ノーウェアランサムとは？ 特徴や被害状況、具体的な対処法を解説

ノーウェアランサムはデータの暗号化を行わず、窃取と公開を試みるサイバー攻撃

ノーウェアランサムとは、組織からデータを窃取して「入手したデータを公開する」と脅迫することで、相手に金銭を支払わせるサイバー攻撃です。ノーウェアランサムは、従来のランサムウェアとは異なり、攻撃時に組織の保有データを暗号化するプロセスを必要としないため、攻撃者にとってより都合のいい攻撃手法であると考えられています。まずは、最近ノーウェアランサムが増加している背景と、攻撃の兆候について解説します。

ノーウェアランサムが増加している背景

ノーウェアランサムが増加している背景には、従来のランサムウェアによる攻撃の効果が薄れつつあることが挙げられます。ランサムウェアとは、標的の組織が保有するデータを強制的に暗号化した上で、データの復号と引き換えに身代金を要求する手口のことです。攻撃者の中にはデータの暗号化のみならず、窃取したデータを公開すると脅す「二重の脅迫」を行うケースも見られました。

しかし、ランサムウェア攻撃の手口が広く社会で知られるようになって以降、攻撃を受けた場合に備えてデータのバックアップを徹底する企業が増加しました。組織内でデータを復号できるのであれば、攻撃者の要求に応じて身代金を支払う必要もなくなります。つまり、これまで身代金を要求するときの脅迫材料になっていたデータの復号が脅迫材料にならなくなってきたのです。こうした背景から、攻撃手法もデータの暗号化を省略したノーウェアランサムに移行してきていると考えられます。

ランサムウェアファミリーによるサイバー攻撃の兆候

ランサムウェア攻撃からノーウェアランサム攻撃に乗り換える攻撃者が現れていることは、ランサムウェアファミリーと称される攻撃者集団の動向からも見て取れます。近年、各国の法執行機関によるランサムウェアファミリーの検挙や、攻撃インフラの差し押さえが報告されています。ランサムウェアには、データの暗号化に代表されるように、被害を把握しやすいという特徴があります。また、被害者が被害を把握した時点で警察などの法執行機関に助けを求めるケースも多く、被害事例や捜査に役立つ証拠も集まりやすいという特徴もあります。ランサムウェア攻撃を仕掛ければ仕掛けるほど、結果としてランサムウェアファミリーが検挙されるリスクも高まっていくのです。

こうしたこともあり、攻撃者の手口も被害が顕在化しやすいランサムウェア攻撃から、被害が顕在化しにくいノーウェアランサム攻撃へと移行していくことが想定されます。今後はランサムウェアだけでなく、ノーウェアランサムの被害に遭わないための対策を講じる必要性が高まっています。

ノーウェアランサムの特徴

前述のように、ノーウェアランサムは被害が顕在化しないという大きな特徴があります。ここでは、従来のランサムウェアの特徴と比較しながら、ノーウェアランサムの特徴を詳しく見ていきましょう。

被害の早期発見が困難

ノーウェアランサムはデータの暗号化を伴わないため、組織が被害の実態に気づきにくいという厄介な一面を持っています。従来のランサムウェアによる攻撃であれば、保有しているデータが強制的に暗号化され、業務を正常に遂行できなくなるため、被害に遭っていることがすぐにわかります。一方、ノーウェアランサムによる攻撃では被害者に気づかれないうちにデータの窃取が可能です。被害の判明が遅れるという点が攻撃者にとって好都合であり、被害者にとっては脅威となっています。

攻撃のスピードが速い

攻撃のスピードが速い点もノーウェアランサムの大きな特徴です。攻撃時にデータを暗号化するプロセスを経ないノーウェアランサムの場合、データを窃取さえできれば脅迫するための材料がそろいます。そのため、ランサムウェアよりも短期間での金銭要求につながる場合があります。

被害者が脅迫金の支払いに応じてしまう恐れがある

ノーウェアランサムによる攻撃では、標的となった被害者が脅迫金の支払いに応じる恐れが大きくなります。ランサムウェア攻撃の場合、データが暗号化されるため業務を正常に継続できません。そのため顧客や取引先に対して、ランサムウェアに感染した事実を公表せざるを得なくなります。被害の事実を公表した時点で「被害者は脅迫金を支払わない」という姿勢を社会に示すことにもなります。

一方、ノーウェアランサムの場合はデータの暗号化を伴わないため、被害に遭った場合でも業務自体は継続可能です。そのため、社会に被害を公表することによって生じる企業イメージやブランド力の低下を恐れた組織が秘密裏に脅迫金を支払ってしまう可能性が、ランサムウェア攻撃を受けたときよりも高まってしまう恐れがあります。身代金の支払いは各国で規制の対象となっていますが、損害額をてんびんにかけて身代金の支払いを選ぶ組織はゼロとは言い切れないのです。

攻撃対象が広い

データを窃取することによって金銭を要求するノーウェアランサムの手口は、業種を問わず幅広い組織が攻撃対象となる点も特徴です。従来のランサムウェア攻撃の場合、業務停止によって人命が失われる可能性のある医療機関や空港といった施設に対しては、人道的観点で攻撃対象から外されている一面もありました。しかし、ノーウェアランサムによる攻撃では、標的とした組織の業務を停止させることはありません。そのため、従来は攻撃対象から除外される傾向にあった施設も含めて攻撃される恐れがあります。この状況は、あらゆる企業・団体がノーウェアランサムの攻撃対象となり得ると言い換えることもできます。

国内におけるノーウェアランサムの被害状況

日本国内においてノーウェアランサムによる被害は発生しているのでしょうか。警察庁が公表した資料によれば、2023年に発生したノーウェアランサムによる被害は国内で30件（※）、確認されています。警察庁はノーウェアランサムを「被害が増加するなど特に注視すべき脅威」と捉えており、日本の各企業もノーウェアランサム攻撃への備えが求められていくでしょう。

ダークウェブへの販売を目的とする攻撃も

ノーウェアランサム攻撃の目的は、必ずしも組織への直接的な脅迫や身代金の要求とは限りません。組織から窃取したデータをダークウェブで競売にかけるなどして、データを必要とする第三者に販売し、利益を得ることを目的にしている場合もあります。ノーウェアランサムが増加している背景と、ランサムウェアファミリーによるサイバー攻撃の兆候を踏まえると、身代金の要求に応じるかわからない組織を脅迫するよりも、窃取したデータをダークウェブで販売し、利益を得るほうが得策だと判断する攻撃者が今後増えていく可能性も否定できません。窃取したデータがダークウェブでどの程度需要があるか、そしてどのように悪用されるのかは不透明ですが、組織に対する脅迫を伴わない手口の出現は押さえておくべき兆候といえます。

ノーウェアランサムへの対策法

ノーウェアランサムの被害を未然に防ぐための対策は、基本的にはランサムウェア対策と同じと捉えて構いません。ここでは、ノーウェアランサムの対策法を具体的に紹介します。

組織内の脆弱性をチェックする

VPN機器やリモートデスクトップ製品など、組織内のハードウェアやソフトウェアに脆弱性が潜んでいないかのチェックは必要です。脆弱性診断サービスを活用するなどして、組織内の脆弱性をくまなく調査します。脆弱性が発見された場合には、早急に対策を講じて改善を図る必要があります。ノーウェアランサムの被害はいつどのようなかたちで発生するか予測できないため、脆弱性があると判明した時点ですぐに対策を講じておくことが重要です。

アクセス対策を徹底する

機密データや重要システムへのアクセスを制限するなど、アクセス対策を徹底することも重要なポイントです。アクセス権限の付与は最小限にとどめ、データを必要とする従業員のみがアクセスできるよう設定しておく必要があります。

具体的には、パスワードレス認証や多要素認証、アクセス権限を監視・管理するためのアイデンティティ・アクセス管理システムを導入するのも効果的な対策です。特に昨今はクラウドサービスの利用やテレワークの浸透などにより、組織の内外という概念が薄れつつあります。新たなセキュリティの考え方であるゼロトラストセキュリティに基づき、「あらゆるアクセスを基本的に信頼しない」方針でアクセス対策を強化していくことが重要です。

最先端のツールを導入する

最先端のツールを採用し、セキュリティレベルの向上を図るのも有効な対策法です。機密データへのアクセスを防ぐツールのほか、サイバー攻撃への対策に特化した製品などを導入し、自社に足りていない環境や機能の強化を図ります。ノーウェアランサムをはじめとするサイバー攻撃は、次々と新たな手口が登場します。既知の脅威にとどまらず、不審な通信や動作を検知する「振る舞い検知」などの機能を備えたツールを選ぶことが大切です。また、特定のツールに絞るのではなく、複数の製品を併用することによって、脅威に対する全方位の対策を目指すことが望ましいといえます。

ノーウェアランサムは早期の対策が重要

ノーウェアランサムは従来のランサムウェア攻撃とは異なり、データの暗号化を伴わない分、標的の組織に察知されることなくデータを窃取できる点や、攻撃のスピードが速い点に注意が必要です。日本でも増えていくことが懸念されるノーウェアランサムの脅威に備えるためにも、早期の対策が不可欠です。

クライアント管理運用ソフトウェア「SKYSEA Client View」では、悪意のある第三者からの攻撃への対処として、多層防御による情報セキュリティ対策の実現をサポートする「ITセキュリティ対策強化」機能をご用意しています。「ITセキュリティ対策強化」機能では、統合型脅威管理であるUTMや次世代ファイアウォールなどと連携してサイバー攻撃の早期把握を支援する機能や共有フォルダへのアクセスを監視・制御する機能、ウイルスが検知されたPCをネットワークから自動遮断し、速やかな調査を支援する機能などを搭載しています。

ノーウェアランサムへの対策を強化したい事業者様は、ぜひ「SKYSEA Client View」の導入をご検討ください。