サイバー攻撃　ランサムウェアのまとめ記事

注目されるランサムウェアによるサイバー攻撃

ランサムウェアによる社会インフレや巨大企業への攻撃は、昨年から急激に増加しています。

IPA（情報処理推進機構）による、「情報セキュリティ１０大脅威２０２１年」（組織編）※でも、「ランサムウェアによる被害」が第一位となっています（昨年の５位からランクアップ）

※情報セキュリティ分野の研究者、企業の実務担当者がメンバーの「１０大脅威選考会」が審議・投票を行い決定。２０２１年３月公表。

ランサムウェアによる攻撃の特徴と対策

最近の事例によると、攻撃者は、組織的に活動、身代金を得るために標的インフラや企業に対して多段階の攻撃を実施します。

後ほど事例で紹介しますが、コロニアルパイプラインを攻撃したサイバー攻撃集団Darksideは、自身が開発したランサムウェアを他のハッカーに提供しています。

これをRansomeware as a service（RaaS）と呼んでいます。

ランサムウェアによる脅迫方法は、４段階あるとされ、「四重脅迫」とも言われています。

第一段階は、従来の攻撃と同様でファイルを暗号化し凍結させて、ビットコインなどで身代金を要求する

第二段階は、凍結した機密情報を暴露すると脅迫する

第三段階は、DDoS攻撃により、攻撃を実行

第四段階は、被害顧客へのメール送信などにより脅迫する、となります。

ランサムウェアへの対策としては、予防として最新のセキュリティパッチの迅速な適用、検知対応としてログ監視の強化、事後対応として攻撃を想定した対処態勢、連絡体制の確認などが挙げられています。

ちなみにランサムウェアの実際の攻撃画面は下のような画面と言われています。

最近の攻撃事例

昨年（２０２０年）以降の主な国内外の攻撃事例を紹介します。

ホンダ（２０２０年６月）では、国内外の工場で生産が一時的にストップしました。

独・デュッセルドルフ大学病院では、システムダウンにより救急患者の受け入れができず、同患者が死亡。

カプコン（２０２０年１１月）では、個人情報約３９万件が盗み出され、ネット上に公開されました。

鹿島建設（２０２１年４月）では、海外グループ会社の請求書が１３０万件以上流出。ダークウェブ上にデータを公開される。

米・コロニアルパイプライン（２０２１年５月）では、Darksideのランサムウェア攻撃を受け、操業を停止。一部地域で深刻なガソリン不足に陥る。

仏・アクサ（２０２１年５月）では、医療、銀行口座情報など個人データ３テラバイト分が流出。一部を公開される。

コロニアルパイプラインへのランサムウェア攻撃

コロニアルパイプラインは、米最大の石油パイプライン運営会社です。

テキサス州ヒューストンからNYまで約９０００キロのパイプラインを運営し、一日約４億リットルのガソリンを運んでいます。

５月７日、ランサムウェア攻撃により業務の一部停止を宣言

５月８日、Darksideに乗っ取られたサーバーを停止し、情報流出を阻止

５月９日、運輸省が緊急事態宣言

５月１０日、バイデン大統領がロシア拠点のグループによる攻撃と発表

５月１２日、業務再開

５月１３日、コロニアル社が身代金を（５００万ドル、暗号資産）を支払ったと報道

５月１９日、コロニアル社CEOが４４０万ドルを身代金として支払ったことを認める

まとめ

昨年からランサムウェアの攻撃が加速している。政府機関も第一順位の脅威として認識している

一度攻撃対象となると様々な手口で、四重脅迫という波状攻撃を受けることになる

国内、国外問わず、巨大企業がセキュリティを突破され、被害を受けている。医療関係機関も攻撃を受け、間接的な死亡事例もある。

セキュリティパッチ、体制整備が対応として急務

米コロニアルパイプラインの事例では、緊急事態宣言が出され、被害拡大防止・原状復帰のため、身代金まで支払われた。