増える未知のランサムウェア攻撃、対策にはAI使う予測型が必要に

ソフトウェアの脆弱性を突く攻撃が急増

　ランサムウェアの主な侵入経路は3パターンある。（1）フィッシングメールなどで感染した端末を踏み台に侵入する、（2）VPN（仮想私設網）やリモートアクセスなど裏口経由で侵入する、（3）サプライヤーや取引先、サードパーティなど他社システムから侵入するだ。いずれの場合も最終目標は、Windowsにおける「Active Directory」に相当する「中央管理サーバー」への侵入である（図2）。

図2：ランサムウェアの主要な侵入経路は3つある

　手段としては、ソフトウェアの脆弱性を突くなどが増えつつある。2023年には「MOVEit」「Zimbra」といった一般的なビジネス向けソフトウェアの脆弱性を突く大規模攻撃が発生し、被害件数が急増した。「良く知られるソフトウェアだけでなく、業種・業態に特化したソフトウェアも利用されている。サードパーティのゲームベンダーを踏み台に複数のカジノが侵害された事例も報告されている」と乙部氏は話す。

　ランサムウェアのトップ3は「LockBit3」「ALPHV/BlackCat」「CLOP」である。いずれも「RaaS（Ransomware as a Service）」と呼ばれるサービスモデルで運用され、分業体制が確立されている（図3）。ランサムウェアを作る「RaaSオペレーター」が、「ビルダー」と呼ぶランサムウェア作成用モジュールを開発し、サイト経由で提供する。実行犯は「RaaSアフィリエイト」と呼ばれ、ビルダーをダウンロードして実際に攻撃を仕掛ける。

図3：ランサムウェアの作成と実行などが分業されているRaaSモデルの概要

　企業が身代金を支払えば、「その大半を実行犯が、残りの２〜３割をRaaSオペレーターが受け取る」（乙部氏）という。ほかにも、漏洩したID／パスワードなどを販売する「アクセスブローカー」や、マルウェアを配信する「MaaS（Mobility as a Service）オペレーター」なども暗躍している。

　RaaSモデルでは、攻撃のたびに新しいマルウェアを入手して仕掛けられるため、攻撃は、より速く高度に進化してきている。「毎日確認されるマルウェアは30万〜50万ともいわれ、7割以上が未知のものだ」（乙部氏）という。

未知の脅威生み出すRaaSモデルには従来型の対策では不十分

　乙部氏は、RaaSモデルへの対策上の課題を2つ挙げる。1つは従来型の対策では対処し切れないこと。「パターンファイルやシグネチャー型など『これまでに見たことがあるウイルスを止める』というアプローチでは防ぎようがない。侵入後に対処する「EDR（Endpoint Detection and Response：エンドポイントでの検知と対応）」の考え方では、そもそもランサムウェアの場合には検知したときにはもう手遅れになっている」（同）からだ。

　もう１つは、対応漏れにより再感染が広がること。「現状は侵入を前提にセキュリティ対策を考える傾向にある。そのため、ウイルスが侵入した後に、感染した端末の封じ込め対応ができたとしても、ストレージやバックアップなどに残ったファイルから再び感染が広がる」（同）ことになる。

　さらに乙部氏は、「生成AI（人工知能）の登場で、マルウェアの多様化・大量化がさらに進むと予測されている。対策側との間に生じているギャップが広がるのではないか」と懸念する。