ランサムウエア攻撃、VPN装置経由の侵入や「2重脅迫」が当たり前に

ランサムウエアはVPNを通って3段階で攻撃してくる。
中小企業の防衛策はVPNの脆弱性をつぶすこと、まめに侵入監視をすること。

■「ばらまき型」から「侵入型」に変化
2010年前半まで、ランサムウエア攻撃はランサムウエアをメールやWeb経由などで感染させる「ばらまき型」だった。
ところが2010年代後半ごろから「侵入型」が増え始め6割を占めるようになった。
なかでもVPN装置の脆弱性をついてネットワークに侵入し、ネットワーク内を荒らし回った上でランサムウエアに感染させるという手口が6割を占める。

■侵入型ランサムウエア攻撃
VPN装置の脆弱性を突いて認証情報（IDやパスワード）なしで侵入する場合と、漏洩した認証情報を使って侵入する2種類がある。漏洩した認証情報とは、フィッシング詐欺で正規利用者から窃取したり、ダークウェブで公開されている認証情報を入手して侵入してくる。報道で「侵入された可能性がある」という状態。

■ネットワーク内を動き回ってデータを探す
標的とした組織のネットワークに侵入した攻撃者は最初にネットワーク内を探索する。例えばポートスキャンを実行し、アクセス可能なコンピューターを探しだす。続いてネットワーク内を動き回り、アクセス可能なコンピューターに侵入し記録された権限情報を盗んで攻撃者自身の権限昇格を図りアクセス可能な範囲を増やしていく。報道で「データを参照された可能性がある」という状態。

■ネットワーク内を荒らし回る
侵入した攻撃者はネットワーク内を横移動して業務データを暗号化する。業務データなどを収めたサーバーを見つけると、ランサムウエアに感染させてデータを暗号化する。システムファイルも暗号化された場合にはこの時点でシステム障害が発生する。
暗号化の後、ランサムウエアは身代金を要求する画面を表示したり、暗号ファイルと同じフォルダーに脅迫文を残したりする。
この時点で初めて被害組織はランサムウエア攻撃に遭ったことを認知することになる。報道で「暗号化された」「情報が漏えいした」という手遅れの状態。

くれぐれも監視の手を抜かないように。