ランサムウェアの実録解説：衝撃の被害事例と備えるべき対策

# SASE # Security # クラウド

投稿者：セキュリティ＆ネットワーク事業本部　南雅明　大貫拓馬

はじめに

独立行政法人情報処理推進機構（IPA）の「情報セキュリティ10大脅威 2023」で組織に対する脅威を見ていくと昨年に続き2023年の１位は、「ランサムウェアによる被害」となっています。

1位：ランサムウェアによる被害
2位：サプライチェーンの弱点を悪用した攻撃
3位：標的型攻撃による機密情報の窃取
4位：内部不正による情報漏えい
5位：テレワーク等のニューノーマルな働き方を狙った攻撃
6位：修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）
7位：ビジネスメール詐欺による金銭被害
8位：脆弱性対策情報の公開に伴う悪用増加
9位：不注意による情報漏えい等の被害
10位：犯罪のビジネス化（アンダーグラウンドサービス）

出典：IPA 独立行政法人情報処理推進機構「情報セキュリティ10大脅威 2023」
https://www.ipa.go.jp/security/vuln/10threats2023.html

ランサムウェアと二重脅迫ランサムウェア

ランサムウェアは、コンピューターやその他のデバイスを乗っ取り、ファイルを暗号化してアクセスをできなくするマルウェアで復号化するためには身代金を要求されます。
二重脅迫ランサムウェアは、感染したコンピューターからデータを窃取して公開すると脅迫し、身代金の支払いを拒否した場合にデータを公開するという、追加の脅迫を行うため「二重脅迫」と呼ばれています。

セキュリティ事故の事例

ここから、大きなニュースとなりました病院が機能不全に陥ったセキュリティ事故の事例をご紹介します。
サイバー攻撃で、電子カルテシステムを含む基幹システムや他のシステムに侵入されデータが暗号化されました。
病院のインターネット経由での侵入ではなく、委託業者である給食センターのFirewall（SSL-VPN）機器の脆弱性がランサムウェア感染のきっかけとなっています。
このFirewallのOSには、脆弱性があることが2019年に公開され修正プログラムが配布されていましたが、ランサムウェア被害を受けた給食センターではパスワードが変更されていなかったことから、Firewallがランサムウェアの侵入経路であるとされています。

（出典：地方独立行政法人大阪府立病院機構（https://www.gh.opho.jp/important/785.html）を基に、弊社が作成）

順を追って見ていくと

給食事業者のVPN装置に脆弱性を突いて侵入される。
給食事業者のサーバに容易に不正アクセスされ、システム情報を窃取されたため給食事業者内への不正アクセスが拡大していく。
給食事業者と病院との通信でRDP（Remote Desktop Protocol）が常時接続可能となっていた。
搾取した認証情報で栄養給食管理サーバにアクセスされウィルスソフトをアンインストールされる。
栄養給食管理サーバから他サーバへの侵入が試みられるが、共通のID、パスワードであったため容易に横展開される。
侵入したサーバからクライアントへのアクセスも試みられた。
侵入されたサーバは、ランサムウェア感染させられ身代金要求文書を表示した。

攻撃者は、セキュリティ対策が強固な企業は狙わずに、セキュリティ対策が弱い関連企業を狙いサプライチェーンを構成する企業を経由して本命の標的企業を攻撃します。

このように関連会社を踏み台にした不正アクセスによるセキュリティ事故の事例であったことが分かります。
「情報セキュリティ10大脅威 2023」でも「サプライチェーンの弱点を悪用した攻撃」は２位となっておりセキュリティ脅威の上位にランキングしています。関連会社、取引先会社と連携してインターネット外部からの脆弱性がないか、観測できる仕組み、体制が必要になります。