クイックマンからのお知らせ
ランサムウェアに感染?最も多い感染ルート トップ3【2022年実例版】
ランサムウェアに感染?最も多い感染ルート トップ3【2022年実例版】
関連記事:ランサムウェア 身代金を支払うとデータを取り戻せるのか?【成功率を公開!?】
当社では今年に入りランサムウェアの被害相談が急増し、
月平均100件を超えるご相談を受けております。
実際に相談を頂戴したケースを見てみると、
昨年までの攻撃に比べ、ターゲットを明確にした攻撃が目立ちます。
目次
などをお伝えいたします。
ランサムウェアの侵入経路が気になる方は是非ともご一読ください。
1.ランサムウェア被害の多いハードウェアとは?
①NAS
昨年より被害が急増し、ご相談の8割以上はNASのご相談になりました。
中でもQNAPやAsustorは毎月のように新しい攻撃が発生し、
今だに新たな被害者が増え続けています。
以前はNASでランサムウェア感染といえば、
Windows Storage Serverを搭載したTeraStationなどが主流でしたが、
今やNASの被害の9割以上はQNAPやAsustorなど海外製NASが占めました。
逆にTeraStationやLANDISKなど国内メーカーの機種はそのガラパゴス化したOSにより、
被害件数が少ないという皮肉な状態です。
②Windowsサーバー
Windowsサーバーの被害も継続的に続いています。
件数だけ見るとNASの被害に比べわずかな件数ですが、
Windowsサーバーでは社内に複数あるサーバー機全台が暗号化されるといった、
企業の業務継続性において、より深刻な事態に陥るケースがあります。
社員数300名以下の企業では物理サーバー数台に仮想サーバーをマウントという構成で
基幹システムや各種サーバーを運用されているケースが多く、
一方で複数のベンダーが出入りすることから、
セキュリティ面での管理が行き届いていないという隙間を狙われている印象です。
③Windowsサーバー(2008以前)
Windows2008以前のOSを現在も使用し、ランサムウェアに感染したというご相談も
件数自体は減りましたが、今でも継続的に発生しています。
古いパッケージソフトを使っていて、買い替えることができずに使い続けた結果、
ランサムウェアに感染してしまった。というのが共通するご相談ケースです。
2008以前のWindowsの場合、OSのサポートがすでに無く攻撃に対して無防備です。
また、システムを導入したベンダーの保守も切れていますので、
システムの再構築などもできない場合がほとんどです。
2.相談件数の多いランサムウェアとは?
①DEADBOLTランサムウェア
NASをターゲットにしたランサムウェアです。
特にQNAPやASUSTORに被害が集中しています。
未知の脆弱性をつき、対策される前に被害者を増やすために、
世界同時に一斉攻撃するのが特徴です。
今年に入りすでに何度も一斉攻撃がなされてており、
当社へのご相談の半分以上はDEADBOLTの相談になっております。
ターゲットとなるNASは、個人から中小企業まで幅広く使われているため、
セキュリティに対する意識も様々で、被害者を増やす要因になっています。
②LockBit
Windowsサーバーをターゲットにしたランサムウェアです。
一度入り込むと、社内全域のサーバー、NASを同時感染させます。
感染したサーバーそれぞれで固有のキーを付与されるため、
たとえ1台のサーバーの復号キーを入手できたとしても、
一部しか復号できないという結果になります。
LockBitは身代金を支払わせるために、
場合によっては脅迫文をプリンターで印刷し続け、
詐取したデータをダークウェブに公開すると脅します。
昨今、最も脅威度の高いランサムウェアのひとつです。
③PHOBOS
PHOBOSは5年以上前から常に被害者を出し続けてきたランサムウェアです。
比較的古株のランサムウェアですが、当初より攻撃のターゲットは中小企業でした。
特にサービス切れのサーバーOSが被害に遭う例が多く、
サーバー機の重要度を見て身代金の要求額を変動させている節があります。
3.どこから侵入?最も多い感染ルート【2022年版】
1位 NASの外部アクセス機能
NASには外出先から社内や自宅のNASにアクセスできる外部アクセス機能が搭載されています。
その機能の脆弱性をついた攻撃が頻繁に繰り返されています。
NASの被害のほとんどはこのパターンです。
メーカーもUPNPを使わないよう推奨するなど、
強い危機感をもって対応していますが、
今のところ決定的な対策はとれていないのが実用です。
2位 UTMのVPN機能の脆弱性
UTMの国内No.1シェアを誇るFortiGateですが、一部FWに脆弱性があり、
VPN機能を利用している場合にLAN内へ侵入されサーバーを暗号化される
という事態に陥っています。
UTMはそういったサイバー攻撃から守るための機器ですから、
安心だと思っていたユーザーにとっては強い怒りを感じるかと思います。
コロナ禍でリモートワークによるVPN需要が増えたことにり、
皮肉にもセキュリティに対する危機意識をもった企業が感染するという
最悪の事態になりました。
3位 リモートデスクトップの脆弱性
Windowsサーバーには遠隔操作可能なリモートデスクトップという機能があります。
サーバー機を導入したベンダーは日々の運用やトラブル対応の為、
リモートデスクトップをサーバーに設定しているケースがよく見られます。
そのリモートデスクトップの脆弱性をつかれてサーバーが乗っ取られるので、
攻撃者側はやりたい放題です。
また、問題なのはユーザー側がリモートデスクトップの存在を知らず、
被害に遭っても原因がわからず、復旧後、日を置かずに再び感染するというような
本当に言葉を失うご相談もございます。
4.感染後、侵入経路の調査や対策は?
ランサムウェアのご相談時には、多くの場合において、
侵入経路のご相談も頂戴します。
簡単なヒアリングでおおよその予測が可能なケースもあります。
侵入経路の予測がつけば、対策もより簡単になります。
ただ、セキュリティ専門業者による侵入経路の調査は費用も高く、時間もかかります。
また、侵入経路がわかっても他に脆弱性があっては意味がありません。
ですので、ランサムウェア対策で重要なのは、社内のセキュリティ全体を俯瞰して、
相対的に弱い部分を全般に押し上げていくような対策が重要です。
具体的には、
①侵入経路として考えられるポイントの洗い出し
②保有しているデータの分類と重要度判定
の2点です。
この2点をおこなうことにより、潜在的なセキュリティリスクが整理できれば、
優先的に対策が必要な部分が明確になるかと思います。
5.データの復元はできるのか?
侵入経路の調査や対策も重要ですが、業務を再開するためには
暗号化されたデータを復元しないと会社が倒産しかねない!
というようなケースもあるかと思います。
当社ではデータ復旧技術を追求する中で、
ランサムウェアについても様々なアプローチで
データを取り戻すすべを試行錯誤してきました。
それらのノウハウは国内でも有数だと自負しております。
もちろんどんなランサムウェアでも100%復元できる!なんて言えませんが、
お力になれるケースも多いかと思います。
お困りの際は是非とも当社へご相談ください。
データ復旧クイックマンでは、ランサムウェアのデータ復旧、コンサルティングなどおこなっております。
ランサムウェアのデータ復元については、対応件数に自信があります。
緊急でのご対応も可能です。
お困りの際は下記フリーダイヤルまでご相談ください。
クイックマン(S&Eシステムズ株式会社) フリーダイヤル:0120-775-200