
CISO(最高情報セキュリティ責任者)
本城 信輔 氏
二重脅迫のランサムウエア被害が目立った2021年
2021年も多くのセキュリティ・インシデントが報告されました。21年5月には米国のパイプライン会社がランサムウエア攻撃を受けて石油供給が滞り、社会問題にまで発展しました。
本城:2021年は、二重脅迫(暗号化+データ漏洩)のランサムウエア被害が目立った1年でした。200件以上の攻撃が明るみに出ていますが、実態はその何倍にも及んでいることは間違いありません。
以前、ダークウェブ上に置かれたランサムウエアの暴露サイトを監視していたときに、攻撃者と被害企業とが身代金の額をチャットで交渉している場面に偶然遭遇したことがあります。要求額9億円に対して4億円で決着していましたが、企業にとって極めて大きな額と言えます。DarkSide(ダークサイド)というランサムウエアの被害を受けた米国のパイプライン会社Colonial Pipeline社は、5億円の身代金を支払ったと言われています。
セキュリティ対策がされているはずの企業のシステムに、攻撃者はどのように侵入するのでしょうか?
本城:侵入経路として今も指摘されるのが、Fortinet社、Pulse Secure社、Citrix社の各VPN機器に数年前に発見された脆弱性です。それぞれのベンダーが提供したセキュリティパッチを適用せずに使い続けている企業が日本を含めてまだ多いためで、実際にREvil(レビル)ランサムウエアなど様々なマルウエアに感染した事例も報告されています。
業務のやり取りを装ったメールを介した攻撃も増えています。Emotet(エモテット)はそういった脅威の一つで、C2(コマンド&コントロール)サーバーは当局によって一度はテイクダウン(停止)されましたが、2021年11月に活動の再開が確認されました。
ログツールのApache Log4jに見つかった、任意のJava Classを実行できる脆弱性も大きな問題です。Log4jは多くのソフトウエアに組み込まれているため、影響の拡大と長期化が懸念されています。発見されて間もないにもかかわらず、早速この脆弱性を悪用したマルウエアの感染が報告されています。