コンテンツを開く

テーマのトレンド

Episode 49 | Mikko Hypponenが語るRansomwareの進化

F-Secure Japan

28.02.21 26 min. read

私たちは、感染したPCをロックしたり、データを暗号化することで使用不能にしたのち、元に戻すことと引き換えに身代金 (ランサム) を要求する行為は、悪質な行為だと思っていました。しかし、サイバー犯罪者はさらに卑劣な手段にでてきており、今では数百万ドルの身代金の要求に加えて、盗んだデータを公開するという脅迫行為が発生しています。サイバーセキュリティサウナのエピソード49では、エフセキュアのチーフ・リサーチ・オフィサー(CRO)であり、CISO MAGの2020年サイバーセキュリティ パーソン・オブ・ザ・イヤーに選出されたMikko Hypponen(ミッコ・ヒッポネン)にお起こしいただき、ランサムウェアの進化、それが主にWindowsの問題である理由、リモートワークの影響、ランサムウェアの産業化が脅威ランドスケープに与える影響などについても議論しました。

Janne:Mikko、ようこそいらっしゃいました。 

Mikko: ご招待いただきありがとうございます。

さて、ランサムウェアによる攻撃はこの1年でかなり悪質化していますが、この問題は人々が認識するよりかなり前から存在しているのではないでしょうか?

そのとおりです。最初にランサムウェアの事件が記録されたのは1980年代まで遡ります。1989年に遡ります。

その時何が起こったのでしょうか?

最初の攻撃は、インターネット普及前になりますが、エイズ情報に関する「AIDSTrojan」というトロイの木馬でした。フロッピーディスクで家庭に郵送されたのです。これはMS-DOSベースのソフトウェアで、当時世界中に広まっていた新しいHIVウイルスへの感染の可能性を診断する、本物の非常に便利なソフトウェアでした。

このソフトウェアは一方的に送り付けられたものでしたが、ライセンス条項には、インストールしたら料金を支払わなければならない旨記載されていました。料金が支払わなかった場合、20〜40回ほどパソコの再起動を繰り返した後に、ハードディスクが暗号化され、料金をパナマに送金するよう要求されたのです。

Mikko Hypponen、エフセキュア チーフ リサーチ オフィサー

これは、当時登場したシェアウェアを別の視点で悪用したようなものですね。

そうですね。強制的なシェアウェアのようなものでした。しかし、実質的にはランサムウェアでした。システムがロックされ、身代金要求文がフルスクリーンで表示されました。まさに今日見られるものと同じです。Joseph Popp (ジョセフ・ポップ) という男の犯行でした。 彼は逮捕されましたが、法廷に出廷し正気でないと宣告されたため無罪になっています。

その後は、何が起こったのでしょうか?

その後は長期に渡って、静かなものでした。 1980年代、1990年代にはマルウェアは利益に繋がらないもので、このエイズ情報を巡るトロイの木馬があらゆる意味で異例の存在でした。 これは最初のランサムウェアのトロイの木馬であり、おそらく金銭目的での最初のトロイの木馬でもありました。 一般的な金銭目的のマルウェアの被害は、2000年代初頭まで始まりませんでした。ランサムウェア問題が再燃したのは 2005年6月に発生した GpCodeとして知られているランサムウェアの時です。

なぜそれまではマルウェアはサイバー犯罪者に利益をもたらさなかったのでしょうか?きっかけは、暗号通貨の登場?それとも、何か他の要因がマルウェアを巡る情勢を変えてしまったのでしょうか?

 一般的にマルウェアが利益に繋がっていなかったのは、マルウェアの作者がそんなことができるということを正しく理解していなかったからです。マルウェアによるビジネスが本格的に始まったのは2000年代初頭のことで、電子メールを使ったスパム攻撃者たちが、マルウェアに感染したコンピュータを使って自分たちのためにスパムを送ることができることに気付いた時です。それから数年後にGpCodeが登場し、他のランサムウェア攻撃がそれに続きました。

2005年から2010年の間のランサムウェアの特長は、ランサムウェアであることを相手に伝えていないことが多かったことです。ランサムウェアであることに気付かずに身代金を支払わせようと、さまざまなカバーストーリーが用意されていました。

どのようにランサムウェアを使ったのですか?

2009年に見つかったFileFixerを例に挙げてみます。 これは、ファイルシステムの破損を修復するプログラムだと言い張っていました。このトロイの木馬型ランサムウェアに感染すると、ファイルが破壊され始め、あたかもWindowsのエラーメッセージのようなものが表示され、さらにファイルを修復するFileFixerというツールが29.99ドルで購入できると書かれています。29.99ドル払って実際に購入すると、本当にファイルが修正されました。

ファイルが破損しているように見えるので、このツールをダウンロードします。しかし実態としては、今日見られるようなランサムウェア型のトロイの木馬だったのです。

では、それらは現在のマルウェア攻撃とどのように繋がっているのでしょうか?

次に現れたのはPolice Trojanでした。これは、警察または著作権団体のどちらかを名乗るRevetonシリーズやICPP Trojanなどの一連のトロイの木馬です。ハードディスクに違法コンテンツが入っていると脅して、著作権料や罰金を払わないとシステムがロックされました。

しかし、これはすべてビットコイン以前のことです。そして本当の変化は、ビットコインを利用した最初のトロイの木馬型ランサムウェアが発見されたときに起こりました。

それがゲームチェンジャーだったのですね。

まさにそうです。いわゆるCryptowallです。これは2013年のことですが全てを変えてしまいました。それ以来7~8年に渡って、私たちは現代のビットコイン対応トロイの木馬と闘ってきました。何百ものトロイの木馬型ランサムウェアギャングが、その利益のすべてをランサムウェアで得ています。

そして最近では、単にデータをロックするだけでなく、それを暴露すると脅迫する犯罪者が登場するようになったのですね?

その通りです。  私はこれを『ランサムウェア2.0』と呼んでいます。 この『ランサムウェア2.0』では、まずファイルを暗号化してビットコインでの支払いを要求します。もし支払を拒否すると、ファイルのコピーを持っていることを知らせてきて、身代金を払わなければファイルを公開するというものです。

それまで見られなかったこの攻撃が観測されたのは2019年頃です。例えば、南アフリカのヨハネスブルグ市の事件では、大量のデータを盗み出し、データを流出させる代わりに支払いを要求しました。

しかし、この『ランサムウェア2.0』の攻撃が大規模に開始されたのは、2020年1月に起きたロシアのトロイの木馬型ランサムウェアMazeギャングによるものでした。Mazeが盗んだ情報を暴露したのは、Torのダークウェブ上のサービスではなく、公開されている一般のWeb上だったため、Googleなどにインデックスされてしまいました。そして、このリークサイトのアイデアは、被害を受けた企業の名前を公開することができ、支払わなければ盗んだ情報をリークできるというものです。

Maze以外にこの戦術を使っているギャングはいますか?

この方法が極めて有効な戦術であることが知れ渡ったので、DoppelPaymer、Netwalker、Conti、Egregor、Ragnar Locker、Kloppなど多くのギャングがこのアイデアを真似しています。

このような戦術が生まれた背景には、企業がより適切にデータをバックアップするようになったことが関係しています。 ファイルをロックして金銭を稼いでいたギャングには、支払を期待できなくなりました。 なぜなら、企業は最終的にすべてのバックアップを適切に取り、十分な頻度でバックアップをオフラインシステムに保存することを学んだからです。そのため、身代金を支払う必要がなくなったのです。

その結果『ランサムウェア2.0』が生まれました。これによりギャングが機密情報を暗号化するリスクを抑える手段としてのバックアップは全く役に立たなくなりました。

では、企業が不正なビジネスを行っていないのなら、なぜ情報漏洩を心配する必要があるのでしょうか?

よい質問ですね。企業は情報漏洩を望まないのなら隠し事をしなければよいのです。しかし、どの企業も顧客や顧客の問題、個人情報などを満載したEメールをWeb上に公開されたくありません。 あるいは、従業員がEメールで送信している企業の健康管理システムの健康情報を公開されたくはありません。

ですから、会社がいかがわしいことや悪いことをしていなくても、会社の機密情報がパブリックWeb上に流出してしまったら、それこそGDPRの悪夢になってしまいます。このような事態を望んでいる企業はありませんので、身代金を支払う企業がますます増えていくのです。バックアップも役に立たず、もちろん個人情報をパブリックWebに公開することもできません。

その他に、最近のランサムウェアの事例で、注目すべきものはありますか? 

2020年は、さまざまな意味でランサムウェアの歴史に残る年になるでしょう。ランサムウェアがバージョン2.0に進化したことで大騒ぎになったという事実だけではありません。このアイデアを思いついたMazeギャングは2020年11月に引退しています。それほどこのビジネスで儲かったということでしょう。

それは本当に引退したのか、それとも、しばらく休んでから別の名前で復帰するのではないですか?

良い質問ですね。ギャングが名前を変えて復活するのを見たことがあります。興味深い情報がアンダーグラウンドでリークされていますが、それによると、Mazeは長い間知られていた別のギャングのサイドネームであるEvil Corpの可能性があります。

Evil Corpはロシアのギャングで、アンダーグラウンドでは「Aqua」と呼ばれる男によって運営されています。彼の本名はMaksim Yakubets (マクシム・ヤクベッツ) で、以前からバンキング型トロイの木馬Zeusや、BugatおよびLockyやWastedLockerを含む一連のトロイの木馬型ランサムウェアに関わっています。

そう言えば、Mazeは引退してバハマに行くことを公式サイトで発表しています。しかし、誰も本当のことは分かりません。問題はもっと深刻であるかもしれません。一般的な見方では、トロイの木馬型ランサムウェアなら簡単に億万長者になって逃げきることができるのです。

この種のニュースを聞くのは嫌なものです。犯罪者に金銭を渡して欲しくはありませんし、何よりも重要なのは、将来オンライン犯罪者になる可能性のある若者たちがこれらのニュースを知って、犯罪のアドバイスとして受け取って欲しくないということです。引退してバハマに行く前に逮捕されることを望んでいます。

Evil CorpはFBIによって起訴された犯罪集団ではなかったですか?

はい、そうです。彼らは2019年末に起訴されました。FBIはユーロポールと英国の当局者と共に、Maksim Yakobetsと彼のギャングや所有車など、その他すべての写真を掲載した公開起訴状を提出しました。

そのため、警察はランサムウェアギャングに密着して、公共部門と民間部門の両方で大規模な調査が行われています。しかし、これは大きな問題をはらんでいます。実際のところ、ほとんどのギャングは、彼らの背後にいる真犯人が誰なのか何も知らないまま活動しているのです。これは由々しき問題であり、警察は公共部門と民間部門の両方で懸命に捜査を行う必要があります。

法執行機関には、これに対して何か効果的な施策を行う手段があると思いますか?

法整備は年々良くなっていると思います。これは国際協力を必要とする問題であり、法執行機関が国境を越えて情報交換をするなど、国際協力は最近ではかなり良くなっています。

ランサムウェアのような攻撃は、誰にとっても非常に理解しやすいと問題だと思います。誰もがランサムウェアがいかに悪質なものであるかを理解しており、誰もがそれに立ち向かおうと考えています。ですから、こうした問題には政治的な駆け引きは不要であり、法執行の観点からも、これらの問題は改善されていくと思います。

しかし、これらの犯罪集団の中には、現地当局の協力が見込めそうもない地域で活動しているものもありますよね?

ロシア以外を拠点とする、ランサムウェアのトロイの木馬を使う犯罪集団のことを指してますね?

その通り。2020年の大きな被害は『ランサムウェア2.0』によって引き起こされたと考えていいんでしょうか?

そう考えていいでしょう。2020年には多くの大企業、上場している有名ブランド企業がランサムウェアに襲われ、その多くが身代金を支払うことになりました。 公開されたレポートだけを見ると、ガーミンやカンパリ、そしてフィンランディア・ウォッカを所有していることで知られるブラウン・フォーマンなど。Foxconnの事件では、1,804ビットコイン、つまり約3,400万USドルという、私の知る限りで最大の身代金の要求がありました。ランサムウェアによる被害や要求はますます巨大化しているということです。

ビットコインの話が出ましたが、身代金の要求はいつもビットコインなのでしょうか?他の暗号通貨は?

他の暗号通貨での支払い要求もあります。ビットコインは明らかに暗号通貨における王様です。しかし、先ほど述べたように、ビットコインの登場以前、サイバー犯罪者たちは主にPaysafeカードやUcashなどの代替メカニズムを身代金の受け取りに使用していました。しかし、これらの仮想クレジットカードとそこでのお金の動きを追うのはかなり簡単だったのが、彼らにとっては大きな問題でした。

ビットコインはこの問題は解決するものの、他の暗号通貨、特にMoneroやとZcashほど上手くは解決していません。MoneroとZcashの両方が身代金決済の仕組みとして使われているのを見てきましたが、犯罪者の視点から見た問題は、一般市民がビットコイン以外の他の暗号通貨を入手することがあまりにも難しく、そのため結局はビットコインに戻ってきてしまうようです。

しかし、ランサムウェアギャングがアフィリエイトプログラムやランサムウェア・アズ・ア・サービスのビジネスパイプラインを立ち上げるなど、このビジネスへの参入も簡単になってきています。このような犯罪の産業化は脅威ランドスケープにどのような影響を与えているのでしょうか?

チャンスがあるところには、より多くのプレイヤーが参入してきています。ランサムウェアプレイヤーになりたければ、開発者やシステム管理者、スパマーなどを含むグループを構成することが必要でした。しかし、どんなビジネスでもそうですが、十分な規模のビジネスが見込めるのであれば外注も可能となります。DharmaはRaasの元祖であり、彼らのようなサービスを利用すれば、犯罪者は自分でランサムウェア開発の知識を持つ必要はありません。ビットコインの動かし方さえ知る必要はないですし、DharmaやSatan、Darkwebなどに全て外注すれば済んでしまう話です。これは、チャンスが新しいビジネスを生み出す良い例だと言えますね。

身代金の金額は、攻撃した企業の規模に応じて決められているのを見たことがあります。それはこれらのグループが提供する助言の一部なのでしょうか?それともランサムウェアの実行者が自分たちで決めることなのでしょうか?

以前はただの数学的なものでした。身代金の支払いで初めてダイナミックプライシングを見始めた時、それはランサムウェアのトロイの木馬がターゲットを日和見的に攻撃し、感染したワークステーションから見えるファイル共有の数などに基づいてビットコインの需要をスケーリングしていただけでした。1つか2つのファイル共有を見た場合、それはホームオフィスであるか、Dropboxをマウントしていて1つのファイル共有しか見えないホームユーザーだということになりますね。28のファイル共有が表示されている場合は、それは企業だということがわかります。なので、それに基づいて1,000ドルや1万ドルの身代金の要求を行ったりします。

しかし、これは既に過去のものです。なぜなら、大規模な攻撃、つまりエンタープライズレベルの攻撃の多くは最初から仕組まれた標的型攻撃だからです。攻撃者が最初にターゲットを選んでから侵入口を見つけるというケースではないかもしれませんが、何百万ものIPアドレスをスキャンして既知の脆弱性を探し、ターゲットのリストを手に入れたら、そのリストを調べて、身代金を要求するのに適したターゲットになりそうな企業を見つけようとするというようなものです。基本的には、業務が停止した場合に多くの損失を被るであろう企業です。例えば、オンラインショップです。オンラインショップが何も販売できない状態になってしまえば、毎日何百万ドルもの損失を出しているかもしれません。

なるほど。2020年のもう1つの特徴は、誰もがリモートワークに切り替えたことでした。そうした状況はランサムウェアを取り巻く環境に影響を与えたのでしょうか?

そうですね。それによって変わったことがいくつかあります。まず、パンデミックの年となった2020年、私たち皆が恐れを抱いていたことです。死に直結するものが身近に蔓延している状況では、怯えている人は騙されやすい。

これが、身代金を要求するトロイの木馬のスパムが非常に多く見られた理由です。「職場や自宅周辺での感染者リストを見るには、このExcelシートを開いてください」などといった内容ですね。なぜ人々がそれにひっかかるのかは簡単に説明できます。新型コロナウイルスに関連した件名のメールが届き、内容は感染について書かれていて、添付ファイルがある。そうすると、深く考える前に添付ファイルを開いてしまうのです。それだけでトロイの木馬に感染してしまうかもしれない。

もう1つ、リモートワーク革命で起こっていることは、一部の企業がオンプレミスからパブリックなインターネットにサーバーの一部を移動させざるを得なくなったということでした。

例えば、今、インターネット上のファイルサーバーの数がパンデミック以前よりも増えています。これは、全ての従業員をリモートワークにシフトさせなければならなかったためです。それまでリモートワークを経験したことがなく、ノートPCも持っておらず、VPNや自宅でのリモートワーク環境さえ整っていなかった従業員も、リモートでファイルサーバーにアクセスする必要が生じたのです。その場しのぎのソリューションとして、ファイルサーバーをパブリックネットワークに移動し、認証とパスワードに頼るしかなかったのです。パスワードだけに頼る防御がどれだけの意味しか持たないかは、私たちは皆わかっていると思います。

そして、そのようなファイルサーバーが外部の攻撃者に乗っ取られたケースもありますが、本当の問題は、これらのサーバーがパブリックWebに移ったことで、ランサムウェアを使う攻撃者にとっては簡単な標的になっていたということです。

それはありますね。2020年ほど多くの人がRDP (リモートデスクトップ) を利用しているのは、これまで見たことがありません。RDPや悪意のある添付ファイルのようなものが弱点を突くのが、多くのランサムウェアの広がり方なのでしょうか?

概ねそうだと言えます。電子メールか、脆弱性のあるサービスをスキャンするかのどちらかです。そして、RDPのようなものをスキャンする場合、認証が弱いシステムや、パスワードが弱いシステム、既知のパスワードを使用するシステムをスキャンするだけではありません。RDPサーバーやVPNサーバーに技術的な脆弱性が多いのも事実です。

そして、RDPサーバーやVPNサーバーは常にパブリックWebに存在するため、攻撃のターゲットになってしまいます。IPv4のアドレス空間をスキャンするだけでいつでも探せますし、スキャンするにはそれほど大きな空間ではないので、数時間あれば十分です。そして、新たな脆弱性が存在すれば、ランサムウェアの使用者は数時間以内にその脆弱性をスキャンしています。

なるほど。2020年は様々な組織が攻撃の標的となりました。少なくとも1つのサイバー犯罪集団は、自分たちが攻撃していた標的が病院だと分かった時点で攻撃を中止しました。その反面、医療機関や病院、メディカルリサーチ関連の企業を狙っていたグループもあったという話を聞きました。それは何だったんでしょうか?

2020年3月頃、パンデミックの間は医療機関に対しての攻撃は行わないと宣言していたサイバー犯罪集団が複数ありました。Netwalker、Nefilim、その他複数のグループがそう公表し、その約束は守っていました。

ドイツのデュッセルドルフの病院が標的となり人命が奪われた事件は広く知られていますが、攻撃を仕掛けたサイバー犯罪集団は、攻撃してしまった相手が病院だとわかった後に、復号鍵を無料で提供したということです。

しかし、パンデミック時だけに限った話ではないですが、病院や医療リサーチ機関がランサムウェアに狙われていること自体が本当に問題なのだと思います。Ryukように意図的にこうした組織を攻撃するグループは、事業継続がクリティカルである組織が最も重要な組織であり、身代金を支払う可能性が高いということをはっきり認識しています。これを実行するのには高い残忍性が必要となりますが、それは、そこに金儲けの可能性があるからなのだと思います。

では、病院はどうすればいいのでしょうか?何週間も業務を停止ことはできないので、支払いを余儀なくされます。重要な社会インフラと言えるような組織がランサムウェアに襲われるケースが多く見られるようになると思いますか?

これ以上はこうしたケースが増加しないことを皆が望んでいると思いますが、残念ながら起こってしまうでしょう。WannaCryが世界的に流行していた2017年、私たちは病院システム内での大規模なランサムウェア感染を目撃しました。イギリスのNHS (National Health Service = 国民健康サービス) のケースです。

当時、私たちは実際にイギリスの統計センターにコンタクトし、WannaCryによる攻撃の週の死亡統計データを取得しました 。1年前の同じ週の死亡統計も取得しました。死者数にピークがあるかどうかを確認したかったからです。死亡者数はわずかに増加しましたが、統計的な範囲内と言えるものでした。

こうしたケースは今後増加することはあっても、減少していくことなないでしょう。

医療機関にとっては厳しい決断ですね。新しいコンピューターやサイバーセキュリティ対策にお金を使うのか、それとも実際の患者のケアのために使うのか?難しい決断ですね。

結局は予算の問題です。ありふれた攻撃によって感染するリスクに晒されないようなシステムが必要です。レガシーシステムは感染しやすいシステムであり、WannaCry事件は、IT予算の削減が仇となってしまうことを示すいい例だと言えます。

これまでのランサムウェアの問題はこれまでのところWindowsシステムの問題でしたが、他のOSやモバイルにも拡大していると思いますか?

私たちもそれについてはこれまで長い間考えてきました。Mac OSのトロイの木馬がを使用しての同様な攻撃も見受けられましが、その後は大きな問題になることはありませんでした。MacユーザーはWindows PCユーザーよりもお金を持っていて身代金を払えるだろう、と考える人が多いでしょうから、少し意外でした。しかし、この手のサイバー犯罪集団の多くは、Windowsだけに焦点を当てた既存の攻撃で十分に稼いでいるので、敢えて別のシステムに手を出す必要はという考えがあるのではないでしょうか。

コンピューターという枠を超えて携帯電話やPlayStation、スマートテレビやスマートカーや工場までを考えれば、全てが標的にされる可能性がありますが、既存の犯罪集団とってはかなり大きな飛躍でしょう。

そして特に、iOSやAndroidシステムのようなスマートフォンやタブレットを標的とするのは、実際には本当に大変なことです。Windowsシステム上では、あるアプリケーションは他の全てのアプリケーションとそれらが持つ全てのデータを見ることができます。iOSやAndroidでは、全てのアプリがサンドボックス化されており、自身のデータしか見ることができません。他の場所にあるファイルには何もできません。

これを回避するには、例えばAndroidのメモリカードでファイルを暗号化したり、クラウド上のファイルにアクセスしてそれを暗号化しようとするなどの方法が考えられますが、短期的には実現しそうにありません。ですので、攻撃の大部分はWindowsプラットフォームで起こることになると思います。

IoTの設計者がこうしたことを考慮に入れることを期待します。ウチの食器洗浄機が、Webサーバーにアクセスできないからと動作を停止したら困りますから。

その時は素直に身代金を支払った方がいいですね!

ええ、即座に払いますよ。さて、これまで私たちが企業に与えてきたアドバイスは、データのバックアップを作成することで身代金を支払わなくてもいいようにすることでした。しかし、ランサムウェアを使う攻撃者たちはデータの暗号化だけでなく、公開もするようになってきているので、バックアップだけ完璧にしていれば大丈夫、ではなくなりました。では、今後私たちは企業に何をアドバイスすればいいのでしょうか?2021年には何に注力すべきなんでしょうか?

「感染しないでください」がアドバイスなのですが、言うは易く行うは難し、ですね。実行するのは本当に難しいことです。 なぜ難しいかというと、組織やデータの規模が大きくなればなるほど難しくなるからです。ネットワークが大きくなればなるほど、企業が大きくなればなるほどワークステーションの数が増え、データセンターの数が増えれば増えるほど、全てを同時に防御することに問題が生じます。つまり、世界中の全てのエンタープライズレベルの企業は、遅かれ早かれ、少なくともネットワークの小さな断片がランサムウェアのトロイの木馬に襲われることを想定しなければならないということです。

そこで問題となるのは、これを素早く検知できるかどうかという点です。侵入を検知できれば、手に負えなくなる前に侵入を止めることができます。身代金を要求するトロイの木馬のほとんどは、1~2時間以内には発生しません。トロイの木馬の多くは、何日も何週間もネットワーク内に留まり、バックアップを含む全てのものを暗号化するために、全てのものに水平にアクセスしようとします。もちろん、これは身代金を要求するサイバー犯罪集団にとっては理想的なシナリオなのですが。

そうすることで、防御側は攻撃を検知して阻止するまでにある程度の時間的な猶予を得ることができます。そして、特にランサムウェア 2.0を検知することを考えると、ネットワークの異常を検知することが大きなポイントとなります。攻撃者が例えばメールのアーカイブをコピーしようとすれば、その企業のネットワークからギガバイト単位のデータを落としてくることになります。ネットワークにセンサーを設置し、エンドポイントで何が起きているかを可視化し、正常なものを可視化することができれば、異常なものを検知することが可能になります。例えば、1台のワークステーションがExchangeサーバー全体をコピーして、シベリアのIPアドレスに送信するような異常な事態などです。検知しようとするならば、それは検知可能です。

そうですね、データ損失を防ぐためのソフトウェアやソリューションもありますからね。ランサムウェア感染の様々な部分や段階でできることがあるように思えますが、明らかに効果的な全体像を形成していないので、この問題は発生していません。問題は、ランサムウェアを阻止するためには、サイバーセキュリティ全般に関する知識を高める必要があるということでしょうか?

そうですね。何が問題なのかを理解する必要があります。何と戦おうとしているのか?何を守ろうとしているのか?侵入された時にどうやって検知するのか?そして、どのように対応するのか?そして、計画を立てるだけでなく、テストを行うことも重要です。実際に防御テストを行ってみるのです。

そして、セキュリティベンダーに疑似ランサムウェアによる攻撃テストを依頼し、自社のセンサーが侵害を検知できるかどうか、誰かがギガバイト単位のデータをコピーして送信することを検知できるかどうか、ファイル共有のファイル状態の突然の変化を検知できるかどうかを試すといいでしょう。これらは、ランサムウェアがファイルの暗号化を開始したときに起こることと同じ現象です。

これまで、リスクの軽減や検知について話してきました。 ランサムウェアがこの世から完全に消滅するには何が必要なのでしょうか?

それにはこの世から悪人がいなくなることが必要ですね。すぐには起こりそうにないですし、ジョークにしか聞こえない願望ですね。

もし私たちのデジタルライフを一変させるようなことを本当に考えたいのであれば・・・、先ほど、スマートフォンやタブレットではランサムウェアの問題はないと言いましたが、実際これは大きなポイントなのです。特に新しいiPad Proは、想像できるあらゆる用途において非常に高速なコンピューターです。キーボードが付いていて、素晴らしい画面を持っていて、ほとんどのPCよりも高速です。

しかし、これは本当のコンピューターではありません。なぜなら、アプリケーションの権限が実際のコンピューターよりもはるかに少ない制限されたデバイスだからです。そして最も重要なことは、エンドユーザーは自分のデバイスをプログラムすることができないということです。xBoxやPlayStationにも同じことが言えます。あれは本当に強力なコンピューターで、マルウェアの問題は全くありません。ランサムウェアの問題もない。

そのため、私たちがコンピューティングを行うために使用するデバイスの多くは、エンドユーザーによるプログラミングが可能ではないものになるかもしれません。そうなれば、私たちが抱えている問題の多くが解決されるでしょう。もちろん全ての問題ではありませんが、私たちが抱えている問題の多くが、長期的には解決されるかもしれません。

とても興味深い話ですね。数年前に言われていた「コンピュータがなくなって、クラウドサービスを実行する端末に取って代わられる」という議論に似ていますね。しかし、それはまだ実用的にはほど遠いものですが、将来的には実現する可能性は高いと思いますか?

強力なエンドポイントを持つことになると思いますが、一般的にはプログラム可能なものではないでしょう。そして、これはすでに起きています。皆さんが最もよく使うコンピューティングシステムはスマートフォンです。スマートフォンのパワーは、基本的に10年前のPCの10倍の速さです。

これらの問題を解決する上で、サイバー保険は意味のあるものでしょうか?

そうかもしれませんが、短期的には問題が大きくなる可能性があります。なぜなら、企業、特に大企業がサイバー保険に加入している場合、身代金をすぐに支払い、身代金の支払いを保険でカバーする可能性が高くなるからです。そして、身代金を支払う企業や個人が増えれば増えるほど、この問題は大きくなるでしょう。

2019年に米国の保険会社が実際にサイバー保険を発行したリファレンスユーザー企業のリストを公開したことがありますが、それがランサムウェア業者のヒットリストのようになっています。サイバー保険は良いアイデアですが、導入について企業は慎重に検討する必要があります。しかし、実際にはランサムウェアののトロイの木馬を使う攻撃者への支払いが増えるかもしれないという醜い暗黒面も持っているのです。

こうした攻撃が数多く発生すると、保険会社もたまったものではないですね。サイバー保険の将来については、また別な機会にお話しさせてください。

サイバー保険を契約するのであれば、リファレンスユーザーにはならないことですね。

それはそうですね。素晴らしいアドバイスでした。Mikko、今日は参加いただきありがとうございました。

ありがとうございました。

 

 

F-Secure Japan

28.02.21 26 min. read

カテゴリ

関連する投稿

Newsletter modal

登録を受付ました。 購読受付のメールをお送りしたのでご確認ください。

Gated Content modal

下のボタンをクリックしてコンテンツを確認ください。