ニュース

パスワード依存の認証からゼロトラストMFAへの意識改革が重要に――、ISRがランサムウェア攻撃の最新動向とセキュリティ対策を解説

 株式会社インターナショナルシステムリサーチ(以下、ISR)は11月30日、ランサムウェア攻撃の最新動向とセキュリティ対策に関する記者説明会を開催した。

 今回の説明会では、史上最大のランサムウェア攻撃であるKaseya社の事件や、10月末に徳島県の半田病院を攻撃したランサムウェア「LockBit 2.0」の手口を紹介しながら、ランサムウェア攻撃やサプライチェーン攻撃から守るためにどのような対策が必要となるのかを解説した。

VSAサーバーの脆弱性が狙われたKaseya社の事例

 まず、2021年のランサムウェア攻撃の動向について、ISR 代表取締役のメンデス・ラウル氏は、「警察庁の発表によると、警察に通報が行われたランサムウェア被害件数は、2020年下期に比べて2021年上期は約3倍と大幅に増加している。また、今年1月から11月29日までに公表された国内のサイバー攻撃件数を調査した結果、不明なサイバー攻撃を除くと、ランサムウェア攻撃が第3位となった。今年に入って、ランサムウェア攻撃は増加の一途をたどっている。ランサムウェア攻撃の侵入経路については、警察庁の発表では、VPN機器からの侵入が全体の55%を占め、次いでリモートデスクトップからの侵入が23%となり、テレワークなどの普及を利用して侵入したと考えられるものが全体の8割近くを占めている」と説明した。

インターナショナルシステムリサーチ 代表取締役のメンデス・ラウル氏

 海外における大規模なランサムウェア攻撃の事例としては、サプライチェーン攻撃の代表例としても知られるKaseya社の事件を挙げた。この事件では、攻撃者はKaseya社が提供するVSAというサーバーの脆弱性を利用し、MSP54社を経由して2時間以内で1500社のエンドユーザーにまでランサムウェアを展開。犯人は、広範囲にわたるハッキングで影響を受けたすべてのシステムを解除するための身代金7000万ドルを要求した。これに対してKaseya社は復号鍵を入手し、被害を受けた企業への対応を進めているという。

Kaseya社へのランサムウェア攻撃の概要

 「Kaseya社への攻撃は、ロシアを拠点に犯行を重ねるランサムウェアグループ『REvil』が犯行声明を出した。これを受けてヨーロッパでは、複数の国が共同でREvil対策チームを立ち上げ、11月にはユーロポール(欧州刑事警察機構)がREvilの関係者数名を逮捕したことを公表。10月上旬にポーランド国境で逮捕したウクライナ人がKaseya社への攻撃の実行犯と考えられている。しかし、一つの事件の攻撃者が逮捕されても、世界各地でさまざまなサイバー犯罪グループが活動しており、ランサムウェア攻撃がなくなるわけではない」(ラウル氏)としている。

徳島県の半田病院もランサムウェアの被害に

 国内でも、10月31日に徳島県の半田病院がサイバー犯罪グループ「LockBit 2.0」によって深刻なランサムウェア被害を受ける事件が発生。病院のシステムに侵入されて情報が暗号化され、約8万5000人分の電子カルテが閲覧できなくなり、新規患者の受け入れを停止するという事態に陥った。11月25日には、犯人が復元の代わりに要求している「身代金」を支払わない方針を決め、約2億円をかけ新システムに切り替え、ゼロから電子カルテを再構築することを発表している。

徳島県半田病院へのランサムウェア攻撃の概要

 この事件についてラウル氏は、「半田病院を攻撃したランサムウェア『LockBit 2.0』の手口としては、Active Directory(AD)のグループポリシーを悪用し、Windowsドメイン全体のPC端末を自動的に暗号化する機能が使われたと思われる。また、半田病院では、脆弱性が確認されたFortinet社のVPN製品を使っており、パッチを適用せずそこから侵入された可能性が高い。さらに、パスワード認証のみに基づいたVPNであったことも原因として考えられる。病院の電子カルテは患者の命に関わるものであり、その管理をパスワード認証だけに任せておくことがどれだけ危険なのか、ランサムウェア対策の認識を改める必要がある」と訴えた。

 「現在のパスワードに基づいた認証エコシステムは、重大な問題を抱えている。パスワードのみの認証システムは、ベンダーからSIer経由でユーザー企業に提供されており、その運用はSIerが行うため、ユーザー企業はパスワード以外の認証を選択できないのが実情だ。そして、何よりパスワード依存の認証システムのままでは、進化するランサムウェア攻撃から簡単に侵入されてしまう恐れがある」と指摘する。

 こうした状況の中、2022年、企業はランサムウェア攻撃やサプライチェーン攻撃から守るために、どのような対策をとればよいのか。ラウル氏は、「今後のランサムウェア対策には、ゼロトラストへの対応が必須であり、パスワードを使わない『ゼロパスワード』、パスワードを許容しない『ゼロトレランスパスワード』へ意識改革することが非常に重要になる。そこで、当社では、脱パスワードの実現に向けて、顔や指紋などの生体情報を使った多要素認証(MFA)の導入を推進している」と、ゼロトラストMFAがランサムウェア対策のカギになると強調する。

 「ゼロトラストの『すべてのアクセスを信用しない』というセキュリティの考え方では、すべてのアクセスを疑い、すべての安全性を確認することが必要不可欠になる。特に、VPNの認証では、社内ネットワーク傘下にある資産価値の高い情報にアクセスするため、このすべての安全性を検証することが求められる。生体情報を用いたゼロトラストMFAを活用することで、そのアクセスが本当に本人のものなのかを確実に検証でき、突破されにくい強固なユーザー認証を実現することが可能になる」との考えを示した。