セミナー情報徐々に広がる「ノーウェアランサム」の特徴と対策
ランサムウェアはニュースでも取り上げられることが多く、ITに関わる人でなくても知っている人が増えています。しかし、最近は「ノーウェアランサム」が増えています。どのような特徴があるのか、そしてどのような対策が必要なのかについて解説します。
変わらず多いランサムウェア
データを勝手に暗号化し、元に戻すために対価を要求するタイプのウイルス(マルウェア)を「ランサムウェア」といいます。「ランサム」という言葉は「身代金」という意味なので、「身代金要求型ウイルス」とも呼ばれます。ただし、身代金を支払っても元に戻る保証はありません。
金銭を支払わずに元に戻すには、システムを初期化した後で、バックアップからデータを復旧する方法が考えられます。このため、感染してしまったときに元に戻すには、バックアップを取得しておくことが必須です。
そもそも、可能であればランサムウェアのようなウイルスに感染しないことが重要です。ランサムウェアの感染経路について調べると、警察庁サイバー警察局による「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」という文書では、次の図のようにVPN機器やリモートデスクトップが多いことがわかります。
(P.36 「4 ランサムウェア被害にあった企業・団体等へのアンケート調査の回答結果」より抜粋 )
情報システム部門の担当者がおこなえる対策としては、VPN機器やルーターなどのファームウェアにアップデートなどが提供された場合は最新の内容に更新するとともに、リモートデスクトップが不要であれば接続できないように設定することが考えられます。
しかし、一般の利用者ができる対策はメールの添付ファイルに注意することくらいです。このため、ランサムウェアだからといって特別な対策を実施することはなく、一般のウイルスと同様に、Windows Updateなど更新プログラムを適用し、ウイルス対策ソフトを最新にアップデートしておくことが求められます。
ノーウェアランサムとは
最近注目されている攻撃手法として、ランサムウェアに似た「ノーウェアランサム」があります。
ランサムウェアはデータを暗号化することが特徴でしたが、ノーウェアランサムはデータを暗号化することなく、データを盗み出して、そのデータの対価を要求することが特徴です。
つまり、サイバー攻撃などによってデータを盗み出し、そのデータを公開されたくなければ身代金を支払え、という手法です。ランサムウェアが「必要なデータにアクセスできなくなること」が脅威なのに対し、ノーウェアランサムでは「秘匿にしたいデータが外部に公開されること」が脅威だといえます。
ランサムウェアでも単にデータを暗号化するだけでなく、その内容を公開することを求めて身代金を要求することがあるため、ノーウェアランサムはランサムウェアと合わせて集計されることがあります。
上記と同じ、警察庁サイバー警察局による「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」という文書では、次の図のような件数の推移が示されています。
(P.7 図表3より抜粋 )
これを見ると、日本国内では令和5年(2023年)からノーウェアランサムの被害が知られるようになり、増えてきていることがわかります。特に機密情報を多く扱う企業では、その情報に価値があり、公開されるとその影響が大きくなることが想定されます。
漏洩した事実の認定と対応
攻撃者から連絡があった場合には、まずはデータが本当に漏洩しているのかの確認が必要です。ランサムウェアであれば、データが暗号化されてしまうため、その時点で被害が出ていることは確実ですが、ノーウェアランサムでは攻撃者が勝手に主張しているだけの可能性もあります。
このため、どのようなデータが漏洩しているのか、その内容を確認することが必要です。たとえば盗み出したと主張するデータの一部を提示させ、それが社内に保持しているデータと一致しているかを確認します。また、社内に残るログなどを調査し、情報が漏洩した経緯や件数、内容などを詳細に確認します。
漏洩した事実が確認された場合、その対応について検討します。ランサムウェアの場合、業務を継続できないため顧客や取引先に対して公表せざるを得ません。そして、身代金を支払わないという態度を示すこともできます。
一方で、ノーウェアランサムの場合、業務は継続できることが多く、公表によるブランドイメージの低下などを想定して、身代金を支払った事実を隠してしまう可能性があります。
基本的には、ランサムウェアにしてもノーウェアランサムにしても身代金を支払うべきではありません。反社会的勢力に対して金銭を提供することは避けなければなりませんし、支払ったからといって公開されない保証はありません。
このため、基本的には警察などに通報し、法に則って対処をすることが求められます。
被害に遭わないために実施すべき対策
ランサムウェアにしても、ノーウェアランサムにしても、実施すべき対策は基本的に変わりません。
ウイルスに感染しないことだけでなく、更新プログラムなどを適用する、アクセス権限を適切に設定する、といった一般的な対策を実施するだけです。
それでも、ランサムウェアなどのウイルス感染と比べて、被害に気づきにくいことがノーウェアランサムの特徴です。
このため、発見が遅れ、被害の規模が大きくなる可能性があります。早い段階で発見、対処ができれば最小限の被害で済む可能性があるため、ログの監視やDLP(Data Loss Prevention)製品の導入などを検討します。
とにかく「組織内に侵入させない」という入口対策に加え、「侵入された場合も不審な挙動を検知し、ブロックする」という出口対策の両面での対応が求められています。
増井 敏克氏(ますい としかつ)増井技術士事務所代表。技術士(情報工学部門)、情報処理技術者試験にも多数合格。
ビジネス数学検定1級。
「ビジネス」×「数学」×「IT」を組み合わせ、コンピューターを「正しく」「効率よく」使うためのスキルアップ支援や各種ソフトウェア開発、データ分析などをおこなっている。
著書に『図解まるわかり セキュリティのしくみ』『図解まるわかり プログラミングのしくみ』『図解まるわかり アルゴリズムのしくみ』『IT用語図鑑』『IT用語図鑑[エンジニア編]』『Pythonではじめるアルゴリズム入門』『プログラマ脳を鍛える数学パズル』『プログラマを育てる脳トレパズル』(以上、翔泳社)、『プログラマのためのディープラーニングのしくみがわかる数学入門』『プログラミング言語図鑑』(以上、ソシム)、『基礎からのプログラミングリテラシー』(技術評論社)、『RとPythonで学ぶ統計学入門』(オーム社)などがある。
