| データを暗号化せずに脅迫!ノーウェアランサムウェアの実態と防御 | |
|---|---|
| 作成日時 25/02/25 (08:43) | View 920 |
ノーウェアランサムウェアとは、従来のランサムウェアとは異なり、データを暗号化せずに情報を窃取し、その公開をネタに企業を脅迫する新たなサイバー攻撃です。
従来のランサムウェアではバックアップを取ることで復旧が可能でしたが、この手法では「データが暴露される恐怖」そのものが武器となります。企業にとって機密情報の漏洩は、顧客の信頼喪失、ブランドイメージの毀損、さらには法的責任にまで発展する深刻なリスクとなります。そのため、この新たな脅威への対策は急務です。
本記事では、ノーウェアランサムウェアの基本的な仕組みや攻撃手法を解説するとともに、実際に発生した被害事例を紹介します。さらに、企業がこの脅威にどう対応すべきか、具体的なセキュリティ対策を提示し、サイバー攻撃から身を守るための術を提供します。
ノーウェアランサムウェア(No-ware Ransomware)は、データを暗号化せずに窃取し、その公開を盾に身代金を要求するサイバー攻撃です。「ノーウェア(No-ware)」という名称は、必ずしも特定のマルウェアを使わない点に由来します。
従来のランサムウェアはデータを暗号化し、復号キーと引き換えに身代金を要求する手法でした。しかし、企業がバックアップを強化したことで効果が薄れつつあります。そこで攻撃者は、データを盗み出し「公開されたくなければ支払え」と脅す新手法を採用するようになりました。
この攻撃は、暗号化の手間が不要なため成功率が高く、検知されにくいという強みがあります。また、「二重恐喝」として暗号化と情報漏洩の両方を脅しに使うケースも増えています。
こうした脅威に対抗するには、侵入防止策の強化や情報の最小限保持、盗まれても影響を抑えるデータ管理が不可欠です。ノーウェアランサムウェアは、今後さらに巧妙化する可能性があるため、注意が必要です。
従来のランサムウェアはデータの暗号化による「業務の停止」によって、身代金を要求するのに対し、ノーウェアランサムウェアは企業の「評判」と「信頼」を人質にするため、機密情報を扱う企業にとって深刻な脅威です。
さらに、ノーウェアランサムウェアの攻撃は短期間で完了するため、従来のセキュリティ対策では防ぎきれない可能性が高くなります。たとえば、EDR(Endpoint Detection and Response)はランサムウェアの動作を検知して封じ込めますが、ノーウェアランサムウェアはファイル転送やクラウドストレージの利用など、通常のネットワーク通信に紛れ込むため、従来の方法では発見が困難です。
関連記事:ランサムウェアとは|仕組みや防ぎ方、駆除方法まで解説
【初心者向け】 マルウェアとランサムウェアの違いと感染予防法を解説!
近年、ノーウェアランサムウェアの被害が急増しています。
警察庁の「令和5年版サイバー犯罪情勢」によると、ランサムウェア攻撃の報告件数は依然として高水準を維持しており、特にデータの窃取と公開を武器にした攻撃が増加しているとのことです。
この背景には、企業のセキュリティ対策の進化があります。
従来のランサムウェアはデータを暗号化し、復旧と引き換えに身代金を要求する手法でしたが、バックアップの普及により、成功率が低下しました。そのため、攻撃者は「データの公開」を脅迫材料とする手法に移行し、顧客情報や機密データを扱う企業を標的にしています。
ノーウェアランサムウェアが急増している理由は、攻撃の効率性と確実な金銭獲得にあります。従来のランサムウェアは暗号化に時間がかかり、被害者がバックアップから復旧すれば攻撃が無効化されるリスクがありました。一方、ノーウェアランサムウェアはデータを窃取するだけで済むため、短時間で完了し、検知もされにくいのです。また、企業は情報漏洩による信用失墜や法的責任を恐れ、支払いを拒否しにくい傾向があります。
さらに、フィッシングメールやリモートデスクトップの脆弱性を悪用するなど、比較的シンプルな方法で攻撃が可能なため、技術力の低い犯罪者でも実行しやすくなっています。このため、ランサムウェア市場への参入が増え、攻撃件数がさらに拡大しています。
こうした状況を踏まえると、ノーウェアランサムウェアの脅威は今後も拡大すると考えられます。従来のバックアップ対策だけでは防ぎきれず、企業はゼロトラストセキュリティやデータアクセスの厳格な管理など、多層防御を強化しなければいけません。
ここでは、ノーウェアランサムウェアの攻撃の流れと主な侵入経路について見ていきましょう。
ノーウェアランサムウェアの攻撃は、以下のステップで実行されます。
1.標的の選定
攻撃者は、企業の規模や業種、保有データの価値を調査し、金銭的な要求が通りやすいターゲットを選びます。特に、医療機関、金融機関、法律事務所、製造業、政府機関などの機密情報を多く保有する企業が狙われやすいです。
2.侵入経路の確保
フィッシングメールやソーシャルエンジニアリングを使用し、従業員を騙してマルウェアをインストールさせたり、認証情報を盗んだりします。
3.データの窃取
侵入後、攻撃者はターゲットのシステムから価値の高いデータを検索し、コピーします。顧客情報、財務データ、知的財産、従業員の個人情報など、外部に公開されると企業にとってダメージの大きいデータが狙われます。
4.痕跡の隠蔽
攻撃者は、システムのログを削除したり、アクセス履歴を改ざんしたりすることで、不正アクセスの痕跡を消します。
5.脅迫と金銭要求
窃取したデータの一部を企業に送り、「このままではすべてのデータを公開する」と脅迫します。
6.データの公開または売却
身代金が支払われなかった場合、攻撃者はデータをダークウェブ上で販売したり、競合他社に流したりすることがあります。
関連記事:ダークウェブとは?歴史やアクセスの方法、企業の活用方法を解説
このように、ノーウェアランサムウェアは、データの盗難と脅迫を組み合わせた攻撃手法であり、従来のランサムウェアと異なり「バックアップ対策では防ぎきれない」という特徴を持っています。
ノーウェアランサムウェアの攻撃者は、セキュリティの弱点を突いてシステムに侵入します。主な侵入経路は以下の通りです。
1. フィッシングメール
信頼できる取引先や上司を装ったメールを送信し、悪意のあるリンクや添付ファイルをクリックさせることで、従業員のデバイスに侵入し、以下のような情報を窃取します。
● アカウントの認証情報(ユーザー名・パスワード)
● システム管理者のアクセス権限
● 機密ファイル
2. VPNやリモートデスクトップ(RDP)の脆弱性
近年、リモートワークの普及により、多くの企業がVPNやRDPを使用して従業員の遠隔アクセスを許可しています。しかし、これらのシステムに脆弱性がある場合、攻撃者は次の手口で不正アクセスを試みます。
● 総当たり攻撃(ブルートフォース攻撃)
簡単なパスワードが設定されている場合、攻撃者は自動化されたツールを使用して短時間でパスワードを突破します。
● 盗まれた認証情報の利用
他のサービスから流出したパスワードが再利用されている場合、攻撃者はそれを試してログインを試みます。
3. ソフトウェアやOSの脆弱性
システムが最新のセキュリティアップデートを適用していない場合、攻撃者は古いバージョンのソフトウェアの脆弱性を悪用して侵入します。特に、以下のようなソフトウェアが標的となります。
4. 内部関係者の不正行為
攻撃者が企業内部の従業員や契約社員を買収し、アクセス権限を不正に入手するケースもあります。経済的に困窮している従業員が標的となることが多く、SNSやダークウェブを通じて接触される場合があります。
5. 既存のマルウェアを利用した攻撃
ノーウェアランサムウェアは「マルウェアを使わない」と言われますが、実際にはトロイの木馬やキーロガーなどのマルウェアを利用して情報を盗み出すケースもあります。
関連記事:知らないと危険!マルウェアとは?種類・感染経路・対策方法を徹底解説
2023年、兵庫県伊丹市が業務委託していた事業者のシステムが不正アクセスを受け、20人分の個人情報が流出する事件が発生しました。流出した情報には、氏名、住所、性別、生年月日、被保険者番号、健診結果など、個人を特定できる重要なデータが含まれていました。
攻撃者はデータを暗号化せずに持ち出し、その公開を盾に金銭を要求する手口を用いた可能性があり、ノーウェアランサムウェアの被害事例として注目を集めました。
市の発表によると、委託事業者のシステムは外部からのアクセスを許可しており、セキュリティ対策が十分に講じられていなかったとのことです。攻撃者がどのように侵入したのかは詳細が明らかにされていませんが、不正アクセスによってデータが持ち出されたことは確認されています。
この事件は日本国内における「ノーウェアランサムウェア型攻撃」のリスクを浮き彫りにしたものと言えるでしょう。企業や自治体が外部の事業者に業務を委託する際、セキュリティ管理が適切に行われていなければ、情報漏えいのリスクが高まることを示しています。
ノーウェアランサムウェアは、単なるデータの暗号化ではなく、機密情報の窃取と公開を脅迫の手段とするため、従来のランサムウェア対策だけでは十分とはいえません。ここでは、ノーウェアランサムウェアへの具体的な対策について詳しく解説します。
ノーウェアランサムウェアの攻撃者は、システムやソフトウェアの脆弱性を悪用して侵入を試みるため、常に最新の状態を維持することが重要です。
OSや業務アプリケーションだけでなく、ネットワーク機器やVPN、リモートデスクトップなどの遠隔アクセスツールも定期的にアップデートを行いましょう。特に、VPNやRDPのセキュリティホールは攻撃者にとってかっこうの標的となるため、常に最新のパッチを適用し、不要なリモートアクセス設定を無効化する必要があります。
また、ソフトウェアの更新が遅れると、それだけで攻撃者にとってのチャンスを与えることになります。2021年に発生したMicrosoft Exchange Serverの脆弱性「ProxyLogon」を悪用した攻撃では、パッチを適用していなかった企業が標的となり、サイバー犯罪者に内部システムへ不正アクセスされました。このような被害を防ぐためにも、セキュリティアップデートの重要性を認識し、迅速な対応を徹底することが不可欠です。
ノーウェアランサムウェアはデータの暗号化を行わないため、バックアップの有無に関係なく被害を受ける可能性があります。しかし、それでもバックアップの実施は、業務継続の観点から重要です。攻撃を受けた際に、データが完全に失われるリスクを回避するため、定期的なバックアップを行うようにしましょう。
バックアップを行う際には「3-2-1ルール」が効果的です。これは、データを3つの異なるコピーとして保存し、2種類の異なるメディア(クラウドや外部ストレージなど)を使用し、1つをオフライン環境に保管する方法です。このルールを守ることで、ランサムウェア攻撃やシステム障害によるデータ消失のリスクを最小限に抑えることができます。
ただし、バックアップはデータ復旧には役立ちますが、ノーウェアランサムウェアの脅迫手法である「データの公開」には無力です。そのため、バックアップだけに頼るのではなく、データそのものを守るための流出防止策を講じなければいけません。
ノーウェアランサムウェアの攻撃者は、不正アクセスのために企業のアカウント情報を狙うケースが多くあります。パスワードの使い回しや推測しやすいパスワードを設定している場合、攻撃者にとっては簡単な標的になるため、全従業員が強固なパスワードの設定をする必要があります。
パスワードの強度を高めるには、英数字に加えて記号を組み合わせ、一定の長さ(最低15文字以上)を確保するようにしましょう。
さらに、多要素認証(MFA)を導入することで、不正アクセスのリスクを大幅に低減できます。MFAを設定すれば、パスワードが流出したとしても、ワンタイムパスワードや生体認証を追加の認証要素として活用するため、攻撃者が簡単にシステムへ侵入できなくなります。管理者アカウントやリモートアクセスの際には、MFAを必須にすることで、より強固なセキュリティを実現できます。
企業のITインフラは、時間の経過とともに新たな脆弱性が発見されるため、定期的にセキュリティ診断を行い、システムの脆弱性を洗い出すことが重要です。
脆弱性診断を実施すれば、攻撃者が狙う可能性のあるセキュリティホールを事前に特定し、適切な対応を取れます。外部公開されているWebサーバーやVPN、クラウド環境などは、攻撃の標的になりやすいため、セキュリティ診断の対象として重点的に確認しましょう。
また、サイバーセキュリティ専門の企業によるペネトレーションテスト(侵入テスト)の実施により、実際の攻撃を想定した対策の有効性を確認できます。
ノーウェアランサムウェアの攻撃の多くは、フィッシングメールやソーシャルエンジニアリングを利用して従業員を騙し、システムへのアクセス情報を盗むことから始まります。そのため、技術的な対策だけでなく、従業員一人ひとりのセキュリティ意識を高めることが重要です。
セキュリティ教育を行う際には、フィッシングメールの見分け方、怪しいリンクをクリックしないこと、正規の送信元を確認する習慣の徹底をしましょう。また、定期的に疑似フィッシングメールの訓練を実施し、従業員が実際にどの程度のリスクに対応できるかを確認することも効果的です。
ノーウェアランサムウェアの被害を最小限に抑えるためには、万が一攻撃を受けた際の対応手順を明確にし、迅速なインシデント対応ができる体制を整えることが必要です。
セキュリティ監査を定期的に実施し、社内のセキュリティ対策が適切に機能しているかを確認するとともに、インシデント発生時の対応計画を策定することで、攻撃を受けた際の混乱を防げます。
最後に、ノーウェアランサムウェアに関するよくある質問に簡潔にお答えします。
A. データを暗号化せずに窃取し、「データを公開する」と脅迫して身代金を要求するサイバー攻撃です。
A. データの暗号化を行わず、窃取した情報の公開を脅しの手段とする点が異なります。
A. 暗号化の手間が不要で検知されにくく、企業がデータ公開を恐れて支払いに応じやすい点です。
A. フィッシングメール、VPNやRDPの脆弱性、不正アクセス、内部関係者の協力などが挙げられます。
A. 多要素認証(MFA)の導入、脆弱性対策、EDR活用、従業員教育、インシデント対応計画の策定が重要です。
ノーウェアランサムウェアは、データの窃取と公開の脅迫をするため、通常のランサムウェアよりたちが悪いです。これを防ぐためには、強力なパスワードの徹底、脆弱性の迅速な解消、従業員のセキュリティ意識を高めるなどの基本的な対策が欠かせません。ただし、ランサムウェアの進化は止まることがないため、完璧に防ぐ術がないのが実情です。
そこで重要になるのが、被害の最小化をする対策。ダークウェブ監視は、攻撃者によるデータ流出の兆候をいち早く察知し、被害拡大を防ぐ手段の一つです。ダークウェブとは、通常の検索エンジンではアクセスできない隠れたインターネット領域であり、サイバー犯罪者が盗んだデータの売買や情報交換を行う場として利用されています。企業は専門のセキュリティサービスを活用し、自社のデータが流出していないかを監視することで、万が一の際に迅速な対応が可能となります。
弊社のダークウェブ監視ツール「StealthMole(ステルスモール)」は、リアルタイムでのデータ流出や潜在的リスクを監視し、早期対応をサポートします。現在、無料デモを提供中ですので、この機会に貴社のデータが安全であるかを確認し、漏洩リスクに備えていただければ幸いです。
