2020年ランサムウェアの最新動向――Emotetから始まる攻撃、クラウド、IoTも：ランサムウェアを正しく理解し、効果的に護るための現実解（3）

ランサムウェアを正しく理解し、有効な対策を紹介する本連載。今回は、「2020年ランサムウェアの最新動向」と題して事例と今後注意が必要な点などをお届けしたい。

[藤原和紀，インフォメーション・ディベロプメント]

　ランサムウェアといえば、2017年に流行した「WannaCry（ワナクライ）」が有名だが、「最近はランサムウェアのニュースを聞かないな」と思っている方も多いのではないだろうか。確かにランサムウェアの絶対数は減っており、ニュースも探しに行かなければ目に付かなくなっているのは事実だが、決してなくなっているわけではなく「より巧妙になっている」といえる。

　例えば2019年は「Emotet（エモテット）」が話題に上ったが、こちらはランサムウェアではなくマルウェアであり、ランサムウェア「Ryuk」（リューク）を展開するためのものだ（詳細は後述）。

　ランサムウェアを正しく理解し、有効な対策を紹介する連載「ランサムウェアを正しく理解し、効果的に護るための現実解」。今回は、「2020年ランサムウェアの最新動向」と題して事例と今後注意が必要な点などをお届けしたい。

　独立行政法人情報処理推進機構（IPA）から刊行されている『情報セキュリティ白書2019』などのデータを基に、最近の兆候などを紹介する。

情報セキュリティ白書によるランサムウェアの兆候

　Symantecの「2019 Internet Security Threat Report」によると、世界での2018年のランサムウェア検出件数は約54万5000件。2017年の67万8000件と比較し、約20％減少している。ただし、企業を標的とした件数は2017年の39万7000件と比較し、2018年が44万4000件と12％増加していることが分かる。

　ターゲットが個人から企業にシフトしている背景としては、「平均501〜2000ドル」^※1といわれる身代金が個人では支払うケースが少なく、費用対効果が低いからといわれている。確かに、このクラウドファーストの時代に、個人に対して「データを暗号化したから身代金を払え」と言われても、身代金を払ってまで戻したいデータがPCにしか保存していないとは考えづらい。

※1：Average demanded ransom from ransomware attacks 2017 | Statista

　このような背景から一時期は犯罪者たちが「ランサムウェアよりも仮想通貨の不正マイニングの方がもうかる」と舵（かじ）を切ったが、仮想通貨バブルが終わってしまい、再びランサムウェアビジネスに戻ってきていることが見て取れる。そして前回と同じ轍（てつ）を踏まないように、今度は利益率の低い個人に見切りを付け、身代金を払ってでも戻したいデータを持つ企業を標的にしているのだ。

攻撃者から見たランサムウェアビジネス

　本連載の以前の記事にもあるように、Ransomware as a Service（RaaS）についても進化が続いているが、マルウェアのランキングにもたびたび登場してきた「GandCrab」（ガンクラブ）が2019年5月31日にRaaSの運用を終了した^※2。

※2：GandCrab ransomware operation says it's shutting down | ZDNet

　運営者による閉鎖の理由は、「もう20億ドル以上稼いだし、オペレーターにも年間1億5000万ドル払ってきたので、もうこれからはまっとうな商売をする」とのことだった。20億ドルは日本円だと2000億円以上になる。この金額を“うのみ”にするわけではないが、それでも「相当稼いだけど売り上げもだんだん下がってきたので、ここらが引き際」と判断したのではないかと推測できる。ちなみに、GandCrabはロシアのサイトとされている。

　他にも犯人像が分かりやすい例として米司法省（DoJ）は米国時間2019年12月5日にロシアのハッキンググループ「Evil Corp.」（エビルコープ）のリーダーであるYakubets容疑者を起訴したと発表している^※3。

※3：Alleged Russian Hacker Behind $100 Million Evil Corp Indicted | WIRED

　Evil Corp.はオンラインバンキングを狙うマルウェア「Dridex」（ドライデックス）を作成したとされている。被害総額は少なくとも1億ドル（約110億円）以上とみられている。容疑者は特注の高級車に乗り、子ライオンをペットにする豪遊振りをSNSに投稿しており、「マルウェアはもうかる」という象徴だ。ここまで判明していても逮捕に至らないのは、容疑者はロシア連邦保安庁で働いておりロシア政府により保護されているためだ。

　これらのように、犯行の目的は完全にビジネスにシフトしている。実行犯は常に効率的に身代金を回収することを考えており、さらには身代金を支払った企業に対して、追加で身代金を取ろうとする動きもあるので、注意が必要だ。

攻撃対象になりやすい業界の事例

　次に、2019年のランサムウェア被害の代表的な事例を見てみよう。

　2019年3月19日、ノルウェーの大手アルミニウム製造業者であるNorsk Hydroが新種のランサムウェアと思われる「LockerGoga」（ロッカーゴーガ）に感染し、製造ラインからシステムを切り離した^※4。結果として、主要な生産ラインを手動で操業し、身代金は支払わずに乗り切ったという。LockerGogaは、その後数週間かけ、フランスのコンサルティング企業Altran、米化学企業のHexionなどで検出されている。

※4：Meet LockerGoga, the Ransomware Crippling Industrial Firms | WIRED

　ここで特徴的なのは、LockerGogaは産業システム向けに作成されており、製造業を中心とする標的型攻撃であったことだ。製造業は以前より標的になりやすい業界である。

　そして、2019年10月1日、米国の医療機関「DCH Health System」運営の病院3施設が標的となり、一部患者が転院を余儀なくされた。また偶然、日本でも宇陀市立病院が同日10月1日に導入した電子カルテシステムが「GandCrab」に感染したと10月23日に発表があった。

　いずれも身代金は支払っていないが、医療／ヘルスケア業界は人命に関わるデータを扱っており、ターゲットになりやすいといわれていた。今までは海外で複数の事例が散見されたが、これからは日本国内も十分な注意が必要だ。

身代金支払いの現実

　医療分野では人命優先と考えるケースもある。2016年2月5日に米国のHollywood Presbyterian Medical Centerがマルウェアに感染し、2月17日に40ビットコイン（当時1万7000ドル相当）を支払い、暗号化を解除した事件があった^※5。

※5：Hollywood hospital pays $17,000 in bitcoin to hackers; FBI investigating - Los Angeles Times

　医療分野以外にも支払った事例は複数出ている。米国フロリダ州にあるリビエラビーチは、2019年6月17日に60万ドル（約6440万円）相当のビットコインを支払うことを決めた^※6。フロリダ州レイクシティもRyukの攻撃を受け、2019年6月24日に50万ドル（約5400万円）を支払うことを決めている。

※6：地方自治体を襲う「死神リューク」　ランサムウェア身代金支払いで被害増大の連鎖 - ITmedia NEWS

　上記のように、一部ではあるが身代金を支払う事例が増えてきている。米国の調査機関によると一般企業は支払ったとしても公開や報告を行わないケースが多く、正確な被害総額は把握できていない。

　このような背景からか、FBIは、従来「支払わない」という姿勢だったが、2019年10月に「経営者は株主、従業員、顧客を保護するためなら、身代金の支払いを検討することも許容する」と、態度を一部軟化させている。

　一方で、身代金の金額は上昇傾向にあり、米国マサチューセッツ州ニューベドフォード市では、身代金として530万ドル（約5億8000万円）を要求されたという事例が出ている^※7。

※7：身代金5億円要求も　増長するランサムウェア、被害止まらず (1/2) - ITmedia NEWS

　リカバリーの時間や費用を検討し、結果として身代金の支払いを選択してしまう気持ちも理解できる。しかし、犯人はより効率的にお金を稼ぐことが目的だ。後述するが、現在のマルウェアは侵入、調査、データ搾取、暗号化の順に侵入を進めていく。このため、暗号化の解除でお金を取り、さらに盗み取ったデータを人質にして身代金を取るケースも出てきているので、慎重に対応を検討してほしい。

企業で今すぐにできる対策

　ランサムウェア被害の対応は以前の連載記事に記載がある通り、ありきたりではあるがバックアップが最も効果的である。バックアップから戻す手間や確実性を考えると、身代金の支払いの方が安いと考えるケースもあるだろうが、身代金を支払ったところでデータが戻ってくるという保証はない。

　バックアップの注意事項としては、しばしば「戻せない」という問題が発生する。「バックアップ／リストアの手順がおかしい」「メディアに不具合がある」など原因はさまざまだが、今までにバックアップから戻す機会がなく、いざ復元しようと思ってもできなかったケースが多いようだ。

　このため、まずは現状のバックアップ状況の調査が必要だ。そして、あらかじめ「誰がどのような手順に基づき、どれぐらいの時間作業を行うか」や、リストア後の確認、再入力方法などを決めたリカバリープランの策定と、最低でも年に1回程度の被災時訓練が必須であることをお伝えしたい。

今後、ランサムウェアはターゲットによって細分化される

　今後の予測だが、現在のランサムウェアはファイルの暗号化によって業務を継続不可能にすることが目的だった。ファイルの暗号化なら、どのような業務でも汎用（はんよう）性があったからだ。

　しかし、最近の兆候からすると、業態によってより攻撃の細分化が進むことが予想される。というのも、前述した「Ryuk」は、2017年に拡散されたランサムウェア「Hermes」（エルメス）の亜種ではあるものの、新たな機能を次々と組み込みながら独自に進化しており、攻撃手法が実に多彩になっているからだ。

　また、2019年11月27日にJPCERTコーディネーションセンターが、冒頭で紹介したEmotetに関する注意喚起を公開している。Emotet自体はドロッパーとして機能し、「TrickBot」（トリックボット）をダウンロードする。TrickBotは内部調査を行うモジュールで、そのコンピュータがターゲットとしている業界のものかどうかを見極め、必要に応じてRyukを展開するという、複数のモジュールを使い分け、何段にも分かれて攻撃を実施する動きとなっている。

　このように、侵入、調査、データ搾取、暗号化と複数のツールを組み合わせ、最大限の効果を狙う手法が今後主流になる可能性がある。情報を集めるだけ集めたら、判定した業種によって攻撃手法を変え、最終的にランサムウェアによって身代金を奪う手法だ。組み合わせによっては、ランサムウェアの仕事は暗号化だけとは限らない可能性がある。

攻撃対象の拡大

　前述の攻撃対象の事例で紹介したが、2020年以降も引き続き警戒の必要な業界が、医療とエネルギー、製造業だ。主には海外で被害が増えていたが、ここに来て国内でも徐々に被害が増えている。

　理由はいろいろあるが、これらの業界で共通するのは、今まではクローズド環境で守られてきたが、最近はIoTに象徴される通り、専用機器もITのネットワークに接続する機会が増えてきた。その際にサイバーセキュリティ対策が他の業界より遅れており、侵入しやすい環境である点が挙げられる。

　また、ランサムウェアの感染が業務の停止につながることから、身代金も取りやすい点も理由として挙げられる。事例では自治体の感染例を示したが、自治体は業務範囲が非常に多岐にわたり、医療などと同様に感染しやすく、かつ重要資産を持つため、ターゲットになりやすい。

　「業界」についての視点以外の兆候としてはクラウドに注目したい。前述したTrickBotは情報の収集と窃盗が仕事だ。盗み取ったファイルの公開を脅しに使うケースが想定される。また、サーバやサービスへのログイン情報やメールサーバなどの情報も盗み取るので、クラウドやSaaSのログイン情報を抜き取り、クラウドやSaaSにあるデータやファイルもターゲットにされる危険がある。今までは比較的安全とされていたクラウドも、今後はログイン状況の管理などを徹底した方がいいだろう。

　このように、「ランサムウェアの人質はファイルの暗号化」というのが相場だったが、今後は業界やターゲットに応じて攻撃の手法自体も変わっていくと想定される。IoT機器にはAndroid OSやLinuxを使ったものがあるが、このようなものもターゲットになる。NAS（Network Attached Storage）に対する攻撃も見つかっており、NASのデータは十分に人質になり得る。また、業界によってはIoT機器自体やその先のデバイスが人質になるケースもありえるので、ウイークポイントを作らないセキュリティ設計が重要になる。

　ランサムウェアは企業が持つ資産や価値、顧客、信頼を毀損（きそん）する。残念ながら、侵入を完全に防げるソリューションは存在しないので、上記記事を参考に被害を最小限に止められるようウイークポイントの洗い出しと事業継続計画の作成をお勧めしたい。

筆者紹介

藤原 和紀（ふじわら かずのり）

株式会社インフォメーション・ディベロプメント

サイバー・セキュリティ・ソリューション部 エバンジェリスト

McAfeeの代理店としてセキュリティ事業をスタートして以来、20年以上にわたって100社以上にセキュリティ設計、構築のサービスを提供。現在は海外セキュリティ製品の国内拡販業務とセキュリティの啓蒙活動に従事している。

情報処理安全確保支援士　第013031号

ベースラインAPT対策コンソーシアム（BAPT）

標的型攻撃の包括的なソリューションを最適なコストで日本市場に提供することを目的として2016年10月に複数企業をメンバーとして発足したコンソーシアム。

参加企業は、ニュートン・コンサルティング、ウォッチガード・テクノロジー・ジャパン、サイバーソリューションズ、インフォメーション・ディベロプメント、ウェブルート、ベル・データ、フェス、ゾーホージャパン。