身代金要求型ウイルス「ランサムウエア」の高まる脅威。日本企業はどうする?

  • 2
  • 6

「ランサムウエア」と呼ぶ、身代金要求型ウイルスの脅威が社会インフラや工場などで高まっている。米国最大規模の石油パイプラインを運営するコロニアル・パイプラインがランサムウエア攻撃を受け、月初に約6日間の操業停止に追い込まれた。浮き彫りとなったのは、IoT(モノのインターネット)化の進展によるサイバー攻撃の猛威だ。背景には、犯罪の温床となる“闇市場”の広がりがあり、セキュリティーの専門家は「起こるべくして起きた」と指摘する。(編集委員・斉藤実、狐塚真子、高田圭介)

うごめく「闇市場」 攻防「いたちごっこ」

ランサムウエア攻撃は、標的とする企業などのコンピューターやファイルを暗号化して使用不能にし、復元プログラムの提供と引き換えに金銭を要求する。さらに、期限までに支払いがない場合、暗号化の前に、別途窃取していた重要データを「リーク(暴露)サイトで公開する」などと脅迫する「暴露型」、「二重脅迫」といった手口も2019年頃から登場している。

以前は不特定多数にばらまくワーム型が主流だったが、数年前から「標的型攻撃のツールにランサムウエアが組み込まれ、脅威の度合いが増している」と、NRIセキュアテクノロジーズ(東京都千代田区)の山口雅史セキュリティアーキテクチャコンサルティング部長は警鐘を鳴らす。

ランサムウエアなどのマルウエア(悪意あるプログラム)はファイヤーウォール(防御壁)をすり抜けて企業システムに侵入する。「重要データを窃取する場合も、数カ月かけて社内システムを調査した上で必要なものを盗む」(山口部長)。

マルウエアを検知する防御技術は日々進歩しているものの、システム内に数カ月潜伏して動きだす時限式などもあり、被害を100%防ぐことは困難とされている。攻撃と防御はいたちごっことも言われ、まさに頭脳戦の様相だ。

サイバー攻撃ビジネス化? ウイルスもレンタル

クラウド時代となり、自らは攻撃せず、ランサムウエアを貸し出すサービス提供型の「ランサムウエア・アズ・ア・サービス(RaaS)」モデルも台頭している。高度な知識がなくてもランサムウエアを扱えるようになり、サイバー犯罪のすそ野が広がっている。

RaaSモデルでは脅迫に成功した場合、見返りとして収益の一部を受け取るなど、サイバー攻撃自体が闇市場でビジネスモデル化しているという。トレンドマイクロの岡本勝之セキュリティエバンジェリストは「RaaSにより専門知識がない人でも容易にランサムウエア攻撃ができるため、攻撃者自体も増加しているだろう」と推測する。

コロニアルへの攻撃は「Darkside(ダークサイド)」と呼ばれるサイバー犯罪集団が犯行に名乗りを上げ、話題を集めた。

サイバー犯罪集団の実態は明らかでないが、インターネットの世界は、通常の検索エンジンで到達できる「サーフェイスウェブ」や、会員制交流サイト(SNS)や有料サイトといったアカウントが必要な「ディープウェブ」に加え、匿名化のための特別なソフトウエアでしか接続できない「ダーク(闇)ウェブ」が存在する。「氷山をイメージすると分かりやすい」(山口部長)という。

ダークウェブに象徴される「闇サイト」内では、例えばウイルス感染したパソコンを遠隔操作するスパイウエアや、それを作成するツールなどが公開されている。機密情報のメニューもあり、製造業の屋台骨である重要技術も出回る。

製造業に被害拡大 安全保障の問題に

米IBMがまとめた20年のセキュリティー事象の調査(全世界)によると、ランサムウエア攻撃はセキュリティー事象全体の23%と最も多く、二重脅迫が59%に及んだ。

製造業へのサイバー攻撃がコロナ禍で拡大し、被害が急増していることが分かった。システム停止の影響が生産設備などに波及すると、ダウンタイム(停止時間)当たりの損失が大きく「製造業は格好の標的となっている」(IBM担当者)。

日本企業も対岸の火事ではない。東芝テックの欧州子会社も、コロニアルと同じ攻撃の被害にあったと発表。20年にはホンダが攻撃を受け、国内外の工場で生産や出荷が一時止まったことは記憶に新しい。ネットの“向こう側”には無法地帯が広がっている。サイバー攻撃による脅威は国家安全保障にもかかわり、各国で法制度の見直しが問われている。

日本政府、対策急ピッチ

政府も刻々と変化するサイバー攻撃への対応に苦慮している。梶山弘志経済産業相は11日の会見で「経済活動の基盤そのものが突き崩されるのでは」と危機感を示した。13日に出た次期サイバーセキュリティ戦略の骨子案でも、サイバー空間が経済だけでなく国民生活を含めて「公共空間化」したことで、攻撃者に狙われやすくなったことを指摘した。

デジタル変革(DX)の機運が高まる一方、セキュリティー確保の動きも同時に求められる。骨子案はガイドラインに基づく取り組みの可視化やインセンティブ付与などによる経営層の意識改革、地域・中小企業におけるコミュニティー形成などの推進を掲げた。

人材育成も課題となっている。情報処理推進機構(IPA)は17年に産業サイバーセキュリティセンターを設け、「ハッカーレベルと言ってもいいくらい」(梶山経産相)の専門人材を輩出してきた。一方でいたちごっこが止まらない状況に、経産省は「サイバー事故調」の設置で原因究明や再発防止体制の整備も検討している。

制御系の安全対策、準備を/NRIセキュアテクノロジーズセキュリティアーキテクチャコンサルティング部長・山口雅史氏

NRIセキュアテクノロジーズの山口雅史セキュリティアーキテクチャコンサルティング部長に制御系(OT)のセキュリティー対策について聞いた。

―OTセキュリティーの現状をどうみていますか。

「多くの工場を監査した経験から言えば、ITとOTの間の境界領域にファイヤーウォールを置く企業は3割程度しかないのが実態だ。ファイヤーウォールを置いても、ネットワークが分離できていないケースもあり、そのままでは社内パソコンがウイルス感染したら工場まで侵入されてしまう」

―OTの脅威とは。

「OTシステムは大半がネットワークにつながっていないため、パッチ(修正プログラム)を充てられず、脆弱(ぜいじゃく)性を抱えたままの状態が多い。結果、USB経由で感染することも少なくない」

―具体策は。

「重要データの定期的なバックアップやアクセス制御は必要だが、OTは難しい。対策では仮想私設網(VPN)など、社外からの接続部分について、バージョン管理を徹底するとともに、ファイヤーウォールやネットワークアクセス制御によって、不正な通信が発生したら遮断する仕組みなどが必要だ」

日刊工業新聞2021年5月21日

関連する記事はこちら

特集