Bay Area Tech Blog #22
Ransomwareの現状とこれから、そして政府の対応は?
本Bay Area NewsletterのWeekly newsletter #30や、同じくWeekly newsletter #34で取り上げたColonial Pipeline およびJBSの事例によって、Ransomwareの話題が大きく報じられている。
Ransomwareは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせて作られた造語である。その名前が示すとおり、身代金を請求するために、不正操作に利用されるソフトウェア (マルウェア) あるいはその手法を指す。具体的には、データを勝手に暗号化してアクセスできないようにしたあと、復号化するための鍵を渡す代わりにお金を請求するといった方法や、機密情報を盗み出したあとに「公開されたくなかったら金を払え」と脅迫する方法が取られている。
Ransomware自体はここ最近に出たものではなく、以前からあったものだが、ここにきて改めて大きな問題になっている。
相次いだ2つの大事件
1.Colonial Pipeline (コロニアルパイプライン)
つい先月(2021年5月)、アメリカ東海岸の燃料輸送を担うColonial Pipeline (コロニアルパイプライン) がRansomwareの被害を受けて、東海岸の大部分へのガス供給が停止してしまうという事件が起きた。この事件は、人々にCybersecurityが社会的なインフラに非常に大きな問題を起こすことを強力に印象づけた。一方で、本ブログサイトのWeekly Newsletter #34 でもお伝えしたとおり、ロシアのハッカー組織「DarkSide」に支払われた75ビットコイン(約500万ドル)のうち、63.7ビットコイン(現在のレートで230万ドル)がFBIにより差し押さえられたと報じられている。
2.食肉加工の大手JBS
Colonial Pipelineと、ほぼタイミングを同じくして、5月31日には食肉加工会社のJBS USAもRansomwareの被害を受けた。北米とオーストラリアのITシステムに影響があり、彼らは身代金1100万ドル (約12億円) を支払ったという。支払いには暗号通貨であるBitcoinが利用された。JBSのケースもColonial Pipeline同様、ロシアの犯罪集団が仕掛けたとされており、バイデン大統領はロシアのプーチン大統領と16日に行われる会談でこの問題を提起する可能性もあると報じられている。
Ransomware as a Service
2016年ごろからRansomwareは洗練され、組織的に実行されるようになってきた。ターゲットも大きな組織や会社をしっかりと見定めて狙い撃つようなかたちに変化を遂げた。構造的にも、もはや加害者と被害者という1対1の関係ではなくなり、Ransomwareを開発した人がそのまま攻撃をするという単純なものではなくなっている。
Ransomwareを開発する人、攻撃を組織する人(Affiliate)、攻撃をしかける人(Exploit)、マネーロンダリングをする人、といった具合で複雑化している (上図を参照)。
攻撃側が分業体制となったことで、企業ネットワークを熟知しているプロフェッショナルが、第3者の作成したRansomwareを巧みに使って攻撃を仕掛けてくる、というこの構造がRansomwareの被害を大きくしていることに注目してほしい。
実際、ダークウェブにはRansomwareで攻撃できる人を雇うための求人情報などもあり、必要なスキルなどが明示されている。
被害に合わないようにするには?
Ransomwareの攻撃そのものを避けることは、実は非常に難しい。そのため、攻撃そのものを防ぐよりも被害を最小限に抑えるほうが重要である。もっとも有効な手段はバックアップを取得しておくこと。できればオフラインでバックアップを保持しておくことが望ましい。オンライン上でバックアップを取得していると、Ransomwareの攻撃でバックアップごと暗号化され、アクセスできないようにされてしまうことも考えられるからだ。
もちろん、その他の一般的なCybersecurity対策も重要である。
エンドポイントセキュリティを導入すること
ネットワークを適切に分割すること
ID管理を徹底すること
ソフトウェア、ファームウェアをアップデートすること
拡張子を確認してファイルを実行すること
不幸にもRansomwareの被害にあってしまった場合、身代金を払うことは推奨しない。支払ったとしても、システムが約束どおり復旧される保証はない。そもそも米国には身代金の支払いに関する制裁措置があり、攻撃者が規制対象となっている企業と提携している場合、身代金を払ってしまうと被害者側が、罰則を受ける可能性もある。また、メモリ内に残っている重要な手がかりが消えてしまう可能性があるため、システムをシャットダウンしたり、再起動することはおすすめしない。加えて、すべてのファイルも削除せずにそのまま証拠として残しておくほうが良い。
NoMoreRaonsom.org などにもこのあたりの情報があるので確認してほしい。
政府の対応
Cybersecurityの専門家や関係者は、米国政府に強力な対応を求めている。特にRansomwareにおける暗号通貨について、規制を強化することが要望されている。FBI長官のChristopher Wray氏は、Wall Street Journalのインタビューに対して、「身代金を要求する行為者やRansomwareを開発する行為者だけでなく、彼らの通貨にもターゲットを絞っています。暗号通貨です。私たちはお金そのものを追いかけようとしています。」と答えている。
一般的に暗号通貨は、従来の金融機関に比べてほとんど規制されていない。しかしながら、相次ぐ重大なRansomware被害と、そのお金の受け渡しに暗号通貨が使われていることから、米国の規制当局や法執行機関も、この暗号通貨の問題を見直そうとしている。
では、具体的にどのようなことを検討しているのだろうか?
Wall Street Journalで、Cybersecurity関係のレポーターを務めるDave Uberti氏によると、政府としては、企業が攻撃者にお金を支払う場合に、そのお金の流れを把握できるように画策しているとのこと。
具体的には、(1) 地方自治体やFBIとより多くの情報を共有すること、(2) 米国内、米国外のパートナーと協力して暗号通貨取引所の顧客データを取得する方法の実現、(3) Ransomware被害者が支払いを行う場合に告知を義務化するといったことを挙げていた。
3つめの、支払いの報告義務に関して、米国財務省は2020年12月に、「企業は1万ドル以上の支払いを報告し、どのような種類の顧客と取引しているかについてのデータを収集すること」を新たなルールとして提案している。まだルール作りの段階ではあるものの、施行されれば企業には暗号通貨での取引であったとしても、法規制を受けることになる。
バイデン政府は大きな政府を目指す
バイデン政権は、2022年度会計予算案を6兆ドルにまで増加した。日本円にすると約660兆円にもなる。これにより、年間の財政赤字は今後10年にわたって1兆3000億ドルを超える見通しで、米国GDPと比較した公的赤字は史上最高に達すると見込まれている。
この数字にも表れているようにバイデン政権は、「大きな政府」を目指していると言われている。インフラ、教育、国防、行政などは大きく改革されていく可能性が高い。上述した暗号通貨に関する法規制がどこまで厳格化されていくか、政府はまだ曖昧な表現にとどめているが、今後の動向に注目したい。