標的型で攻撃してダークサイトで社名を公開

 多くの企業がコロナ禍への対応に奔走する中、あるショッキングなデータが公開された。テレワークが拡大し、リモートから社内システムにアクセスする利用者が増えたことを逆手に取り、その入り口を利用したサイバー攻撃が急増しているというのだ。

 まさに火事場泥棒。許しがたい事態だ。だが、否応なく企業はこの問題とも向き合わなければならない。

 特に最近の脅威は、以前にもまして悪質化している。代表例が、標的型の手法で攻撃し、その脅迫方法から「暴露型ランサムウエア」と呼ばれる新しいサイバー攻撃などだ。

 以前のランサムウエアは、ばらまき型のものが多かったが、最近のランサムウエアは、標的型のカスタムした攻撃で、企業内に侵入してくる。

 さらに、以前はデータを暗号化し、複合化を条件に身代金を要求してくることが多かったが、脅迫法も進化しており、現在は侵入してデータを盗み出したことをダークサイトと呼ばれるインターネット上で公開(画面)。盗んだデータを段階的に流出させながら、脅しを繰り返し、身代金を要求してくる。企業は、盗まれたデータの中に万が一顧客情報や機密情報が含まれていた場合の影響を考え(実際には含まれていない場合もある)、不本意ながら身代金を支払うことを決めてしまうこともある。被害額は数千万円から、場合によっては数十億円以上になることもあるという。

画面 マルウエア「MAZE」のダークサイト
[画像のクリックで拡大表示]
企業名、入手したデータのうち、何%を流出させたかが公開されている

 ダークサイトにアクセスしてみると、有名な日本企業の名前もあり、被害が確実に広がっていることが分かる。

 果たして、この新しい攻撃には、どのように対応すべきなのか。総務省最高情報セキュリティアドバイザーを務めるS&Jの三輪 信雄氏によると、攻撃にはある傾向があり、抑えるべきポイントがあるという。

 具体的には、ユーザー情報やアクセス権限などを管理するActive Directory(AD)の保護だ。以下では、攻撃者が、どのようにADを利用しているのか、そして、どうやってそれを防ぐべきか、現状と対策を紹介する。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。