近年、サイバー犯罪の手法が進化し、従来のランサムウェアからさらに巧妙な攻撃手段が生まれています。その一つが「ノーウェアランサム」です。
この記事では、ランサムウェアとノーウェアランサムの違いや、それぞれの仕組み、そして企業が取るべき防御策について解説します。
ノーウェアランサムは、従来のランサムウェアと異なり、ファイルの暗号化ではなく、情報の窃取と公開の脅迫を武器に、企業を脅す新たなサイバー攻撃手法です。
ここでは、ランサムウェアとノーウェアランサムの違いや、なぜノーウェアランサムが新たな脅威として注目されているのか説明します。
ランサムウェアがデータを暗号化し、復号キーと引き換えに身代金を要求するのに対し、ノーウェアランサムはデータを暗号化することなく、その代わりに機密情報を窃取します。そして、窃取したデータ公開を脅迫材料とし、身代金を要求するのです。つまり、ランサムウェアでは、データにアクセスできなくなること=業務停止が最大の脅威でしたが、ノーウェアランサムでは情報漏洩のリスクが脅威となります。
ノーウェアランサムによる攻撃は、被害企業に大きな圧力をかけることができます。データの暗号化ではなく情報漏洩が脅威となるため、企業の評判や顧客との信頼関係に甚大な影響を与え、その影響は長期にわたって続く可能性があるからです。
また、ノーウェアランサムへの対応は、従来のランサムウェア攻撃よりも複雑です。データの復旧だけでなく、情報漏洩の防止や影響の緩和、さらには法的責任や規制対応など、多岐にわたる課題に取り組む必要があります。この複雑さが、被害組織にとってより大きな負担となり、結果的に攻撃者の要求に応じざるを得ない状況を生み出す可能性があります。
ノーウェアランサムの攻撃手法は高度化しており、特定のターゲットを狙って巧妙に仕掛けてきます。
ここでは、ノーウェアランサムの攻撃の流れや、どのような企業や組織がターゲットとなるのか、さらに実際に発生した被害について説明します。
ノーウェアランサム攻撃は、標的型攻撃と呼ばれる手法を多用します。
まず、攻撃者はターゲット企業や組織のシステムに対する徹底的な調査を行い、システムの脆弱性を突きます。
その後、以下のステップで攻撃が展開されます。
1.ターゲットへの侵入
攻撃者はフィッシングメールや不正な添付ファイル、マルウェア感染などの手法を用いて、ターゲットのネットワークに侵入します。とくに、従業員の不注意を狙ったフィッシング攻撃やソーシャルエンジニアリングによる手法が多く利用されます。また、ゼロデイ攻撃(まだ公表されていない脆弱性を突いた攻撃)も使われることがあります。
2.アクセス権限の取得と横展開
システム内に侵入した攻撃者は、管理者権限を獲得することで、ネットワーク内の複数のデバイスやシステムにアクセスできるようになります。重要なファイルやシステムをターゲットにし、データ搾取のための準備を整えます。
3.重要データの特定と窃取
ノーウェアランサムの最大の特徴は、従来のランサムウェアのようにデータを暗号化するのではなく、機密情報や個人情報などの価値あるデータを特定し、窃取することです。ネットワーク経由で密かに外部に送信を行います。
4.身代金の要求
従来のランサムウェアは、暗号化されたデータの復旧と引き換えに身代金を要求しますが、ノーウェアランサムは、暗号化は行いません。盗み出したデータを公開しない条件と引き換えに、身代金を要求するのです。
ノーウェアランサムの攻撃は、金融機関、医療機関、教育機関、製造業、政府機関など、機密性の高い情報を扱う企業や組織を主なターゲットとしています。これらの組織が保有するデータは、公開された場合の影響が甚大であり、攻撃者にとって高い価値を持つからです。
警察庁のレポートによると、2023年ころから日本国内でのノーウェアランサムの被害が確認されています。
2023年上期:9件、2023年下期:21件、2024年上期:14件
被害件数はそれほど多くはありませんが、警察庁でも、ノーウェアランサムを高度な技術を悪用した新たなサイバー攻撃と捉えて注意喚起しています。
警察庁 「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について 」(令和6年9月19日)
また、日本国内で公開されている事例として、兵庫県伊丹市のノーウェアランサム被害が挙げられます。伊丹市が業務委託していた事業者のシステムが不正アクセスを受け、20人分の個人情報が流出したというものです。保存していたファイルを持ち出されたものの、大きな影響はなかったとのことですが、暗号化するランサムウェアに比べて、秘密裏に侵入しデータを盗み出すだけのノーウェアランサムはより手軽に攻撃できるため、今後被害が増えていく可能性があるでしょう。
伊丹市 「委託事業者による個人情報の流出事案の発生について」
ノーウェアランサムは、企業にとって大きな脅威です。データの暗号化を伴わずに盗み出したデータを公開すると脅すため、単なるバックアップだけでは防ぎきれません。そのため、企業は複合的な防御策を講じる必要があります。
ここでは、具体的な防御策について詳しく説明します。
まず、ネットワークセキュリティの強化は、ノーウェアランサムの攻撃を防ぐための基本的な対策です。企業は、複数の防御層を持つ「多層防御」を採用すべきです。ファイアウォール、侵入検知システム(IDS)、侵入防止システム(IPS)などの技術を導入し、外部からの攻撃をいち早く検知してブロックすることが求められます。
加えて、定期的なセキュリティパッチの適用やソフトウェアのアップデートも重要です。攻撃者は、システムやアプリケーションの脆弱性を狙って侵入を試みるため、脆弱性を迅速に修正することで、未然に侵入を防ぐことが可能です。
また、ネットワークのセグメンテーションも効果的な手段です。ネットワーク内のアクセス権限を細かく分けることで、仮に一部が侵害されたとしても、他の部分への拡散を防ぐことができます。これに対しては、二要素認証やバックアップの認証方法を組み合わせるなどの対策が求められます。
ノーウェアランサムはデータの公開を脅しに使いますが、企業があらかじめデータを暗号化しておくことで、仮に盗まれた場合でも情報の流出リスクを軽減することができます。暗号化は、重要なデータを安全に保管するための基本的な手段であり、特に個人情報や機密情報に対しては強力な保護策となります。
また、定期的なデータバックアップも依然として重要です。ノーウェアランサムでは暗号化されないとはいえ、データの一部が破壊される可能性も考えられます。攻撃を受けた後に業務を迅速に復旧するためには、バックアップの存在が不可欠です。バックアップデータは、攻撃者がアクセスできないオフラインまたは異なる場所に安全に保存することが重要です。これにより、最悪の事態でもデータを復元し、迅速に業務を再開することが可能です。
ノーウェアランサムを含めたサイバー攻撃の多くは、従業員がフィッシングメールや悪意のあるリンクをクリックすることで始まるため、従業員教育は不可欠です。企業は、従業員に対してサイバー攻撃の手法や対策についての定期的なトレーニングを行い、最新の脅威についての理解を深める必要があるでしょう。
トレーニングには、フィッシングメールの見分け方、疑わしいファイルの扱い方、セキュリティ上の疑念を感じた際の報告手順などを含めると効果的です。また、従業員が疑わしい活動を即座に報告できる環境を整えることで、攻撃の初期段階での対応が可能となり、被害を最小限に抑えることができます。生体認証やデバイス認証を用いる場合、そのメリットとリスクについても説明し、紛失や盗難に備えた対応策を徹底することが重要です。
さらに、企業全体でセキュリティリテラシーを高めることも重要です。すべての従業員がセキュリティ意識を持ち、日常的にセキュリティリスクを考慮して行動することが、企業のサイバーセキュリティを強化する大きな力となります。
ノーウェアランサムは、従来のランサムウェアとは異なり、データの公開を脅しに使う新たなサイバー攻撃の手法です。企業は、この脅威に対して多層的な防御策を講じる必要があります。ネットワークセキュリティの強化、データの暗号化、定期的なバックアップの実施、従業員教育など、総合的な対策を取ることで、被害を防ぐことができるはずです。