同じように、例えば侵入して何かの振込みをされてて、それを普通にあの口座からは下ろすタイプのこともまだ行われています。ただ、実際に現金をATMから下ろすためには、物理的にATMに行く必要がありますし、口座が誰かに持ち主がわかれていますので、それによってやはりちょっとのリスクがありますよね。なので、こういうある意味でその悪用者とか犯罪者を企業として考えたら、ちょっと変な考えなんですが、企業としては、こちらのビジネスリスクは、暗号通貨の方は少ないですよね。
あとは、物理的にATMに行く必要もないですし、そういう考え方で、暗号通貨が方法として流行っていますね。

河野:
ランサムウェアが企業のシステムに侵入する経路としては、メールの添付ファイルでやってくるケースが非常に多いと思うんですけれども、最近の攻撃の傾向とかで、メールの添付ファイル以外にこういう経路でランサムウェアが入ってくるケースがある、企業システムに侵入してくるケースがあるっていうのは、アンッティさんはどんなケースをご紹介する感じになりますか?

トゥオミ:
ちょっといくつかのパターンがありますが、例えば個人の人としてランサムウェアになるパターンの一番多いのは、やはりメール経由だったり、あるいはインターネット上で何かマルウェアが入ってるファイルをダウンロードしてしまったら、例えばちょっと何かクラッキング済みのプログラムだったり、そういうことをダウンロードしてしまったら、もしかしたらマルウェアとか、ランサムウェアが入ってるという可能性がありますね。それは、そうですね。個人の場合はかなり多いと思います。
企業の場合はですね、やはり同じくその社員がインターネット上からの変なファイルをダウンロードしてしまったり、それを実行してしまうとか、そういうパターンもありますし。あるいは、意図的に標的型攻撃でフィッシングとかでランサムウェアが送られて、それを開けて実行してしまうというパターンもあります。ただし、やはりそれ以外にも、ランサムウェアは、侵入したことをお金にする方法になっていますので、やはり他の方法でも、例えばサーバーの脆弱性を悪用してたり、その他の方法で環境に侵入して、ちょっと高度の高い方の攻撃者ですと、まずは組織全体的に横展開して、例えばActive Directory経由で全てのパソコンとサーバーを支配するようにして、そちら経由、例えば重要資産とか研究情報とか、そういうことを奪って。例えばばれたら、なんかばれたことに気づいたら、じゃあ最後の一手として、ランサムウェアかけるとか、こういうパターンもありますね。なので、侵入経路が何であっても、それからランサムウェアがかけられるっていう可能性がありますね。

河野:
この2022年6月に、我々が仕事してるウィズセキュアがランサムウェアに関する脅威レポートを最新版として出したものがあったんですけど、その中では、ランサムウェアに対して、新しい種類のランサムウェアが減ってきたっていう話はあるものの、ランサムウェアによる攻撃、ランサムウェアによる攻撃の被害っていったところは、まだまだ残念ながら拡大し続けてるっていうのが主なレポート内容だったんですね。で、この観点で、どうしてもやはり、ランサムウェアの攻撃といったところはまだまだ多い中で、もしも万が一、ランサムウェアに攻撃されてしまって防げなかった場合、どんな対応が必要になってくるのかっていう観点だとどうですか?

トゥオミ:
かかってしまったら、もうほぼ手遅れですよね。途中で防止できたら、攻撃を停止できてしまったら、それはまだOKですが、予防の方と検知の方がかなり重要になってきてますね。やはりそのランサムウェアが実行されてしまっても、ファイルを暗号化しているということであれば、早く実行されてるプロセスなどを停止する必要がありますよね。ただ、そもそもの予防とか、検知が足りてない場合は、やはりどこでどこから攻撃されているかとか、どこで実行されてるかとか、そういうことはやはり難しいです。

河野:
今アンッティさんが言ってくれた、やはり外部から攻撃を受けてしまうと非常に対策困難ですっていう観点で、外部からの攻撃を防げなかった場合、どんな対応が必要になってくるか。例えば、ランサムウェアだとデータを暗号化されてしまって、もう中のシステムが使えなくなったりしますよっていう時に、どんなにバックアップを取ってたとしても、同一システム内、あるいは同じクラウドのデータの中でバックアップ取ってると、悪意のあるランサムウェアはそこまで全部暗号化かけてしまうと思うんですね。そういった時に、こういう対策を取れてると何とか復旧できるとか、そんなお話ってあったりしますか?

トゥオミ:
よくあるパターンとしてはランサムウェアが、例えばネットワークドライブに置いてあるバックアップとか、クラウド上で接続されているバックアップシステムとか、そういうことも暗号化してしまいますので、本当にそこまで感染してしまったら、もうバックアップがない、という状況になってしまいますよね。で、そこでちょっとある意味で、今のクラウド化している世界の中でのおかしい話なんですが、やはりこういうオフラインバックアップの、例えばテープバックアップだったり、本当にバックアップのサーバーとかディスクが完全にオフラインにするということが、正直一つすごく有効な方法になってきてますね。常に接続できるバックアップシステムは確かに便利ですが、逆にマルウェアとか、ランサムウェアが侵入することも簡単ですよね。意外とこういう昔ながらのテープバックアップとかも、新しく復帰しましたかなと思います。

河野:
クラウドシステムを使うことが非常に一般的になってきた中で、今アンッティさんが言ってくれたオフラインのテープバックアップ装置っていう非常にレガシーなものがあって何とか対策ができたってのは、ちょっと私も意外な感じがしたコメントだったんですけど、実際にそういったオフラインのテープバックアップ装置があったから、ランサムウェアやサイバー攻撃の被害から復旧できたみたいなエピソードってあったりしますか?

トゥオミ:
そうですね。直接テープバックアップよりは、オフラインバックアップ自体の話になりますが、この間ヨーロッパでの大きなシッピングカンパニーのMaerskさんが、全世界のオフィスのシステムがほぼ全てランサムウェアにかかってしまいましたね。それによってActive Directoryとかドメインコントローラーも全てランサムウェアにかかってしまって、そもそもどの国にどういう資産があるかとか、そういうことさえわからなくなってしまいましたよね。で、例えば、バックアップしようとかバックアップから復旧しようとしても、どのIPアドレスにあるかとか、そういうことさえわからなかったですよね。
で、その時にですね、復旧できた理由としては、たまたまアフリカの方で一つのドメインコントローラーがたまたまの停電のためにオフラインになっていました。なので、そのランサムウェアがかかった時に、そのオフラインになってしまったドメインコントローラーだけが、実際のデータをまだ持っていました。なので、そのドメインコントローラーを急いで飛行機で運んでおいて、そこからデータを戻せって方法になっていました。これはかなりインターネット上でもかなり面白い記事とかストーリーになっていますので、ぜひ時間がある方はお読みください。
もう一つの最近のインターネット上でちょっと話題になったものとしては、最近のウクライナ戦争の中で、いろいろなサイバー攻撃とかでウクライナのシステムがダウンになったことが多かったんですが、インターネット上に話題になったのは、やはりウクライナの方が復旧がめちゃくちゃ得意ですね。なので、おそらく復旧すること、バックアップから復旧することの練習だったり、ちゃんとオフラインから戻すことの練習だったり、そのためその構築の方がすごく得意らしいですね。なので、意外とですね、感動したという声も多かったですね。

河野:
オフラインバックアップの重要性っていったところと、万が一、サイバー攻撃を受けた場合も、何らかのバックアップから復旧させる手順をちゃんと前もってやっていくことが重要というところなんですね。あと、アンッティさん、すいません。最後の質問になるんですけど、こういった今日ディスカッションしたランサムウェアに対して、企業が対策すべきポイントっていったところを、アンッティさんのコンサルタントの視点からコメントもらえますか?

トゥオミ:
そうですね。ランサムウェアも、侵入されてからの手段の一つになっていますので、やはりそういう簡単な対策方法は、一つで全て解決できる方法はもちろんないですね。基本的にはですね、そもそも侵入を予防することが非常に重要ですね。大体8割ぐらいが侵入の予防と、それから2割ぐらいが検知と万が一何かがあったらの対策っていうところですね。なので、本当に技術的な予防だったり、社員たちのセキュリティ意識とかその他のことが非常に重要になってきていますね。もちろん万が一の場合のためにも、インシデント対応とかの復旧の練習も行った方がいいですが、そもそもその侵入を予防することがかなり重要になってきていますね。
まあ、それは言うのは簡単ですが、実際にかなり手間がかかってしまいますが、残念ながらセキュリティ企業の中でその全て解決できるいわゆるシルバーバレットがなかなかないですよね。

河野:
そうですね。シルバーバレットはなかなかないというお話はある中で、こういったランサムウェアに対する対策として、ウィズセキュアが提供している、例えば我々のエンドポイントのソフトウェアだったり、EDRのソフトウェアまたコンサルティングサービスといったところがお客様にお役立てできると思いますので、今日ポッドキャスト聞いてる方の中で、さらに詳しいお話を聞いてみたいという方がおられたときには、お気軽にお問い合わせをいただければ幸いです。
といったところで、本日は『Cyber SecurityサウナJapan』エピソード #2、ランサムウェアをテーマにお話させていただきました。また次回、『Cyber SecurityサウナJapan』エピソード #3で皆様にお話を聞いていただきたく思っております。今日はアンッティ・トゥオミさんと河野でお送りしました。どうもありがとうございました。

トゥオミ:
ありがとうございました。