事業停止を引き起こすサイバー攻撃、発生から収束まで

days-to-detect-compromise
Pocket

 サイバー攻撃と呼ばれる脅威には、さまざまなものがあります。その中には、事業停止を余儀なくされるものも少なくありません。マルウェアによる攻撃は巧妙化が進み、長期にわたり潜伏して重要な情報を盗み出します。また、PCを乗っ取り遠隔操作を可能にする「ボット」のネットワークにより大量のパケットを送りつけてWebサービスを利用不能にする「DDoS攻撃」はさらに強力になり、Webサーバを強制終了させてしまいます。今回は、事業停止を引き起こすサイバー攻撃について紹介します。

きっかけはマルウェア感染

 最近のマルウェアは巧妙化、複雑化が進み、さまざまな被害を引き起こします。マルウェアは、ウイルスに代表される不正プログラムの総称です。その感染経路は、メールとWebサイトが主流になっています。特にメールによる攻撃は標的型攻撃の手法と、業務を行えないようファイルを暗号化し“身代金”を要求するランサムウェアを組み合わせたものが急増しており、企業を狙う攻撃も増えています。

 標的型攻撃の手法とは、企業の関連団体や上司、知人、人事への履歴書の送付、あるいはFAXの受信通知や宅配便の配送通知など、うっかり開いてしまうような差出人を騙り、添付ファイルを開かせようとしたり、メールの本文にあるURLリンクをクリックさせようとします。

 添付ファイルも巧妙に偽装されており、マイクロソフトのOfficeファイルやアドビのPDFファイルの形を取り、実際にファイルを開いても問題なく内容が表示されます。しかし、その裏で感染動作が進みます。最初に侵入するマルウェアは「ドロッパー」と呼ばれ、攻撃者が用意したサイバー犯罪用のサーバ「C&Cサーバ」に接続して次々にマルウェアをダウンロードします。

 メールの本文にあるURLリンクをクリックした際にも、リンク先のWebサイトにマルウェアが仕掛けられています。以前は、いかにも怪しいWebサイトにリンクされていましたが、最近では一見普通のよく使用するWebサイトにアクセスしますが、攻撃者はそういったWebサイトの一部だけ改ざんし、スクリプトを埋め込んでいます。アクセスすると、メールの添付ファイルを開いたときと同様に、ドロッパーがダウンロードされます。

業務の遂行を不能にするランサムウェア

 ドロッパーにより感染端末(PC)にダウンロードされるマルウェアは、非常に多岐にわたります。最近ではランサムウェアが主流となっています。ランサムウェアとは、感染端末にあるファイルを暗号化することで、端末を使用できなくし、暗号化を解除するための“身代金”として金銭を要求する手法です。

 ランサムウェアは一般的に、マイドキュメントにあるファイルを暗号化します。マイドキュメントには業務で使用するファイルが多く保存されているため、これが暗号化されてしまうと業務を遂行できなくなってしまいます。また最近では、さらに巧妙化、悪質化が進み、共有フォルダにあるファイルを暗号化するケースが確認されています。そうすると、そのファイルを共有している全員の業務に影響が出てしまいます。

 さらに、感染端末を起動できなくするまでに金銭を支払うよう、カウントダウンを表示したり、少しずつファイルを暗号化していくランサムウェアも確認されています。金銭の支払いは、クレジットカードからビットコインに移行しつつあり、攻撃者にとって、より安全に金銭を得られるよう進化しています。

 また、以前のランサムウェアはその本体に復号化する鍵を持っていたので、検体を分析することで鍵を見つけて復号化できましたが、現在では鍵をC&Cサーバ上に置くようになっており、そのC&Cサーバも高い頻度でIPアドレスを変更しているため、分析を困難にしています。

 ランサムウェアに感染すると、たちまち業務の遂行ができなくなります。そこで、表示されるままに“身代金”を支払ってしまう企業も少なくありません。IPA(独立行政法人情報処理推進機構)の安心相談窓口に寄せられたランサムウェアに関する相談は、2016年1月に11件、2月に17件であったのが、3月には96件と急増しています。この3カ月の相談件数のうち、被害があったという相談は全体の約88%を占めたといいます。

consultation-for-ransomware

ランサムウェアに関する相談の月別推移(2016年1月~3月)(出典:IPA)

 重要なファイルを暗号化されてしまうと、事業の停止に発展しかねませんし、セキュリティベンダに復号を依頼しても数日かかることから、身代金を支払ってしまう企業も少なくありません。その中には億単位の身代金を支払ったケースもあるといいます。しかし、身代金を支払っても暗号化したファイルが元に戻るとは限らず、逆に攻撃者のリストに加えられ再三の攻撃を受ける可能性もあります。

「現状保存」で業務が停まる情報漏えい

 しばしばニュースを賑わす情報漏えいも、マルウェアが原因の場合があります。情報漏えいをもくろむマルウェアもドロッパーにより感染端末にダウンロードされます。マルウェアは企業のネットワークを調べながら、データベースサーバやそれにアクセスできる権限の高い端末を探し出します。そして、権限のある端末から正規のアクセスを装ってデータベースから個人情報など重要な情報を盗み出します。

 マルウェアは、企業に気づかれないように潜伏して動作します。その潜伏期間は、ファイア・アイの調査によると平均146日、外部から感染を指摘されるまでの期間は平均320日と、非常に長い間ターゲットに潜伏し、情報を盗み続けるのです。

  盗み出した個人情報は、HTTPなど一般的な通信を装ってC&Cサーバに送信されます。攻撃者はこうして重要な情報を入手し、依頼者から報酬を受け取ったり、アンダーグラウンドのマーケットで販売して金銭を得たりします。ただし最近では、C&Cサーバにデータを送信する不審な通信を省庁などのサイバーセキュリティセンターが検知するケースも増えています。

 情報漏えい事故が発生してしまうと、ますはサービスや業務を停止して証拠保全が求められます。これはマルウェアの痕跡があるうちに、ハードディスクやサーバをネットワークから切り離し、フォレンジックと呼ばれる分析調査を行う必要があるためです。フォレンジックには高度な専門知識や専用機器が必要になるため、外部に委託するのが一般的ですが、その費用も安くはありません。フォレンジックのための業務停止は、たとえば自社でECサイトを運営しているような場合は大きな打撃を受けることになってしまいます。

  また、クレジットカードの国際的なセキュリティ基準「PCI DSS」加盟のクレジットカード会社(VISA、Master、JCB、American Express、Discover)の情報が漏えいしてしまった場合には、PCI DSSが認定するフォレンジック調査機関(PFIs)がフォレンジックを実施するよう義務づけられています。調査後に適切な再発防止対策を行い、PCI DSSによる適合性評価にパスしない限り、業務の再開ができません。

 さらに、情報漏えい事故が発生してしまった場合には、企業は多大な金銭的損害が発生します。情報漏えい事故の場合、「損害賠償」「費用損害」「逸失利益」が発生します。保険会社の試算によると、損害賠償と費用損害の合計は、2億8000万円にもなります。これに逸失利益が加わります。さらに費用以外の影響として、ブランドの失墜や銀行の信用低下、風評被害などが起きる可能性もあり、これらの影響も少なくありません。

増大するDDoS攻撃

 以前から存在するサイバー攻撃として、DDoS攻撃があります。DDoS攻撃は「Distributed Denial of Service attack」の略で、分散型サービス不能攻撃とも呼ばれます。DoS攻撃は、特定のWebサイトに対して大量のリクエストを送信するもので、これによりWebサーバは応答ができなくなってしまい、最終的にWebサーバが落ちてしまいます。Webサービスを提供している企業は、事業停止に追い込まれてしまいます。DDoS攻撃は、マルウェアの一種であるボットにより行われます。

 ボットは、感染した端末の遠隔操作を可能にするもので、攻撃者は遠隔地から自由に感染端末を操作できます。数十万台、数百万台というボットが特定のWebサイトに対し大量のリクエストを送りつけることで、Webサイトをサービス不能にさせ、攻撃を中止する条件として金銭を要求します。

  最近では、DDoS攻撃に送信元のIPアドレスを偽装したDNSリクエストをDNSサーバに送る「DNSリフレクション攻撃」が増加し、続いてNTPを利用したリフレクション攻撃も多用され、現在ではIoT機器をボットに感染させDDoSリフレクション攻撃を行うケースが登場し、最大1Gbpsという強力なトラフィックを発生させています。強力なDDoS攻撃による事業停止によって、被害額が数十億円を超えるケースもあります。

サイバー攻撃による業務停止を回避するには

 現在のサイバー攻撃者は潤沢な資金を持ち、次々に新たな手法を編み出すとともに、過去の攻撃手法も巧みに活用します。ただし現在のところ、攻撃のほとんどはメールとWebサイトを標的としています。事業停止のリスクを回避するためにも、基本的にこの2つについてセキュリティ対策を行うとともに、重要な情報にも対策を行うことが大事です。

 また、ランサムウェアに暗号化されても復元できるように、システムや重要なフォルダのバックアップを常に取っておくことも重要です。さらにDDoS攻撃対策には、冗長化、負荷分散の仕組みが基本ですが、DDoS攻撃対策専用の物理アプライアンスおよび仮想アプライアンスが提供されているほか、次世代ファイアウォール、次世代IPSと呼ばれる機器などにもDDoS攻撃対策機能が搭載されているものがあります。

 大規模帯域のプラットフォームを柔軟に活用できるサービス「CDN(Contents Delivery Network:コンテンツ配信ネットワーク)」を活用したDDoS攻撃対策も注目を集めています。CDNは本来、世界規模で地域に最適なコンテンツを配信するためのプラットフォームですが、この帯域の広さを活用してDDoS攻撃をプラットフォームで受け、攻撃がWebサイトに届かないようにするという対策です。企業としては、常に攻撃が行われることを前提として考え、事業停止に追い込まれないよう対策を行っていきましょう。

SNSでもご購読できます。