• イベント・セミナーレポート

2024年に入り、大手企業へのサイバー攻撃によって大規模なシステム障害が相次いで発生し、企業活動だけでなく生活者の日常生活にまで大きな影響を及ぼしています。年々増加の一途を辿っているサイバー攻撃は、企業にとってだけでなく、社会にとっても大きな脅威となりつつあるのです。そこで重要になるのが、サイバー攻撃の脅威について最新の動向を知り、必要なセキュリティ対策を講じること。そこでキヤノンITソリューションズは10月8日、2024年上半期のセキュリティ脅威とランサムウェアの最新動向に関する報道機関向け説明会を開催。オンライン、オフラインで数多くの報道関係者が参加しました。

今回の説明会では、サイバーセキュリティの専門家として神戸大学名誉教授の森井昌克先生がゲストとして登壇。キヤノンITソリューションズのサイバーセキュリティラボでマルウェアアナリストを務める池上雅人と共に、マルウェアによるセキュリティ脅威、特に今年に入り大規模な被害も生まれているランサムウェアによる脅威を中心に、最新動向とこれからの対策について説明しました。

前半は、サイバーセキュリティラボの池上雅人が、2024年上半期のセキュリティ脅威とランサムウェアの最新動向について、サイバーセキュリティラボでまとめた様々なデータを紹介しました。

新型コロナウィルス感染症のパンデミックにより世界が混乱した2020年以降、日本国内におけるマルウェアの検出総数は高い水準を継続。コロナ禍以前の2019年下半期を100％として、ピーク時の2020年下半期には169％にまで増加しましたが、2023年度下半期以降はコロナ禍以前と同水準にまで戻ってきているといいます。2024年上半期を見てみると、1月を100％として4月は153％と最も多く、検出した脅威としては不特定多数のユーザーを狙ったWebブラウジング中に遭遇する脅威が最も多いとしています。「HTMLやJavaScriptを狙った脅威が最もユーザーが遭遇しやすく、この傾向は国内外ともに変わりません」（池上）。

一方、情報処理推進機構（IPA）が2024年1月に公開した「情報セキュリティの10大脅威」によると、企業や団体といった組織向け脅威で1位となったのは、4年連続で「ランサムウェアによる被害」。そして2位には2年連続で「サプライチェーンの弱点を悪用した攻撃」となりました。「多くのマルウェア被害がある中で、最も大きな損害に繋がりやすいのが、ランサムウェア。そしてサプライチェーンの弱点を悪用した攻撃は、組織同士の取引関係に潜むリスクを顕在化させています。もし被害に遭えば、取引先との取引中止や損害賠償が発生するリスクもあり、規模の大小に関わらずあらゆる企業・団体にとって無視できない脅威です」（池上）。

企業にとって、重大な脅威となっているランサムウェア。企業のPCやサーバーに侵入してファイルの暗号化を行って障害を発生させ、解決させるための身代金（Ransom）を要求する悪質なマルウェアですが、その登場は1990年代後半と古く、2010年代に入ると脅迫手段の巧妙化や、データの窃取やDDoS攻撃などを組み合わせた多重脅迫の増加、身代金として仮想通貨を要求することによる犯罪の匿名化などが進んだといいます。さらに、技術の高度化と攻撃の高速化によってランサムウェアの悪用によって確実に収益化を実現しようとする組織が増加しているのです。

「2020年代に入ると、コロナ禍におけるリモートワークの広がりを機に被害がさらに拡大し、感染経路をVPNやRDPといったネットワークプロトコルを狙ったものにどんどん入れ替わっていきました。大きな利益を得るためにターゲットも厳選して特定の企業を狙うケースも増えています。また、収益を効果的に得るために、 暗号化にこだわらず脅迫手段を多様化させ、犯罪集団の組織化・分業化が進んでいるのが昨今の特徴です」（池上）。

では、ランサムウェアによって企業を攻撃する犯罪集団は、どのような組織をターゲットにしているのでしょうか。池上は「報道されている事例を見ると大規模な企業・組織だけが狙われているような印象がありますが、 実際には企業や組織の規模・業種を問わず攻撃が行われています」と説明。実際、警察庁がまとめた資料によると、事件として認知されているランサムウェアの被害件数のうち、大企業の被害は全体の26％にとどまり、64％という大部分は中小企業が被害に遭っているのです。「業種別の被害件数に対して総務省の統計を基にそれぞれの業種の企業数の分母を考慮したところ、製造業と情報通信業の被害割合が多いことが分かっています」（池上）。

では、ランサムウェアはどのようにターゲットとなる企業に侵入しているのでしょうか。統計によると、VPN機器は47％と大半を占めており、コロナ禍によって導入が進んだリモートデスクトップを経由した侵入も36％となっています。一方でこれまでマルウェアの主要感染経路として対策が講じられてきた不審メールや添付ファイル経由での被害は2％と少数になっていますが、いわゆるフィッシング詐欺やサポート詐欺などを通じてリモートデスクトップツールを導入させるような手口も確認されているので注意が必要です。

「海外に目を向けると、感染経路が特定できない事例の増加が目立ちます。この要因としては、攻撃者が巧みに痕跡を削除していたり、被害組織へのアクセス手段を提供する『イニシャルアクセスブローカー』の存在により、侵入経路がいつ確立されたのかがわからなかったりなどの理由が考えられます。自社ネットワークへのアクセス情報が漏えいしていないか、また退職した社員のユーザーアカウントが削除できているかどうかなどを確認することが重要です」（池上）。

このように、VPN機器やリモートデスクトップの脆弱性を狙ったり、企業にアクセスするための認証情報を不正に入手したり、またはRDP端末への直接攻撃によって企業の社内ネットワークに侵入した犯罪者は、どのように企業のネットワークを攻撃し、被害をもたらすのでしょうか。池上によると、犯罪者はあらかじめ用意した攻撃の司令塔である「C＆Cサーバー（コマンド＆コントロール・サーバー）」を使いながら、RDP端末を攻撃したり、感染範囲をファイルサーバーやドメインコントローラーなどに拡大。そして最終的に情報を窃取したり、ランサムウェアを起動してネットワーク内部の情報を暗号化したりするのです。

「たとえ社内ネットワークがインターネットと接続していなくても、インターネットとの接点となるVPN機器に脆弱性があれば、攻撃の足掛かりとされてしまうこともあります。ランサムウェアによる攻撃は、組織の内部ネットワークと外部インターネット接続する境界面である『アタックサーフェス』に存在する脆弱性を利用するケースが多くを占めています」（池上）。

なぜ、このような手際の良い攻撃が可能になっているのでしょうか。池上はこうした攻撃の背景に「攻撃者を後押しするエコシステムの存在があります」と指摘します。

ランサムウェア攻撃では、被害を受けた企業や攻撃をする犯罪組織、そして外部に漏えいした情報に注目が集まりがちです。しかしその背景には、ランサムウェア攻撃を容易にするツール（RaaS：Ransomware as a Service）を開発する「マルウェア開発者」、企業のネットワークにアクセスするための認証情報などを窃取・提供する「イニシャルアクセスブローカー」、ランサムウェアの実行ファイルを配布する「Botnet Master」などの存在があります。さらに攻撃が成功した後には、身代金として得た仮想通貨をマネーロンダリングする「ミキシングサービス」や、窃取した機密情報の売買を仲介するマーケットプレイスの存在も確認されています。このように様々な立場の犯罪者が分業することによって攻撃の質と規模が進化しているのです。「代表的なRaaSとしてはLOCKBITや8BASEなどが挙げられますが、捜査機関によって関係者の逮捕や配布コンテンツの公開停止を進めても、RaaSサイトは様々な国のサーバーに分散して設置されているため、全てを一斉に止めることは難しいと思われます（池上）。

このように犯罪者が独自のエコシステムを形成して行われる企業への攻撃では、どのような被害が生まれているのでしょうか。警察庁がまとめた資料によると、企業・団体におけるランサムウェア被害の認知件数は2024年上半期で114件。データの暗号化を行わず機密情報の窃取と公開を止める条件として身代金を要求する「ノーウェアランサム攻撃」を含めると128件となり、半期の統計としては過去最多を記録しています。通年ベースで見ても、2022年以降は年200件以上で高止まり状態が続いています。

「この集計はあくまで警察庁に被害報告のあった件数なので、被害にあっても届け出されないケースを考慮すると、潜在的にはこの何倍もの被害が発生している可能性があります。ランサムウェアの被害は依然として暗号化の解消と窃取した情報の公開停止という二重脅迫が多くを占めていますが、一部では機密情報の窃取にフォーカスした攻撃を行い、その公開停止やデータ破棄と引き換えに身代金を要求するノーウェアランサム攻撃も見られるようになりました」（池上）。

実際の被害事例を見てみると、2023年6月からの1年余りの間に、製造業や医療機関、自治体や大手出版社など様々な企業・組織がランサムウェア攻撃の被害に遭っています。「私立中学・高校において、生徒の成績データが暗号化されてしまい、教師の記憶に基づいて生徒を評価せざるを得なくなったといったような事例も発生しています。暗号化だけではなく、 情報流出だけでも大きな被害につながる可能性があるので注意が必要です」（池上）。

またある中小規模の物流会社では、ランサムウェア攻撃によって業務が停止し、被害からの復旧と再発防止に多大なコストが発生したことに加えて一部の取引先からの契約が解除されてしまい、資金繰りの悪化から倒産に至ってしまったというケースも。「最悪のケースですが、実際に起きた事例です。ひとたびランサムウェア攻撃というインシデントが発生すると、調査・復旧対策などの追加費用の発生や社会的信用の低下、顧客からの取引縮小など、企業にとって死活問題となるような重大なリスクが発生することを示しています」（池上）。

ここまで紹介したランサムウェア攻撃は、攻撃を行う犯罪者が企業や団体の機密情報を直接ターゲットにしたケースですが、一方でターゲット企業と取引関係のある下請け企業などに攻撃を仕掛ける「サプライチェーン攻撃」と呼ばれる手口も増加しているといいます。

「大企業は、近年のサイバー攻撃の激化に応じてセキュリティ対策を強化しており、守りが非常に強固になってきています。そのため、攻撃者から見ると攻略の難易度が上がってきているので、直接攻撃するには多大なコストと労力を要します。そこで、ターゲットとしている企業と取引関係にある中小企業などに狙いを定め、攻撃を試みます。大企業のサプライチェーンには多くの企業がつながっているので数も多く、中には守りの弱い中小企業も存在しているのです。また、ターゲット企業と取引関係にある企業は、大企業のネットワークに対して特別なアクセス権限を与えられている場合もあるため、その権限を悪用することで容易に本来のターゲットに潜入できる場合があります」（池上）。

例えば、ある総合病院の被害事例では、電子カルテシステムがターゲットになりました。しかし狙われたのは総合病院のネットワークでも、総合病院で運用する電子カルテシステムの構築・運用を手がけるベンダー企業のネットワークでもありません。実際に狙われたのは、ベンダー企業と取引のあった別の企業とリモートメンテナンスを目的に接続していたネットワークのVPN機器。この脆弱性を狙われてベンダー企業のネットワークに侵入され、さらにベンダー企業と総合病院で接続していた閉塞網を経由して総合病院のネットワークが攻撃されたのです。

「最終的に電子カルテを含む基幹システムの大部分がランサムウェアで暗号化され、総合病院は診療の停止、縮小を余儀なくされました。このケースでは、診療機能が完全に復旧するまでに73日を要し、10数億円以上の損害を被ったといわれています。ランサムウェアの被害に遭うと、攻撃者による身代金要求だけではなく、システムの復旧にもコストがかかります。警察庁のまとめによると、被害を受けた企業・組織の半数近くが被害の調査と復旧に1,000万円以上の費用を要したと回答しています」（池上）。

ここまで説明した通り、攻撃の巧妙化、多様化、組織化が進むランサムウェア攻撃に対して、企業はどのような対策を講じる必要があるのでしょうか。池上は、（1）VPN機器やRDP機器など攻撃の糸口となる「アタックサーフェス」の特定と脆弱性の対策、（2）攻撃者による機密情報の窃取を防ぐための対策、（3）社内ネットワークの暗号化を狙ったプログラムの検知とプロセスの遮断の3点を挙げます。キヤノンITソリューションでは、アタックサーフェスの特定と対策には「ASM（Attack Surface Management）サービス」、データの窃取を想定した機密情報の暗号化には「AppCheck」、そして攻撃者による暗号化プログラムの検知と遮断には「PCFILTER」というツールをそれぞれ提供しています。

池上は、講演のまとめとして「ランサムウェアの被害は年々増加していて、攻撃の8割はVPNやRDPを経由して企業のネットワークに侵入しています。また、攻撃者のエコシステムが形成されており、その手法も多様化しています。ランサムウェア対策として、アタックサーフェスの特定、データの窃取を想定した対策、暗号化の検知・遮断が重要です」と一層の注意を呼びかけました。

説明会の後半では、ゲストとしてお招きした神戸大学名誉教授の森井昌克先生よりサイバーセキュリティをめぐる最新の動向とこれからの対策についてお話いただきました。

森井先生は、企業や組織を狙ったマルウェアによる大規模な攻撃は、世界的にみると30年以上前から続いている脅威であることを指摘。マルウェアのひとつであるランサムウェアによる攻撃も昨今登場した脅威ではなく以前から存在している脅威である点、そして昨今は単なる嫌がらせや業務妨害の域を超えて、企業や社会が具体的な被害を受けている状況にまで拡大してしまった点を指摘しました。その上で、森井先生は「2025年に開催を控えている大阪・関西万博が大規模なサイバー攻撃のターゲットになるのではないか」と語ります。

「デジタルを活用した展示や（メタバースなどの）サイバー空間で博覧会を開催することも計画されていますし、来場者の入退場管理をQRコードや顔認証などデジタルで行う計画ですので、それに対する妨害やイベント開催を契機としたサイバー攻撃が危惧されています。世界的なイベントが開催されるときには、必ずと言っていいほど（開催国を狙った）サイバー攻撃が盛んになってきます。そのターゲットも、（外国人攻撃者による）地名の勘違いなど誤認攻撃も含めて日本国内の様々な地域に拡大する可能性があります」（森井先生）。

大阪・関西万博の開催に合わせて増加していくと思われるサイバー攻撃でも中心になると考えられているのが、ランサムウェア攻撃です。森井先生はこのランサムウェアについて「現在、言葉だけが先行してしまっていて、その本質が理解されていない部分があるのではないでしょうか。また、その対策についてもVPNの脆弱性対策やデータのバックアップが言われますが、それも本質的な対策とは言えません。本来は事業の継続が目的なのではないでしょうか」と指摘。その上で、昨今のランサムウェアのトレンドと対策について紹介しました。

まず、ランサムウェアの被害を食い止めるためには、ネットワーク内に侵入したランサムウェアを早期発見することが重要になります。もちろん、攻撃者はそれを理解しているため「いかにランサムウェアが発見されないようにするか」「ランサムウェアの発見を遅らせられるか」を目的とした対策がランサムウェア側のトレンドになっているといいます。例えば、パソコンのOSや本来導入されているプログラムを活用したり、端末側で本来行なっているデータの暗号化とランサムウェア側で行う暗号化の区別を難しくすることで検知の目を掻い潜るなど、早期発見を回避して巧妙に身を隠すための対策を行なっているのです。

「ランサムウェアが攻撃を行うとあっという間に社内ネットワークのデータが暗号化され漏えいするイメージを持つかもしれませんが、実際にはデータの暗号化や窃取にはとても時間が掛かります。できるだけ処理を高速化したり、ノーウェアランサム攻撃のように暗号化ではなくデータ漏えいに対して身代金を取るといった手法にシフトする傾向もあります」（森井先生）。

そして、池上も指摘した企業のサプライチェーン全体を狙った攻撃も昨今の重大なリスクだといいます。「大企業ではセキュリティ対策が十分に講じられているが、その上で攻撃者はサプライチェーン全体を攻撃対象にしている。特に攻撃のターゲットになっているのが、大企業の取引先である中小企業や様々な企業のデータが保管されているデータセンター。サプライチェーン全体でリスクを考えていく必要があります」（森井先生）。

森井先生によると、昨今のランサムウェアは「LOCKBIT」などいくつかのプログラムを原点にして派生や亜種といった形で新しいプログラムがどんどん開発されており、ダークウェブ上ではRaaSの形式で誰でも使用できる状態で取引されているといいます。攻撃だけでなく、その後に身代金をどうやって取るか、身代金をどうやって分配するかも全てセットになっているのです。過去にランサムウェアのグループが摘発された際に押収された利用者リストの中には、日本人と思われる人物の名前も入っていたのだそうです。

「ランサムウェアを開発・使用するグループは（摘発などにより）離散集合を繰り返しながら細分化しています。そしてそれぞれのグループは、ひとつのプログラムから派生した似ているプログラムを使用しているので連携している場合もあるのです」（森井先生）。

続いて森井先生は、ランサムウェアが企業を攻撃するプロセスとその本質的な対策についてお話をされました。森井先生は、「ランサムウェアは、いきなり企業のVPNやRDPを攻撃するわけではありません」と指摘。攻撃者は、まず社員個人のパソコンなどの端末に一般的なマルウェア（コンピューターウイルス）を侵入させて、そこからランサムウェアを引き込むケースが多いのだといいます。つまりランサムウェア攻撃は、急に大規模に始まるのではなく、一般的なマルウェアが社員の端末に感染するところから静かに始まるのです。

「個人の端末に侵入したマルウェアは、まずはアンチウイルスを無効化したり、システムログを消去したり、OSを騙したりして自分自身を隠します。よほどの専門家でない限り、身を隠したマルウェアを発見するのは難しくなります。そのように下地を作った段階で密かにネットワーク上の様々な端末やデータにアクセスして機密情報を外部に流出させます。ネットワークを介して他社のネットワークを攻撃することもあるでしょう。そして最終的にやるべきことをやった段階でランサムウェアを引き込み、身代金を要求するのです」（森井先生）。

森井先生が前述した通り、膨大な機密情報の漏えいやデータの暗号化には相応の時間が掛かります。そのため、先行して感染したマルウェアがステルスの状態で静かに作業を進め、ランサムウェアが起動して企業がサイバー攻撃を認知した時点では攻撃者の作業は全て終わっているという状況が生まれているのです。

では、このようなプロセスを踏まえて企業はどのような対策を考えるべきなのか。森井先生は「ランサムウェアばかりにフォーカスするのではなく、基本的なマルウェア対策、サイバー攻撃対策を考えなければなりません」と指摘します。

「マルウェア対策やデータのバックアップ、そして社員への教育と意識の向上をすればランサムウェアは高い確率で防げます。しかし実際には多くの企業がランサムウェアの被害に遭っています。ということは、これらの基本的な対策が十分にできていないということなのです。中でも教育と意識向上は最も大事なことで、最大の脆弱性は人間の心理です。例えば、大企業は高い意識でしっかりランサムウェア対策を講じていると思いますが、サプライチェーン上の中小企業の中には、専門人材もいなければ資金力もないわけです。その中でいかに基本的なマルウェア対策を徹底できる意識を持てるかが重要なのです」（森井先生）。

森井先生が指摘する「基本的なマルウェア対策」とは、企業が使用するパソコンに対するセキュリティソフトの導入と最新アップデートの適用、複雑なパスワードの導入、OSの最新アップデートの適用、不審なメールの削除など、20年以上前から言われているセキュリティ対策。これができていればマルウェアの侵入は防げますし、その先にあるランサムウェア攻撃も防げるのです。裏を返せば、こうした基本的な対策のどこかに社員の意識の欠如などを理由にした“抜け穴”が存在するからこそ、攻撃者は容易に企業のネットワークに侵入できてしまうとも言えます。

「社員が100人でも1万人でも100万人でも、その中で1人でも怪しいメールを開いてしまったり、セキュリティソフトを無効にしてしまっていれば、その組織のセキュリティ対策は意味を成さないのです。どこかに穴があれば、攻撃者はそこから入り込んで横展開できてしまうのです。つまり、社内やサプライチェーンの中で社員が危機管理を自分自身の問題として捉えられるかが大きな問題になるわけです」（森井先生）。

森井先生によると、ランサムウェアの被害に遭った企業に捜査機関が捜査に向かうと、そもそも企業の担当者が自分たちのシステム構成やネットワークの構成を正確に理解していない、その上でバックアップもどのように作成しているのか、どうすれば復旧できるのかを理解していないケースが少なくなく、特に中小企業にこの傾向が顕著だといいます。その上で森井先生は、ランサムウェア対策の基礎として、自分たちのシステムやネットワークを理解し必要な対策が厳格に講じられているかを確認することが重要だと指摘しました。

「ランサムウェア対策として敵（攻撃者）を知ることは重要です。しかしそれより大切なのは自分自身を知ること。自社のシステムやネットワークがどのような状況になっているのかをしっかり知るようにしましょう。それによって、どのような対策を取れば良いのかがわかってきます。それが危機管理の鉄則です」（森井先生）。