はじめに
サイバー攻撃の手法は日々進化しており、企業の情報セキュリティを取り巻く環境は複雑になっています。その中でも近年登場し、警視庁への被害報告も増加しているのが「ノーウェアランサム」という新たなタイプのランサムウェアです。従来のランサムウェアは、企業の重要なデータを暗号化し、解除のために金銭を要求するものでした。しかし、ノーウェアランサムではデータを暗号化せずに窃取し、公開するという脅迫手段を取ります。
そのため、企業に金銭面での損害を与えるだけでなく、情報漏洩やブランドイメージの毀損、法的規制への対応といった深刻な被害をもたらします。企業にとっては早急に対策を講じるべき問題の一つです。
本記事では、ノーウェアランサムの仕組みや従来型ランサムウェアとの違い、企業にもたらす具体的な影響を詳しく解説します。また、企業が取るべき対策や、ITシステムを守るために有効なサービスについても触れていきます。ノーウェアランサムの脅威を正しく理解し、適切な対応を行うことが、情報資産を守る第一歩となるでしょう。
ノーウェアランサムとは?従来型ランサムウェアとの違い
本項目では、ランサムウェアの基本的な仕組みとノーウェアランサムの特徴、従来型ランサムウェアとの違いについて解説します。
ランサムウェアの基本的な仕組み
ランサムウェアは、企業や個人のデータを標的にするマルウェアの一種であり、主に以下のステップで攻撃が行われます。
1.感染:VPN機器、メールの添付ファイル、WEBサイト、リモートデスクトップなどを介して、悪意あるプログラムがシステムに侵入します。
2.暗号化:システム内のファイルやデータを強制的に暗号化し、被害者がアクセスできないようにします。
3.身代金要求:暗号化されたデータを復号するための鍵を提供する条件として、金銭(多くの場合、仮想通貨)を要求します。
このように従来のランサムウェアは、暗号化を利用してデータを「人質」に取ることで被害者に圧力をかける手法が主流でした。
ノーウェアランサムの特徴:暗号化ではなく窃取と公開の脅迫
一方で、ノーウェアランサムは暗号化を行わず、以下のような手法で脅迫を行います。
1.データの窃取:システムに侵入し、企業の重要な情報や機密データを盗み出します。
2.公開の脅迫:窃取したデータをインターネット上で公開する、または第三者に漏洩させると脅します。
この手口の特徴は、データが暗号化されないため、被害者が攻撃を受けたことにすぐ気づきにくい点です。また、公開される可能性のある情報が企業の信用や法的リスクに直結するため、被害者にとって非常に大きな脅威となります。
従来型ランサムウェアとの比較
従来型ランサムウェアとノーウェアランサムには以下のような違いがあります。
| 項目 | 従来型ランサムウェア | ノーウェアランサム |
|---|---|---|
| 攻撃手法 | データを暗号化 | データを窃取 |
| 脅迫内容 | 複合キーの提供と引き換えに金銭を要求 | データの公開を回避するために金銭を要求 |
| 被害の発覚 | 暗号化により即座に発覚する | 発覚が遅れる可能性が高い |
| 被害の範囲 | 業務停止など直接的な影響が多い | 情報漏洩や法的リスクが大きい |
ノーウェアランサムは、従来型ランサムウェアよりも被害者に気づかれにくく、企業に与える影響がより深刻な場合が多いです。そのため、企業の情シス担当者など、情報資産を扱う部門の担当者にとって、この新しい脅威に対する理解と対策が不可欠となっています。
ノーウェアランサムの攻撃手法:企業はどう狙われるのか
ノーウェアランサムは、従来のランサムウェアと異なり、データを暗号化することなく窃取し、それを公開する脅迫を行う攻撃手法です。本項目では、このような攻撃が増加する背景、企業ITシステムの脆弱性を突いた具体的な手口、そして警視庁の被害集計データをもとに、ノーウェアランサムがどのように企業を狙うのかを解説します。
標的型攻撃の増加とその背景
ノーウェアランサムは、標的型攻撃を通じて企業を狙います。標的型攻撃とは、特定の企業や組織をターゲットにして行われるサイバー攻撃のことです。標的型攻撃が増加している背景には、攻撃者が企業の特定の情報資産を狙う動機が強まっていることが挙げられます。特に金融機関や医療機関など、機密性の高い情報を扱う企業が標的となることが多く、情報漏洩による影響が甚大であることから攻撃対象として選ばれやすいのです。
また、攻撃者は標的企業の業種や規模、情報管理の状況を細かく調査し、最も効果的な攻撃手法を選択します。このような標的型攻撃の増加は、ノーウェアランサムが企業に深刻な脅威をもたらしている要因の一つです。
企業ITシステムの脆弱性を突く手法(例:メール、VPN、クラウド)
ノーウェアランサムの攻撃者は、企業のITシステムの脆弱性を突いて侵入します。具体的には、従業員に送られるフィッシングメールや、適切に管理されていないVPN(仮想プライベートネットワーク)、さらにはクラウドサービスの設定ミスなどを利用するケースが多く見られます。
フィッシングメールでは、見慣れた送信者を騙り、緊急性を強調する内容で従業員を欺き、悪意のあるリンクをクリックさせることで攻撃を開始します。一方、VPNやクラウドの脆弱性は、セキュリティパッチが適用されていない古いシステムや設定不備が原因となることが多いです。攻撃者はこれらの脆弱性を利用してシステムに侵入し、重要なデータを窃取します。これらの手口は、企業のセキュリティ対策が不十分な場合に特に攻撃成功率を高めています。
警視庁による被害集計のデータ
警視庁が公開した最新の被害集計データによれば、ノーウェアランサムによる攻撃件数は2023年以降、日本国内で急増しています。
2023年上半期には9件の被害が報告されましたが、下半期には21件にまで増加しました。さらに2024年上半期には14件の被害が確認されており、この脅威が継続して拡大していることが分かります。
これらの攻撃は、金融機関、製造業、政府機関など幅広い業種を対象としており、いずれも機密性の高い情報を扱う組織が標的となっています。
また、警視庁はこれらの攻撃を「高度な技術を悪用した新たなサイバー攻撃」と位置付けており、国内企業に対して注意喚起を行っています。これらのデータは、ノーウェアランサムが日本国内でも広く認識されるべき脅威であることを裏付けています。
出展:マルウェア「ランサムウェア」の脅威と対策(脅威編)
ノーウェアランサムへの対策:企業が取るべき行動
ノーウェアランサムへの対策は、攻撃が発生する前の事前の予防策、事後の迅速な対応、そして外部の専門サービスの活用という三本柱で構築されます。情シス担当者等、企業のシステム担当者は、これらを適切な配分で、総合的なセキュリティ対策を講じることが求められます。
予防策から、総合的なセキュリティ対策を講じることが不可欠です。本項目では、担当者が取るべき行動について、事前対策、事後対応、そしてアウトソーシングの活用という観点から解説します。
事前対策:システム監視、セキュリティ強化、従業員教育
まず事前の予防策とし、システムの監視体制を強化することが重要です。
企業のITシステム内で発生する異常な挙動を迅速に検知するために、ネットワークトラフィックの監視やログ管理を徹底し、不審なアクセスを早期に発見する仕組みを構築する必要があります。また、セキュリティ強化策としては、ファイアウォールやウイルス対策ソフトの最新バージョンを常に適用し、ゼロデイ攻撃にも対応可能な多層防御を実現することが求められます。
さらに、従業員の教育も欠かせません。ノーウェアランサムの攻撃手法の多くは従業員をターゲットにしたフィッシングメールをはじめ、人的ミスを狙ったものです。そのため、定期的なセキュリティトレーニングを実施し、組織全体でリテラシーを深め、疑わしいメールにも適切な対処できる体制に整えることが必要です。
事後対応:インシデント対応計画の重要性
万が一ノーウェアランサムの攻撃を受けた場合も混乱を最小限に抑え、迅速かつ効果的に対処するためには、事前に策定したインシデント対応計画が鍵となります。インシデント対応計画には、攻撃が発覚した際の対応手順、関係部署間の連携方法、外部への報告手順、そして法的対応を含めた包括的なプロセスを盛り込む必要があります。特に、データ漏洩が発生した場合には、顧客や取引先への速やかな通知が求められるため、対応の遅れが企業の信用を著しく損なう可能性があります。
インシデント対応計画の実効性を確保するためには、定期的なシミュレーションを行い、計画の不備を修正することが重要です。また、攻撃の影響を受けたシステムの復旧においては、事前に用意したバックアップが非常に有効です。ノーウェアランサムは暗号化を伴わないため、バックアップそのものの活用は限定的ですが、他の攻撃との複合的な影響を考慮すると、バックアップを確保しておくことに越したことはありません。
専門サービスの活用:アウトソーシングによるセキュリティ体制強化
ノーウェアランサムの脅威に対抗するには、自社内のセキュリティ体制だけでなく、専門サービスを活用することも有効です。近年では、セキュリティ監視やインシデント対応を専門とするアウトソーシングサービスが普及しており、これらを利用することで高度なセキュリティ体制を実現することが可能です。たとえば、セキュリティオペレーションセンター(SOC)を運営する企業に監視業務を委託することで、24時間体制でのネットワーク監視が可能となり、自社では対応しきれない脅威を早期に検知できます。
また、セキュリティコンサルティングを受けることで、自社の脆弱性を明確にし、適切な防御策を講じることができます。さらに、サイバー攻撃の影響を軽減するための保険サービスも活用が進んでおり、万が一の事態に備えることができます。アウトソーシングを活用することで自社のリソース不足を補い、要所ごとのセキュリティ体制を総合的に向上させることもできます。
まとめ
ノーウェアランサムは、従来のランサムウェアとは異なり、データを暗号化せず窃取し、公開する脅迫を行う新たな攻撃手法です。その脅威は、暗号化しないために発覚も遅れやすく、企業の情報資産だけでなく、ブランドイメージや信頼に申告な影響を及ぼし、場合によっては法的リスクも発生させます。攻撃者は標的型攻撃を通じて企業の脆弱性を突き、メールやVPN、クラウドといった多様な経路から侵入します。そして、警視庁のデータが示すように、日本国内でもその被害は増加傾向にあり、特に金融機関や製造業、政府機関などが主要なターゲットとなっています。
この脅威に対抗するためには、事前の予防策と事後対応が不可欠です。システム監視やセキュリティの強化、従業員教育を通じて攻撃を未然に防ぎ、インシデント対応計画を策定して万が一の事態に備えることが求められます。また、アウトソーシングや専門サービスを活用することで、自社のセキュリティ体制をさらに強化することが可能です。
セラクでは、IT資産管理に役立つソリューションおよびプロによるサポートを提供しています。IT資産管理を実施する上で不明点やお困りごとがございましたら、ぜひセラクへご相談ください。
