年々進化し続けているマルウェアにより、従来のセキュリティ対策やバックアップ方法ではサイバー攻撃を防ぎきれなくなっています。ランサムウェアから攻撃を受けた企業の中には復旧期間に1ヶ月以上要した・復旧費用に1,000万円以上を要したなどの被害報告があり、サイバー攻撃を受けたことによる企業が被る損害の大きさは計り知れません。また、被害後に取得していたバックアップより復旧対応を行おうとしたものの被害直前の水準までデータ復旧できなかったと回答する企業が79%も存在することが分かっており、企業はセキュリティ対策・バックアップ方法について改めて見直すことが求められています。
今回は最新のランサムウェアやEmotet(エモテット)の攻撃手口やバックアップの必要性、取得する際のポイントについて解説します。
まず、近年確認されている最新のランサムウェアの攻撃手口・被害状況・事例についてご紹介します。
これまでランサムウェアの手口として「データを暗号化しデータの復旧と引き換えに身代金を要求する」方法や「データの暗号化とともにデータを窃取し、身代金の支払いに応じなかった場合に情報を流出するなどと脅して身代金を要求する」二重脅迫の方法が確認されてきました。しかし、近年ではデータを暗号化することなくデータのみ窃取し、そのデータ(情報の流出)と引き換えに身代金を要求する『ノーウェアランサム』と呼ばれる手口が確認されるようになりました。新たな手口が生まれた背景には、多くの企業がランサムウェアの攻撃に備えてデータのバックアップ方法を見直したことやランサムウェアを効果的に検知するセキュリティ製品を導入するなどのセキュリティ対策を強化したことでデータを暗号化しても身代金を支払わないケースが増えたため、従来の二重脅迫の攻撃手順を省きデータのみを窃取して脅迫するノーウェアランサムの手口が出現したと考えられています。
また、その他の傾向としてVPN機器などネットワークインフラの脆弱性を狙った侵入経路が頻発しています。
近年、日本でもランサムウェアの被害が数多く報告されています。国内組織が公表した2023年4月~6月のランサムウェアの被害件数推移は過去最高の20件に上り、検出台数推移は885台でした。その後、7~9月の被害件数推移は10件に減少したものの、検出台数推移は517台と高止まりしており、予断を許さない状況が続いています。
また、セキュリティベンダーのソフォスが公開したランサムウェアの被害状況の調査レポートでは、2022年は国内組織の58%がランサムウェアの攻撃を受け、このうち72%がデータを暗号化されました。また、データを暗号化された組織の95%は身代金の支払いやバックアップデータの活用などの手段によってデータを取り戻していることが判明しました。
出典元:トレンドマイクロ株式会社「2023年のサイバー攻撃事例から読み解く、法人が備えるべき脅威」
【図1:国内法人組織におけるランサムウェア検出台数推移(トレンドマイクロの脅威データベースによる集計)】
出典元:トレンドマイクロ株式会社「2023年のサイバー攻撃事例から読み解く、法人が備えるべき脅威」
図2:国内組織が公表したランサムウェア被害件数推移(海外拠点での被害も含む。公表内容を元にトレンドマイクロが整理)
2023年のランサムウェアの被害の中で最も注目されたのが7月4日に発生した名古屋港の港湾コンテナターミナルの管理システム(NUTS)がランサムウェアの攻撃を受けた被害事例です。総取扱貨物量で日本一を誇る港湾で発生したインシデントにより名古屋港全ターミナルで作業が停止し、完全復旧までに約3日間という時間を要しました。その後、7月26日に同システムを管理する名古屋港運協会が経緯報告書を発表し、攻撃者からの脅迫はあったものの身代金の支払いなどについて金額の明示はなく、攻撃者への連絡も行っていないことや現時点では外部への情報漏洩の形跡は確認されていないことを公表しました。また、感染の経緯については管理システムにリモート接続するための機器が持つ脆弱性を狙った不正アクセスが想定されており、今後はリモート接続機器やサーバーなどの不正アクセス防止の強化やシステム内のログ情報やバックアップをより充実させることで、強固なセキュリティ対策を目指す意向を示しました。
< ランサムウェアの関連記事はこちら >
次に、近年確認されている最新のEmotet(エモテット)の攻撃手口・被害状況・事例についてご紹介します。
Emotetは2017年~2020年にかけて世界中で猛威をふるったものの2021年1月に一度収束しました。しかし、同年11月に活動の再開が確認され、2022年2月~3月に全世界で検知されたEmotetの件数(約53,000件)のうち日本で検知された件数は81%(42,000件)を占めました。さらに、同年7月上旬時点でマイクロソフト社が公表している過去30日間で同社端末に届いたマルウェアの分析では日本の検知件数トップはEmotetでした。(出典元:日経新聞電子版)
この調査結果からもわかるように近年はEmotetの攻撃対象として日本企業が集中的に狙われています。その要因として日本では一部の中小企業はあまりセキュリティ対策を行っておらず侵入しやすいことが原因になっていることが考えられます。
Emotetの攻撃手口や攻撃メールの文面は大きく変わっていませんが、2022年12月頃からMicrosoft OneNote形式ファイル(.one)を悪用したEmotetの攻撃手口が確認されるようになりました。攻撃メールに添付されたMicrosoft OneNote形式を開き、Viewボタンをクリックし、さらに表示される警告ウィンドウ内のOKボタンをクリックすると悪意あるファイルが実行されEmotetに感染する危険性があります。新たな手口が生まれた背景には、マイクロソフト社がインターネットから取得したMicrosoft Officeファイル内のマクロをブロックする機能を追加したため、攻撃者は新たな攻撃方法としてMicrosoft OneNote形式を悪用するようになったと考えられています。また、攻撃メールに添付したZIPファイル内に500MBを超えるWordのファイルが含まれているケースも確認されています。これはセキュリティソフトなどの検知を回避するための手口だと考えられています。
被害事例 1
2020年9月に某不動産業で使用していた社内PCのうち1台がEmotetに感染しました。その後、従業員になりすましてEmotetを含んだ添付ファイル付きメールを取引先や顧客宛に約6,400件送られていることが確認されました。
被害事例 2
2022年3月に某情報通信業で使用していた社内PCがEmotetに感染しました。その後、過去のメール送受信情報を窃取し悪用したなりすましメールが複数送られていることが確認されました。
< Emotet(エモテット)の関連記事はこちら >
次に、サイバー攻撃を受けた企業のバックアップ取得状況や復元のバックアップ活用状況についてご紹介します。
2022年にランサムウェアの攻撃を受けた日本企業のうち72%がデータを暗号化されました。そしてデータを暗号化された企業のうち95%はデータを復元できたものの、バックアップデータを用いてデータを復元できたのは60%の企業で、52%の企業はデータ復元のために身代金を支払っていました。(出典元:ソフォス)
また、2023年上半期に都道府県警察から警察庁に報告があったランサムウェアの被害件数は103件で、有効な回答62件のうち被害に遭ったシステム・機器のバックアップを取得していたものが92%でしたが、復元を試みたものの被害直前の水準まで復旧できなかったものは79%もありました。(出典元:警察庁)
出典元:警察庁「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」
図表25:バックアップ取得の有無 / 図表26:バックアップからの復元結果
次に、サイバー攻撃を受けた企業がデータ復旧に要した期間や費用についてご紹介します。
2022年にランサムウェアの被害を受けた企業の中で、バックアップデータを用いたデータ復旧にかかった費用は37万5000ドル(中央値)でした。これに対して身代金を支払ったデータ復旧にかかった費用は75万ドル(中央値)で、バックアップデータを用いたケースと比べて復旧費用が2倍も発生しました。また、2023年上半期に警察庁に報告があったランサムウェアの被害件数103件の中で、被害後にデータ復旧できた企業のうち有効な回答が60件あり、このうち復旧までに1ヶ月以上要したケースが10件ありました。さらにランサムウェアの被害に関連した調査・復旧費用の総額については有効な回答が53件あり、このうち費用が1,000万円以上発生したケースが16件で30%を占めました。(出典元:警察庁)
出典元:警察庁「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」
図表23:復旧に要した期間 / 図表24:調査・復旧費用の総額
次に、バックアップが必要不可欠な理由とデータ保管するにあたって押さえておくべきポイントについてご紹介します。
近年では、セキュリティ対策に脆弱性のある他の企業を攻撃し、踏み台にしてターゲットの企業へ侵入するサプライチェーン攻撃の手口が金銭を目的としたランサムウェアのようなマルウェアにも浸透しており、以前に増して中小企業が狙われやすくなっています。そのため会社規模関係なく、いつランサムウェアの被害に遭ってもおかしくありません。万が一バックアップを取得していない状態でウイルスに感染しデータが暗号化・消失してしまった場合、事業を継続できなくなります。想定外の事態が生じた際に事業への影響を最小限に抑え、速やかに復旧・事業継続できるようにするためにバックアップは必要不可欠です。しかし、前述のようにたとえ取得しているバックアップを用いてデータ復旧を試みても被害直前の水準まで復旧できないケースもあります。そのため、『どのようにデータを保管するか』という点が最も重要です。
データのバックアップを取得・保管するうえで重要なポイントが2つあります。一つ目は長期的なデータの保管です。万が一脅迫メッセージが表示された場合、すでにデータ感染している可能性が高く、長期的に機器に潜伏していた可能性もあります。実際にランサムウェアの平均潜伏期間は約24日と言われています。 そのため、感染前のバックアップデータに遡ってデータを復元できるように1ヶ月・3ヶ月など長期的なバックアップデータも保管しておきましょう。二つ目は3-2-1ルールの適用です。3-2-1ルールは重要なデータを保護するうえで優れた手法の一つと言われており、「データを3つ作成し、それを2つの異なる媒体と1つのオフライン環境に保管する」保管方法です。近年のランサムウェア攻撃はデータだけではなくバックアップサーバーなども標的にしているため、3-2-1ルールに則りバックアップデータを保管することで想定外の事態が起こった場合もデータ復旧をより確実にし、被害のリスクを大幅に軽減することができます。
最後にバックアップツールの種類についてご紹介します。バックアップを取得するためのサービスは複数ありますが、それぞれメリット・デメリットが異なるため企業のニーズや運用方法に合ったサービスを選定しましょう。
パッケージ
パッケージは、バックアップ専用のツールで、既製品として販売されているため必要な機能がまとめられており、汎用性が高い・バックアップシステムを構築しやすいなどのメリットがあります。また、バックアップデータの保管先もストレージやテープなど、必要に応じて組み合わせることができます。ただし、下記のような拡張の際に手間がかかるデメリットがあります。
・ ハードウェアとソフトウェアを別々に用意する必要がある。
・ 自社サーバーでデータを保管するため、パッケージの管理・故障時も自社で対応しなければならない。
・ バックアップサーバー内蔵のHDDに保管している場合、HDDの空スロットがないと容量を追加できない。
・ たとえ容量を追加してもディスクの使用量を平準化するためにデータを再配置する作業が必要になる。
アプライアンス
アプライアンスはハードウェアとソフトウェアがセットのため、導入が簡単である・ほとんどの製品が容量を追加する際のデータの再配置する作業を自動で行う機能がある・故障などトラブルが発生した場合は販売元のサポートやメンテナンスが受けられる・まとめてバージョンアップの対応ができるため運用負担を軽減できるなどのメリットがあります。ただし、導入費用が高額である・仕様変更などの対応が難しいケースがあるなどのデメリットがあります。
クラウド
多くの企業がバックアップの方法として導入しているのがクラウドサービスです。クラウド事業者が提供するサービスを利用するため自社サーバーに保管するよりも信頼性が保証されている・多くの事業者は遠隔地に複数のデータセンターを所有しているため自然災害などの影響を受けない・データ容量の追加に柔軟に対応できるなどのメリットがあります。ただし、バックアップ先に接続する際はインターネット環境が必須である・限られた帯域や遠隔地からの転送などの影響により速度が低下し、データのコピーや復旧に時間を要する恐れがある・アクセス権が付与されているユーザーはいつでもアクセスできるため、利用時の強固なセキュリティ対策が必須などのデメリットがあります。
以上、最新のランサムウェアやEmotet(エモテット)の攻撃手口やバックアップの必要性、取得する際のポイントについて解説しました。
ー 2023年ランサムウェアの被害状況
― 2023年Emotet(エモテット)の被害状況
― 被害後のバックアップ取得・活用状況
― 被害後の復旧時に要した期間・費用
― バックアップが必要な理由と保管時のポイント
― バックアップツールの種類
万が一サイバー攻撃や自然災害など想定外の事態が発生した場合、データ復旧にかかる期間や費用などによる経済的損失は計り知れません。そのため、現状の社内セキュリティを見直し、強固なセキュリティ対策と被害を最小化するために保管時のポイントを押さえたバックアップ方法を導入することをおすすめします。