大きな被害をもたらしているランサムウエア攻撃。最も警戒すべきサイバー攻撃の1つだ。そのランサムウエア攻撃に新たな手口が出現した。
攻撃先の企業すなわちデータの漏洩元を脅すだけでなく、漏洩したデータの所有者すなわち真の被害者である顧客や利用者などに、攻撃があったことを知らせる手口である。
「このままではあなたの情報は公表されてしまいます。公表されたくなければ、漏洩元に身代金を支払うよう伝えてください」といった内容のメールを送りつけるのだ。被害者に告げ口して企業に圧力をかける新手口。相変わらず攻撃者は卑劣だ。
バックアップが通用しない
ランサムウエアはコンピューターに保存されたデータを暗号化して使用不能にするマルウエア(コンピューターウイルス)。ランサムウエアのランサム(ransom)は身代金の意味である。データを暗号化した後、元に戻したければ金銭(身代金)を支払うよう画面に表示する。
データが使えなくなって困ったユーザーがビットコインなどの暗号資産(仮想通貨)で身代金を支払うと、攻撃者はデータを復元するためのツールや情報をメールなどで送信する。
ランサムウエア自体は10年以上前から存在するが、それほど大きな脅威ではなかった。ところがビットコインなどの仮想通貨と匿名化通信のTor▼が状況を変えた。
これらの技術の普及により、攻撃者は身元を特定されるリスクを最小限に抑えられるようになった。このため、2013年ごろからランサムウエアが急増。国内では2017年に出現したWannaCryで広く知られるようになった。
ただ、ランサムウエアには有効な対策がある。データのバックアップだ。バックアップを取っていれば暗号化されても復旧できる。身代金を支払う必要はない。このためランサムウエア対策としてバックアップの体制を整えた組織は多いだろう。
そこで攻撃者が打った次の手がデータの窃取と暴露である。暗号化する前にデータを盗み出し、身代金を払わないとデータの復元ツールを渡さないばかりか、そのデータを公表すると脅す。盗んだデータの一部を公表して、身代金を払わないと全データを公表すると脅す場合もある(図1)。
この手口は暴露型ランサムウエア攻撃や二重脅迫型ランサムウエア攻撃などと呼ばれる。国内では大手ゲーム会社のカプコンなどが被害に遭ったとされる。
この手口の先駆けとなったのは、MAZEと呼ばれるランサムウエアを使う攻撃者グループだ。同グループは2020年11月に活動を停止したと発表したが、名前を変えて活動している可能性が高い。
そしてまた、新たな手口が確認された。冒頭で書いたように、盗まれたデータの所有者である顧客や利用者などに圧力をかけさせる手口だ(図2)。
データを盗まれた企業も被害者だ。だがデータを公表されて一番困るのは、顧客や利用者だ。顧客や利用者こそが真の被害者といえるだろう。
2021年3月末から4月初めにかけて、米国のセキュリティーベンダーやメディアなどがこの手口を報告した。
