3分でわかる脆弱性、ランサムウェア攻撃とは

3分でわかるランサムウェア攻撃読んで今すぐ対策実施

最近急増で、国交問題にもなっている「ランサムウェア攻撃」

企業のシステムの脆弱性を狙った凶悪な攻撃。

先日もアメリカのフォーチュン500企業Ford (フォード)ボーイング(Boeing)、エクソンモービル(Exxon Mobil)、クエストダイアグノスティクス(Quest Diagnostics)、リバティーミューチュアル(Liberty Mutual)、ジョンソンエンドジョンソン(Johnson & Johnson)、ウォールグリーンズ(Walgreens)、フェデックス(FedEx)、コカ・コーラ(Coca-Cola) 他大企業をクライアントに持つ大手法律事務所キャンベルコンロイ&オニール(Campbell Conroy & O’Neil)が2021年2月に実はランサムウェア攻撃にあっていたことを発表。

クライアントに関連するデータ

  • 氏名、電話番号、生年月日
  • 運転免許証番号、銀行口座番号、個人識別番号、パスポート番号
  • クレジットカード番号、医療情報、保険情報、生体認証情報
  • オンラインアカウント情報

などが漏洩した可能性があると発表。身代金を支払ったかどうかや’、被害額はまだ公表されていない。。と次々に企業や団体がねらわれているランサムウェア攻撃とは?

そういえば2021年6月にはJBSFOODSアメリカ最大食肉製造企業がランサム攻撃のターゲットになり、一時アメリカは肉不足に。

そしてガソリンパイプライン会社をハック、アメリカ東海岸をガソリン不足に陥れ(アメリカン大パニック!ゴミ袋やトラックの荷台にビニールシート貼ってガソリン流しいれて買いだめする人もでたり・・・。)5億円の身代金を払わせたランサム攻撃もありました。

このほかにも学校や警察、電車会社や薬局など個人情報を人質に身代金を払いそうな企業や団体が次々とターゲットになってるランサム攻撃

3分でご説明します。

3分でわかるランサムウェア攻撃

脆弱性とは

パソコンやウェブサイト、社内ITシステムなどに存在する「セキュリティーの弱点」のこと。
悪意をもったハッカーはこの弱みをついてパソコンや社内システムに入り込んで・・・
マルウェアを仕込み機密情報を盗んだり、愉快犯はウェブサイトを改ざんしたり、ランサムウェアを埋め込み身代金をねらう。

マルウェアとは

意図的に危害を与える為に作られた悪意あるソフトウェア

ランサムウェアとは

マルウェアの中でもランサム(=身代金)獲得に使われるものをランサムウェアという。

例えばこういうこと

悪意あるハッカーは日々いろいろな手口で他人のシステムへ侵入しようと技をみがいている。セキュリティソフトはこれに対応すべく常にアップデートを提供しているが、このアップデートを怠ると新しい手口に対応できずシステムにセキュリティの穴があいてしまう。

ある外回りの営業さんのVPNアクセス経由で侵入して社内システムに入り込んだ目立った動きもないマルウェア。そのままじわじわ誰にもきずかれずに社内システムに浸透。するとある日社内システムが停止。受発注もできなければ顧客情報もアクセスできない状態に。社内のパソコン画面には「1億円払ったらシステムを元にもどしてあげるよ」と身代金要求メッセージ。ランサムウェア攻撃にあってしまった。

ランサムウェア犯は身代金目当てにデータの窃盗、盗難情報の公開の脅し、暗号化、システム停止などを行います。

Photo by Tima Miroshnichenko from Pexels

ランサム攻撃だけではない金銭目的の脆弱性をつつく愉快犯も

知らない間に変なメッセージが顧客向けに送信されたり、
商品説明リンク先が買ってに変更されたり。ランサム攻撃で身代金をねらうような
犯罪だけではなく、被害をみて楽しむ愉快犯も。会員登録や個人情報入力を行う
ECサイトにとっては大きな信用問題につながります。
実際米国ラスベガスではホテルの水槽の温度設定機器が乗っ取られるという愉快犯罪も・・・。

ランサム攻撃まねく脆弱性対策は?

1.脆弱ポイントをプロにチェックしてもらい脆弱ポイントを把握

2.脆弱性診断結果をもとに自社に適切な防止策で対応

3.社内教育・レスポンス体制整備(個人向けランサムウェア攻撃に対策にもなります)

以上、3分で脆弱性とリスクをご案内しました。

身代金をあっさり払うお金がありそうな大企業の次にターゲットになりやすいのが、

ITシステムの脆弱性対策をしていなさそうな中小企業。身代金もリアリティーのある中小企業が払えそうな金額の請求をしてきます。一旦ランサム攻撃にあってしまうと顧客情報漏えい、会社イメージがた落ち、システム一層、クリーンナップ膨大なコストを被ることになります。

(ちなみにランサム攻撃にあってしまったパイプライン会社、今複数の顧客から「会社のセキュリティー対策の不備が原因で被害にあった」と民事告訴されています・・・)

明日の朝のニュース一面で「〇〇社ランサムウェア攻撃で顧客情報漏えい」とならない為にも脆弱性チェックと社内教育をお勧めします。

個人情報を扱う企業様には特に早期に脆弱性チェックをおすすめ、テックファームグループのプリズムソリューションズでは技術的な脆弱性チェックだけではなく、社内のIT体制整備のコンサルティング、IT部署以外の方でもわかりやすい正しい対策といざというときの対応ができるようにランサム攻撃対策教育などの社内トレーニングも行っています。

お気軽にお問合せください。

Photo by ThisIsEngineering from Pexels