KADOKAWAの報道で聞くランサムウェアやダークウェブとは何か?
2024年6月、サイバー攻撃による、出版・動画配信大手のKADOKAWAの被害と混乱は今でも続いています。書籍出版事業の受注や編集・制作・製造・物流システムの機能が停まり、社内システムも機能停止に追い込まれました。約一ヶ月後の7月半ば時点で、ライブ配信サービスのニコニコは停止が続く一方、経理業務や書籍流通は徐々に復旧しつつあるようです。昼夜を問わず現場で奮闘しているだろう、エンジニアの皆さんの無事を祈るばかりです。
今回は、この報道でも頻繁に出てきて、近年よく見聞きする「ランサムウェア」や「ダークウェブ」が何なのか、知ってみましょう。
[追記 2024/12/11]
人も鳥もインフルエンザが気になる季節ですが、8Baseにも要注意が続きます。
日本で流行しているランサムウェア「8Base」の解析結果 https://techblog.lycorp.co.jp/ja/20241209a
身代金を要求するランサムウェアとは?
ランサム(ransom)とは、身代金のこと。そして、悪意のあるソフトウェアや不正プログラムの総称は、マルウェア(malware)と呼ばれます。この両者を合わせたランサムウェア(ransomware)とは、被害者のコンピューターをロックしたり、データを暗号化して、身代金を要求する不正なプログラムです。厳密に区別されているわけではありませんが、マルウェアには、宿主に感染して自己増殖する「ウィルス」、単独で増殖・活動する「ワーム」、偽装して活動する「トロイの木馬」、個人のアクセス履歴などを密かに収集・送信する「スパイウェア」など、さまざまな種類・特徴があります。ランサムウェアも、これらの特徴を複数備えています。
攻撃者は、メッセージやメールの添付ファイル、不正なWebサイトへの誘導など、さまざまな方法でランサムウェアを拡散しようと試みます。感染してしまうと、データをコピー・消去・ロックされたり、デバイスを乗っ取られ、データを公開すると脅迫されて身代金を要求されます。デバイスやサーバーの電源をオフにしたりネットワークを切っても、自動で強制再起動・再接続するようになっている場合もあります。緊急策として、サーバーが物理的に設置されている場所にエンジニアが赴き、取りあえず電源を抜けばいいかというとそうもいきません。一定期間ネットワークにアクセスされないと、再起動直後に証拠を隠滅するプログラムが走る仕掛けもあるなど、攻撃者の手法は非常に巧妙だからです。
業務が停止したり、信用が毀損されるのは、ビジネスにとって最悪の被害です。ただし、身代金を払ったからといって、犯人がデータをロック解除したり、奪ったデータを確実に消去するとは限りません。むしろ、さらなる要求の引き金にもなりかねず、全世界的な社会問題になっています。
ネットの暗部、ダークウェブとは?
ランサムウェアとセットで、見聞きする機会が増えているのがダークウェブ(dark web)です。その名のとおりネットの暗部ともいえる場所で、違法な目的で使われるさまざまなコンテンツがアップロードされています。通常のWebブラウザーや検索エンジン経由ではアクセスできない、インターネットの一部の領域です。
ダークウェブは、盗まれた個人情報や企業情報以外にも、違法薬物やハッキングツール、3Dプリント可能な武器データ、児童ポルノなどが取り引きされている危険な場所です。その一方で、ダークウェブが合法的な目的で使用される場合もあります。例えば、検閲を逃れたジャーナリストや人権活動家のコミュニケーション、政府の監視を回避する活動、組織の内部告発など、匿名の環境ならではの安全が保たれています。
しかし現実には、違法コンテンツの公開場所になっていることがほとんどです。攻撃者は、ランサムウェアで盗んだ情報をダークウェブに公開すると脅迫するのが常套手段です。そして、身代金が支払われるかどうかに関係なく、実際にリークされてしまうことが珍しくありません。
ダークウェブの仕組みとTor
ダークウェブは、ランサムウェアで奪われた情報の流出先として使われるだけに留まりません。そもそも、サイバー攻撃に使われるソフトウェアの開発・販売・流通にも利用されているからです。
- ランサムウェアの販売:攻撃者は、ブラックマーケットで販売されているランサムウェアをカスタマイズし、ターゲットを攻撃します。
- サイバー犯罪ツールの販売:ランサムウェアによる攻撃を補助するツールや、脆弱性を発見するツールなども販売されています。
- 盗難データの販売:企業の機密情報や個人情報は、内容や件数によって価格が付き、取り引きには仮想通貨が利用されます。
ダークウェブは、Tor(トーア)と呼ばれる分散ネットワークを使用して匿名性を確保しています。Torは、トラフィックを世界中のサーバー間でランダムに中継することで、ユーザーのIPアドレスが追跡されることを困難にしています。
また、ダークウェブのサイトは、.onionという専用のドメイン名を使っています(このため、Tor関係のツールに玉ねぎマークがよく使われる)。通常の検索エンジンではインデックス化されていないため、通常の方法ではこれらのWebサイトを見つけることができません。
ダークウェブへアクセスするには、オープンソースの無料ソフトウェアを使うだけです。ただし、前述のようなさまざまなリスクに溢れている場所です。セキュリティーの研究者などリスクと対策を正しく知るプロでない限り、興味本位で安易に近づく場ではありません。
情報漏洩による想定を超えたリスク
東京商工リサーチの調査によれば、日本国内で2023年に個人情報の漏洩や紛失事故が発生した上場企業は、発生件数および流出人数が過去最悪を更新しました。ただ、件数だけでなく、その悪影響も近年増大する一方です。拡がり方やスピードも想定の範囲を越え続けています。
- データの損失:データが消えなくても、身代金を支払わなければアクセスできない状態は損失です。
- ビジネスの停止:顧客との連絡や工場の停止など、事業活動がストップすれば影響は深刻です。
- 信用の失墜:取引先からの信頼を失えば、既存顧客だけでなく見込顧客すら失いかねません。
- 拡散と社会的評価:被害がソーシャルメディアで拡散されたり、愉快犯による二次被害で拡大も。
- 訴訟リスク:製品の詳細や計画中の内容などが漏れれば、関係各社から訴訟が起こされる可能性も。
- 法律違反:善管注意義務違反の可能性あり。また、身代金は使途不明金として処理すれば監査対象に。
- 株価の下落:上場企業の場合は、株価が下落する可能性が避けられません。信用の失墜も加速。
- 社内の不信感:非公開情報が公開されることで、良好な関係が阻害される二次被害もあり得ます。
- コスト負担:調査するリソースや被害者への補償、システム改修や復旧に莫大な費用が掛かります。
情報漏洩を手軽かつセキュアにチェックできるサービス
最後に、自分の情報がダークウェブに流出してしまっていないか、セキュアに確認できるサービスを紹介しましょう。限定的ですが、ビジネス用・プライベート用を問わずチェックできます。
ただし、ある程度の期間使っているメールアドレスであれば、自分が気付かない間に流出の被害に遭っている可能性は高いと考えていいでしょう。その理由は、自社だけで注意していても、外部からの攻撃や関係者の不注意などによって、連絡先として提供した相手や関係先から漏れてしまうことがあるからです。そもそも、漏洩に限らずネット上に公開している情報は、何らかの形で「名寄せ」され、まとめられている可能性があります。
Google One ダークウェブ レポート
自分のアカウントがダークウェブに流出していないか、Googleでチェックできる機能が一般公開されました。ダークウェブに直接アクセスすることなく、安全に確認できます。
▼Google One – ダークウェブ レポート
https://one.google.com/dwr/dashboard
Have I Been Pwned
Microsoftのリージョナルディレクターであり、セキュリティーのプロフェッショナルであるTroy Hunt氏が2013年から公開しているサイトです。チェックできるのはメールアドレスだけですが、流出しているかを安全に確認できます。コンシュマー用パスワードマネージャーとして人気の、1Passwordと連動しているのも安心。
情報漏洩が重大なリスクであることは、今さら指摘するまでもありません。しかし現実には、件数や影響は共に、過去最悪を更新し続けています。しかも、セキュリティーリソースが潤沢な大企業ですら。次回の記事では、ランサムウェアやマルウェアによる近年の被害と背景について、さらに考えてみます。
[nlink url=/2024/07/26/background-of-info-leaks-even-in-big-companies/]