★☆★JNSAメールマガジン 第219号 2021.9.6☆★☆
2021/09/06 (Mon) 14:45
★☆★JNSAメールマガジン 第219号 2021.9.6☆★☆
こんにちは
JNSAメールマガジン 第219号 をお届けします。
JNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは株式会社エヌ・ティ・ティ・データの新井悠様にご寄
稿いただきました。
【連載リレーコラム】
ランサムウェアを悪用するサイバー犯罪者の実態とその対策
株式会社エヌ・ティ・ティ・データ
エグゼクティブ・セキュリティ・アナリスト
新井 悠
「素人衆には大枚の 金も只取る世渡りに 未練に惜しみはしねえけれど こ
う言いがかった上からは 空吹く風に逆らわぬ 柳に受けちゃあいられねえ」
---河竹黙阿弥『三人吉三巴白波』より
新型コロナウイルスの感染拡大が今後の社会や国家、そして世界のあり方に大
きな影響を与えるなかでも、サイバー犯罪者らは活動を低下させることなく、
むしろ活発化している。なかでもランサムウェア(身代金要求型コンピュータ
ウイルスなどとも呼ばれる)を悪用するサイバー犯罪者グループは、その中心
といっていい。今年上半期、同グループによってPC等の暗号化がなされた結
果、米コロニアル・パイプラインが操業停止に追いやられた事件では、そのニュ
ースを見た市民によるパニック買いでガソリン価格が急騰するといった社会的
な影響を引き起こし、米露間の政治的な問題へと波及した。
・ランサムウェアを悪用するサイバー犯罪者の実態
現在、企業などを標的にしているランサムウェア悪用グループは、ランサムウェ
ア自体の開発を担うチームと、ランサムウェアの感染拡大を担うチームに役割
が分かれている。犯行グループは、ランサムウェアの開発役と、企業への侵入
と感染活動を行う犯行役に役割分担がなされている。そして恐喝に成功した場
合は、身代金の総額の8割を感染拡大の担当が、残りの2割をランサムウェア
の開発担当が受け取る。いわば成功報酬型だ。また、ランサムウェアによって
暗号化されてしまったファイルの復旧費用と、さらに企業内から盗み出された
ファイルの削除料の2つの身代金を請求する、二重の恐喝を行う手口を使う犯
行グループが大半だ。攻撃の対象としているのはあらゆる組織・企業であり、
業種などを限定したり、特段の選定理由があるわけではない。ランサムウェア
犯行グループは金銭目的であり、侵入できる組織にはもれなく侵入し、ファイ
ルの暗号化をすることによって、とにかくカネを要求することを行動原理とし
ている。このため、米コロニアル・パイプラインのような重要インフラにも例
外なく侵入し、社会的な問題の引き金となった可能性が高いのだ。
ランサムウェア犯行グループの実態をもう少し明らかにしよう。攻撃役の勧誘
には特定の掲示板サイト上でロシア語(キリル語)が使用されており、かつ
「旧共産圏の居住者を募集」などと書き込まれていることが一般的だ。したが
って、役割分担をしつつも、犯行を行っているのはロシア語圏の犯人という蓋
然性が高い。よって、それらの国々の法執行機関がこれらの犯人に対して捜査
を行わないのか、という素朴な疑問をもつかたも多いだろう。そこには、この
ランサムウェアに仕組まれているひとつの仕組みによって、被害届などが出さ
れることを回避していると思われる点がある。それは、こうした攻撃で使用さ
れるランサムウェアは、感染したPCで使用されている言語情報を読み取り、
ロシア語圏であった場合は感染活動を行わないような仕組みが組み込まれてい
る。したがって、こうした国々で使用されているPCでもしランサムウェアが
動作したとしても、感染しないということになり、ひいては被害を発生させな
いということになりうる。このことによって、被害届が出されることを回避し、
最終的には法執行機関による捜査対象となることを迂回する目的があると考え
られている。
・2021年下半期の予想
冒頭に触れたパイプラインに対する攻撃の発生後の2021年6月、米バイデン
大統領とロシアのプーチン大統領は首脳会談を行った。その中で、ランサムウェ
アの問題を巡る対話を開始することで一致したと発表がなされた。さらに7月
にMSPを経由した大規模なランサムウェアを悪用した攻撃が発生した際に、
再びバイデン大統領はプーチン大統領と電話会談を行い、ランサムウェア犯行
グループの活動を阻止するよう行動を求めたと公表した。ランサムウェア犯行
グループが政治的な問題へと発展しているのだ。
ただ、こうした米国からの政治的解決の要求に対し、今のところロシア当局が
その実現に向けた動きをみせているふしはない。また、一旦は活動を低下させ
ていた犯行グループ構成員らも、6月半ば以降に新たなグループを次々と結成
させ、活動を元の状況に戻している。したがって、今後もこのランサムウェア
犯行グループによる被害が国内においても生じても何らおかしくはない状況が
続くだろう。
企業への侵入には、遠隔からのシステム保守作業やテレワークに使用される機
器・ソフトウェアの脆弱性の悪用や、ID・パスワードの辞書攻撃といった手口
が使用されている。したがって企業はこうした機器・ソフトウェアに修正プロ
グラムを適用することや、多要素認証・端末認証を適用することで、こうした
サイバー犯罪者の攻撃を防ぐことができるようになる。企業の担当者の皆さん
には、今一度こうした手口の被害を受ける可能性がないか確認し、速やかに対
策を講じられることをおすすめしたい。
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジン第219号の感想をお寄せください。
https://docs.google.com/forms/d/e/1FAIpQLSeG4doCP_Pu0kHVaJAwMjsMQNqCEceGLQULdBE7ABPEjmo7-A/viewform
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★JNSA 2021年度活動報告会の参加受付開始いたしました。
2021年9月16日(木)13:30~17:00(予定)
2021年9月17日(金)13:30~17:15(予定)
お申込み、詳細は以下よりご確認ください。
https://www.jnsa.org/seminar/2021/active/
【事務局からのお知らせ】
★JNSAソリューションガイドでは、会員企業が
開催するオンラインイベント/セミナー情報をご覧いただけます。
https://www.jnsa.org/JNSASolutionGuide/IndexAction.do
★無料でご利用いただけます!「情報セキュリティ理解度チェックサービス」
https://slb.jnsa.org/eslb/
組織の情報セキュリティ向上のための一助としてご活用下さい。
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。ご注意ください。
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
office@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <http://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第219号
発信日:2021年9月6日
発 行:JNSA事務局 office@jnsa.org
*************************************
こんにちは
JNSAメールマガジン 第219号 をお届けします。
JNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは株式会社エヌ・ティ・ティ・データの新井悠様にご寄
稿いただきました。
【連載リレーコラム】
ランサムウェアを悪用するサイバー犯罪者の実態とその対策
株式会社エヌ・ティ・ティ・データ
エグゼクティブ・セキュリティ・アナリスト
新井 悠
「素人衆には大枚の 金も只取る世渡りに 未練に惜しみはしねえけれど こ
う言いがかった上からは 空吹く風に逆らわぬ 柳に受けちゃあいられねえ」
---河竹黙阿弥『三人吉三巴白波』より
新型コロナウイルスの感染拡大が今後の社会や国家、そして世界のあり方に大
きな影響を与えるなかでも、サイバー犯罪者らは活動を低下させることなく、
むしろ活発化している。なかでもランサムウェア(身代金要求型コンピュータ
ウイルスなどとも呼ばれる)を悪用するサイバー犯罪者グループは、その中心
といっていい。今年上半期、同グループによってPC等の暗号化がなされた結
果、米コロニアル・パイプラインが操業停止に追いやられた事件では、そのニュ
ースを見た市民によるパニック買いでガソリン価格が急騰するといった社会的
な影響を引き起こし、米露間の政治的な問題へと波及した。
・ランサムウェアを悪用するサイバー犯罪者の実態
現在、企業などを標的にしているランサムウェア悪用グループは、ランサムウェ
ア自体の開発を担うチームと、ランサムウェアの感染拡大を担うチームに役割
が分かれている。犯行グループは、ランサムウェアの開発役と、企業への侵入
と感染活動を行う犯行役に役割分担がなされている。そして恐喝に成功した場
合は、身代金の総額の8割を感染拡大の担当が、残りの2割をランサムウェア
の開発担当が受け取る。いわば成功報酬型だ。また、ランサムウェアによって
暗号化されてしまったファイルの復旧費用と、さらに企業内から盗み出された
ファイルの削除料の2つの身代金を請求する、二重の恐喝を行う手口を使う犯
行グループが大半だ。攻撃の対象としているのはあらゆる組織・企業であり、
業種などを限定したり、特段の選定理由があるわけではない。ランサムウェア
犯行グループは金銭目的であり、侵入できる組織にはもれなく侵入し、ファイ
ルの暗号化をすることによって、とにかくカネを要求することを行動原理とし
ている。このため、米コロニアル・パイプラインのような重要インフラにも例
外なく侵入し、社会的な問題の引き金となった可能性が高いのだ。
ランサムウェア犯行グループの実態をもう少し明らかにしよう。攻撃役の勧誘
には特定の掲示板サイト上でロシア語(キリル語)が使用されており、かつ
「旧共産圏の居住者を募集」などと書き込まれていることが一般的だ。したが
って、役割分担をしつつも、犯行を行っているのはロシア語圏の犯人という蓋
然性が高い。よって、それらの国々の法執行機関がこれらの犯人に対して捜査
を行わないのか、という素朴な疑問をもつかたも多いだろう。そこには、この
ランサムウェアに仕組まれているひとつの仕組みによって、被害届などが出さ
れることを回避していると思われる点がある。それは、こうした攻撃で使用さ
れるランサムウェアは、感染したPCで使用されている言語情報を読み取り、
ロシア語圏であった場合は感染活動を行わないような仕組みが組み込まれてい
る。したがって、こうした国々で使用されているPCでもしランサムウェアが
動作したとしても、感染しないということになり、ひいては被害を発生させな
いということになりうる。このことによって、被害届が出されることを回避し、
最終的には法執行機関による捜査対象となることを迂回する目的があると考え
られている。
・2021年下半期の予想
冒頭に触れたパイプラインに対する攻撃の発生後の2021年6月、米バイデン
大統領とロシアのプーチン大統領は首脳会談を行った。その中で、ランサムウェ
アの問題を巡る対話を開始することで一致したと発表がなされた。さらに7月
にMSPを経由した大規模なランサムウェアを悪用した攻撃が発生した際に、
再びバイデン大統領はプーチン大統領と電話会談を行い、ランサムウェア犯行
グループの活動を阻止するよう行動を求めたと公表した。ランサムウェア犯行
グループが政治的な問題へと発展しているのだ。
ただ、こうした米国からの政治的解決の要求に対し、今のところロシア当局が
その実現に向けた動きをみせているふしはない。また、一旦は活動を低下させ
ていた犯行グループ構成員らも、6月半ば以降に新たなグループを次々と結成
させ、活動を元の状況に戻している。したがって、今後もこのランサムウェア
犯行グループによる被害が国内においても生じても何らおかしくはない状況が
続くだろう。
企業への侵入には、遠隔からのシステム保守作業やテレワークに使用される機
器・ソフトウェアの脆弱性の悪用や、ID・パスワードの辞書攻撃といった手口
が使用されている。したがって企業はこうした機器・ソフトウェアに修正プロ
グラムを適用することや、多要素認証・端末認証を適用することで、こうした
サイバー犯罪者の攻撃を防ぐことができるようになる。企業の担当者の皆さん
には、今一度こうした手口の被害を受ける可能性がないか確認し、速やかに対
策を講じられることをおすすめしたい。
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジン第219号の感想をお寄せください。
https://docs.google.com/forms/d/e/1FAIpQLSeG4doCP_Pu0kHVaJAwMjsMQNqCEceGLQULdBE7ABPEjmo7-A/viewform
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★JNSA 2021年度活動報告会の参加受付開始いたしました。
2021年9月16日(木)13:30~17:00(予定)
2021年9月17日(金)13:30~17:15(予定)
お申込み、詳細は以下よりご確認ください。
https://www.jnsa.org/seminar/2021/active/
【事務局からのお知らせ】
★JNSAソリューションガイドでは、会員企業が
開催するオンラインイベント/セミナー情報をご覧いただけます。
https://www.jnsa.org/JNSASolutionGuide/IndexAction.do
★無料でご利用いただけます!「情報セキュリティ理解度チェックサービス」
https://slb.jnsa.org/eslb/
組織の情報セキュリティ向上のための一助としてご活用下さい。
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。ご注意ください。
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
office@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <http://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第219号
発信日:2021年9月6日
発 行:JNSA事務局 office@jnsa.org
*************************************