■ランサムウェア対策復号ツールが公開
■ランサムウェア対策復号ツールが公開
(テレワークブログ)
みなさま、こんにちは。
企業の就業環境として在宅勤務が定着してきましたが、テレワーク環境におけるセキュリティ対策は大丈夫でしょうか。
IPAが毎年公開している、情報セキュリティ10大脅威では、2025年も[組織]の脅威のトップは、「ランサム攻撃による被害」となっており、10年連続10回目のランクインです。
このようなテレワークを取り巻く脅威を踏まえて、警視庁の関東管区警察局サイバー特別捜査部では、ランサムウェアPhobos/8Baseによって暗号化された被害データを復号するツールを開発しました。
警視庁では、世界中の被害企業等の被害回復が可能となるよう、ランサムウェア対策を世界規模で進め、その活用を促す観点から公開することとしたそうです。
IPAでは、「情報セキュリティ10大脅威 2025」簡易説明資料で、それぞれの脅威への対応方法を解説しています。
1・ランサム攻撃による被害の特徴
・ランサムウェアに感染させ、端末ロックや PC やサーバーのデータ窃取、暗号化を行い、業務継続困難な状態にする
・攻撃者は複数の脅迫を組み合わせて、被害組織が金銭の支払いを検討せざるを得ない状況を作り出そうとする
・RaaS(Ransomware as a Service)という、サービスとして開発・提供されたランサムウェアによる攻撃もある
・ランサムウェアを用いない金銭要求を行う攻撃として、「ノーウェアランサム」による攻撃や、DDoS 攻撃を仕掛けると脅迫するランサムDDoS 攻撃も確認されている
2・攻撃手口=ランサムウェアに感染させて金銭を要求
・ 脆弱性を悪用しネットワークから感染させる
(ソフトウェアの脆弱性を悪用しPCやサーバーをランサムウェアに感染させる)
・ 不正アクセスによりネットワークから感染させる
(意図せず公開されているポート(リモートデスクトップ等)を利用した不正アクセスからマルウェアに感染させる)
・Web サイトやメールから感染させる
(ランサムウェアをダウンロードさせるようにWebサイトの脆弱性を悪用して改ざんし、閲覧した際に感染させる)
(不正な添付ファイルを開かせて感染させる)
(悪意のあるリンクをメール本文中に仕込み開くよう誘導し、感染させる)
3・2024年の事例/傾向
(1)ランサムウェア感染による被害と二次被害
2024年6月、KADOKAWAがランサムウェア攻撃を含む大規模なサイバー攻撃にあった。
フィッシング攻撃等により従業員のアカウント情報が窃取され、社内ネットワークに侵入されたことが原因と推測。
複数のサービスが停止したほか、約25万4,000人分の個人情報や企業情報の漏えいが判明した。
攻撃組織が公開したとされる情報が、SNS等を通じて拡散された。
(2)ノーウェアランサムによる攻撃事例
2024年10月、国立遺伝学研究所の生命情報・DDBJセンターがデータ窃取の脅迫を受けたと情報・システム研究 機構が公表した。
国際ハッカー集団「CyberVolk」の犯行声明では、DDBJのデータ 5%を公開し、1万ドルを支払わなければ残り95%も公開するとSNS上で脅迫した。
調査によってシステムへの不正侵入やデータ消失等は確認されず、窃取したとされるデータも公開データであった。
(3)RaaS が利用された国内事例
2024年6月、ヒロケイが RaaS(Ransomware-as-a-Service)の一種である「Phobos」を用いた攻撃を受けていたことを公表。
原因は、サーバーの脆弱性および VPNルーターの設定不備で、攻撃者がこれを悪用し社内ネットワークに侵入後、複数のサーバーに対してデータの暗号化を行った。
この攻撃で、情報の漏えいや二次被害は確認されていない。
4・組織としての対策
【組織としての体制確立】
インシデント対応体制を整備し、対応する
CISO を配置する
CSIRT を構築する
報告フォーマットは決めておく
有事の際の対応フローを確立、社員へ通知する
対応フロー通りに実施できるか訓練をする
外部の協力依頼先を用意する
社内規則の整備や予算確保をする
【被害の予防/被害に備えた対策】
インシデント対応体制を整備し、対応する
添付ファイル開封や、メールや SMS のリンク、URLのクリックを安易にしない
多要素認証の設定を有効にする
提供元が不明のソフトウェアを実行しない
サーバーや PC、ネットワークに適切なセキュリティ対策を行う
共有サーバー等へのアクセス権の最小化と管理の強化
公開サーバーへの不正アクセス対策
適切なバックアップ運用(取得、保管、復旧訓練)を行う
バックアップ自体の暗号化対策として、WORM(Write Once Read Many)機能等も有効である。
【被害を受けた後の対応】
適切な報告/連絡/相談を行う
上司、CSIRT、関係組織、公的機関等
インシデント対応体制を整備し、対応する
適切なバックアップ運用(復旧作業)を行う
復号ツールの活用
5・身代金の支払いと復旧業者の選定について
原則、身代金を支払わずに復旧を行う
支払いに応じてもデータの復元や情報の流出を防げるとは限らない
対応を依頼した業者が攻撃者との裏取引で身代金を支払うことで復旧した場合、事実上、自組織が攻撃者に資金提供をしたとみなされるおそれもある
対応を依頼する業者の選定にも注意が必要
データの復旧に関しては、復号ツールの活用についても検討すると良い
いかがでしたか?
当事務所では、一般社団法人日本テレワーク協会 テレワーク専門相談員・テレワークマネージャーとしての抱負なコンサルティング事例を有し、ITx法律の両面からテレワークセキュリティとテレワークルールの確立のご支援を行っております。
どうぞ安心してご相談ください。
2025年10月5日
小林勝哉社会保険労務士事務所 代表
特定社会保険労務士 小林勝哉
(参考)
・IPA 情報セキュリティ10大脅威2025