国内外で被害が多発しているランサムウェアについて、ウイルス開発者や攻撃実行役などの「分業制」が敷かれている実態が、警察庁と各国捜査機関による国際共同捜査で浮かんできた。大企業だけでなく中小企業も標的になっており、対策強化が欠かせない。(建石剛)
ビジネス化
「ウイルスの開発や販売がビジネス化している。専門知識がなくても、ウイルスを購入すれば攻撃を行えてしまう」。警察庁幹部はそう危機感を強める。
警察庁は昨年4月に同庁初の直轄捜査部隊「サイバー特別捜査隊」を創設し、海外の捜査機関と連携してランサムウェアの解明に力を入れてきた。
これまでの捜査で、被害企業のサーバーに残された通信記録の解析などを進めた結果、▽ウイルス開発者▽侵入用のIDやパスワードを盗むハッカー▽攻撃実行役――の3者が別々に存在することが判明した。
例えば、サイバー特捜隊と欧州警察機構などが共同捜査した事件では、今年5月に訴追されたロシア人の男が攻撃実行役だった一方、ウイルスを開発したのはチェコ在住の男だった。
ウイルス開発者はウイルスを販売しているほか、ランサムウェアで盗んだデータを暴露する際に用いる「リークサイト」も運営。ハッカーは、盗んだIDやパスワードを攻撃実行役に販売している。
攻撃実行役が被害企業の内部ネットワークに侵入する手口は、機械的な試行を繰り返してパスワードを破る「辞書攻撃」のほか、標的が頻繁に接続するサイトとそっくりの偽物サイトを作ってウイルスに感染させる「水飲み場型攻撃」などが確認されている。
復旧に1か月半
実際に攻撃を受けた企業はどう対処したのか。
神奈川県内の自動車部品メーカーでは昨年9月、複数のサーバーが突然停止し、画面に「Lock Bit」という文字が表示された。世界中で被害が出ているランサムウェアだ。
IT担当の男性社員(50)らがネットワーク接続を切って調べると、サーバー計19台のデータが暗号化されていた。メインコンピューターはシステムの移管作業中だったため無事で、生産自体に影響は出なかったが、納品書を印刷できないなどのトラブルが生じた。
県警による証拠収集に約1週間かかり、サイバー特捜隊が捜査に加わった後、一部のサーバーが復元された。完全復旧までには約1か月半かかった。
攻撃を許した要因は、約2年前に世界的にVPN(仮想プライベートネットワーク)のパスワードが流出した問題があり、同社もパスワード変更などで対応した際、一部で変更漏れがあったことだった。
男性社員は「狙われるのは大企業だと思っており、サイバー保険にも入っていなかった。備えの重要性を痛感した」と話す。
「認証」強化を
NTTデータグループのサイバーセキュリティー専門家・新井悠氏によると、攻撃を受けないためには、サーバーに接続する際の「認証手段」の強化が欠かせない。例えば、いったん確認メールを受信してから接続する「2段階」システムなどを導入すれば、IDなどが流出しても不正ログインを防げる。
ソフトの更新も重要だ。パソコンなどの端末は自動更新する機能があるが、VPN機器やルーターなどは自動更新ができない場合が多い。更新を怠らず、
万一攻撃を受けても、データのバックアップがあれば被害を最小限に抑えられる。攻撃者側のマニュアルには「バックアップも狙え」との記載があるといい、同時にデータを盗まれないよう、外部媒体などにバックアップした方が安全だ。
新井氏は「ランサムウェアの被害に遭うと、取引先の業務にまで影響が出る可能性がある。業界団体で指針を作るなど、社会全体で対策を強化していく必要がある」と指摘した。
◆ランサムウェア=企業や団体の内部ネットワークに侵入し、データを暗号化して金を要求する「身代金要求型」ウイルス。盗んだデータを公開すると脅す二重恐喝の手口も多い。全国の警察には昨年、230件の被害相談があった。