ランサムウェアを使わない攻撃「ノーウェアランサム」の事例を確認

警視庁は６件の事例を確認。ランサムウェアを使わず、検知されにくい手法

警察庁は2023年9月21日、「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」を公開しました。平成26年上半期から半期に1 回、サイバー犯罪やサイバー攻撃等のサイバー空間の脅威について、事例や統計データ等とともに警察の施策等を警察庁が取りまとめ、掲載しています。

令和5年上半期の脅威情勢のうち、ランサムウェア被害が依然高水準であること等を挙げています。企業・団体等におけるランサムウェア被害として、令和5年上半期に都道府県警察から警察庁に報告のあった件数は103件あり、警察庁は被害にあった企業・団体等にアンケート調査を行いました。

アンケート調査の結果、ランサムウェアの感染経路は、VPN機器からの侵入が71％、リモートデスクトップからの侵入が10％を占め、これらテレワーク等に利用される機器等の脆弱性や強度の弱い認証情報等を利用して侵入したと考えられるものが82％だったことが判明しました。

最近の事例として、企業・団体等のネットワークに侵入し、データを暗号化する（ランサムウェアを用いる）ことなくデータを窃取した上で、企業・団体等に対価を要求する手口（「ノーウェアランサム（No-ware Ransom）」）による被害が、新たに6件確認されたことが示されています。

これまでのランサムウェア攻撃ではマルウェアによる暗号化スクリプト実行時にEPP 注1）やEDR 注2）によって検知されるケースもありましたが、ノーウェアランサムはその名のとおり、マルウェアを使わないため、検知されにくいことが特徴です。さらに本手法は、攻撃者にとって比較的容易で、ローコスト・ローリスクであり、今後、本手法による被害が増加していくことが予想されます。

近年、事業継続に大きな影響を及ぼす、深刻なランサムウェア攻撃被害が日本国内でも多数発生しており、「バックアップの取得」の重要性がうたわれていますが、データの暗号化をしないノーウェアランサムにおいてはこの対策は無力です。攻撃者の手法は多様化しているため、もちろんバックアップの取得とデータリストアの訓練実施は引き続き必要ですが、データ窃取の防止には「組織内に侵入させない」、「侵入された後の不審な挙動を検知・ブロックする」などの多層的な対策が必須となります。

注）
1） Endpoint Protection Platform の略。ウイルス対策ソフトなどマルウェア感染を防止することに特化した製品。
2） Endpoint Detection and Response の略。ウイルス対策ソフトで検知できず侵入された脅威（不審な挙動）を検知したり、当該製品が収集するログを元にマルウェアの侵入経路を特定する調査に活用。

【参考情報】
2023 年9 月21 日付 警察庁公表資料「令和５年上半期におけるサイバー空間をめぐる脅威の情勢等について」
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R05_kami_cyber_jousei.pdf

※本記事は、2023年11月1日発行のMS&AD InterRisk Report・ESGトピックス「マルウェアを使わずに身代金要求「ノーウェアランサム」に警察庁が注意喚起」を再編集したものです。