セキュリティの
学び場

今回の解説ニュース

医療業界に対するランサムウェア攻撃の傾向について発表されています。医療業界に対するサイバー攻撃と、セキュリティ対策の現状について説明します。

セキュリティベンダーが発表したランサムウェアの検出台数について、2020年は銀行、公共、製造が多かったものの、2021年は公共、銀行、ヘルスケアがトップ3に入っており、ランサムウェアが医療業界に数多く着弾しているようです。また、二重脅迫を行う標的型のランサムウェア「LockBit」のヘルスケアにおける検出台数は非常に多いものの、リークサイトにおける暴露数を見ると、ヘルスケアはそれほど数が多くないということです。

ランサムウェアの侵入手法としてVPN製品の脆弱性を悪用した攻撃が挙げられていますが、2019年5月から修正プログラムが提供されていたにもかかわらず、2021年の検出数は63万1,000件以上に達しており、攻撃者が「多くの法人組織がVPN製品に修正プログラムを適用していないであろう」と見越して攻撃を行っていることが指摘されています。

攻撃者がサイバー攻撃でVPN製品を狙う理由

複数発見されているVPN製品の脆弱性について、攻撃者がVPN製品を狙う理由と放置された際のリスク、および対策について説明します。

今回の解説で引用されている「CVE-2018-13379」以外にも、複数のVPN製品で脆弱性が発見されています。VPN製品の脆弱性を大きく2つに分けると、ソフトウェアバグと設定ミスが挙げられます。両方の脆弱性に共通しているのは、これらの脆弱性が悪用されるとVPN製品の設定が変更され、攻撃者がVPN製品に接続できるようになってしまいます。VPN製品に接続できるということは、多くの場合、関係者しかアクセスできない重要なネットワークに、攻撃者がアクセスできてしまうリスクが発生します。これが、攻撃者がサイバー攻撃でVPN製品を狙う理由です。

ソフトウェアバグの対策として、開発元が提供する修正プログラムを適用することが必要です。利用しているVPN製品に対して開発元から提供されているセキュリティ情報を把握し、必要に応じて最新の状態へアップデートすることが求められます。

また、設定ミスの対策として、脆弱性診断の実施が挙げられます。VPN製品の管理画面にインターネットからアクセスできないか、弱いパスワードを使ったアカウントが存在していないかなど、攻撃者がVPN製品へアクセスできる設定になっていないか、攻撃者の観点で確認することが求められます。

復元の条件と情報の暴露、二重脅迫型ランサムウェアの特徴

二重脅迫型ランサムウェアの特徴として、身代金を要求する段階によって、プログラムによって自動化されていたり、人によって判断されていたりすることが考えられます。よって、検出台数と暴露数に差分が発生いていると考えられます。

二重脅迫型ランサムウェアとは、感染の前後で二重に身代金を要求するランサムウェアです。ランサムウェアによって暗号化されたデータの復元に対して身代金を要求するだけでなく、期限までに身代金を支払わなければ窃取したデータをリークサイトで暴露すると二重の脅迫を行います。

多くのランサムウェアやマルウェアは、特定の組織や個人を狙ったものではなく、「ばらまき型」と呼ばれる広範囲のターゲットに対して攻撃が行なわれます。よって、金融機関からヘルスケア、一個人に至るまで、ランサムウェアの被害者が生まれています。

一方で、より多くの金銭を狙った二重脅迫型のランサムウェアでは、「標的型攻撃」と呼ばれる特定の組織や個人を狙った攻撃が行われます。そこで、より深い攻撃を成功させるために人の判断が介入することが考えられますが、その際に、ヘルスケアなど人命がかかわるシステムがターゲットであると攻撃者が認識した場合、攻撃の手が止まることが実際に発生しているのかもしれません。

今回は、医療業界に対するサイバー攻撃と、セキュリティ対策の現状についてお届けしました。