ここ数年、世界中でランサムウェアによる被害が後を絶たず、日本でも多くの組織における被害がたびたび報道されています。ランサムウェア攻撃は依然としてサイバー攻撃の脅威として上位に位置付けられており、攻撃方法も恐喝方法も年々進化してきています。

このようなランサムウェアの脅威に対して、米国連邦政府システムのセキュリティ標準を策定するNIST（米国標準技術研究所）ではどのような対策を推奨しているのでしょうか？ここではランサムウェア脅威の実像と、ランサムウェアリスクマネジメントに関する文書NISTIR 8374についてNIST CSF（サイバーセキュリティフレームワーク）をベースにして見ていきたいと思います。

進化し続ける　ランサムウェアの脅威

ランサムウェアはいつから？

「ランサムウェア（Ransomware）」とは、警察庁の定義によれば「感染するとパソコン等に保存されているデータを暗号化して使用できない状態にした上で、そのデータを復号する対価（金銭や暗号資産）を要求する不正プログラム」です。
IPAの情報セキュリティ10大脅威において、近年ほぼ毎年上位にランクインするランサムウェアですが、いつから知られているのでしょうか？実はIPAの情報セキュリティ10大脅威では、9年前の2014年に「第9位：ウイルスを使った詐欺・恐喝」として初登場し、2016年から毎年ランクインしています（この頃はランサムウェアという表現ではありませんでした）。
なお、ランサムウェアの起源は1989年のAIDS Trojanと言われており、この頃はまだ身代金の要求額も少なく個人を狙ったものが多かったようです。日本で一般に広く知られるようになったのは2017年のWannaCryによるランサムウェア感染事故以降だと考えられます。

ランサムウェア攻撃の進化

ランサムウェアおよびそれに伴う攻撃方法は年々進化を遂げています。初期はランサムウェアを無差別にばらまき、暗号化したデータを人質に身代金を要求するだけだったのですが、徐々に以下の事例がみられるようになってきました。

KADOKAWAを襲ったランサムウェア「Blacksuit」

2024年にドワンゴ・KADOKAWAを襲ったランサムウェアは、「Blacksuit（ブラックスーツ）」と呼ばれています。Blacksuitは以前「Royal」と名付けられていました。また、その前身は有名な攻撃グループ「Conti」なのではないかと言われています。
CISA（米国サイバーセキュリティ・セキュリティインフラ庁）およびFBI（米国連邦捜査局）の共同勧告（#StopRansomware:Blacksuit(Royal)ランサムウェア）によると、Blacksuitを用いる攻撃グループは下図のプロセスでランサムウェア攻撃を試みます。最初の侵入を行う初期アクセスでは侵入方法が多岐にわたるだけでなく、その前フェーズでブローカーから認証情報を入手するなど、あらゆる方法で侵入を試みていることが分かります。ここでいうブローカーとは、過去に窃取した認証情報を販売する業者のことで、初期アクセスブローカー（Initial Access Bloker）と呼ばれることもあります。
なお、下図はMITRE ATT&CK（v15.1）のモデルをベースに攻撃プロセスを図示したもので、必ずしもこれら攻撃手法および実行順序のみとは限りません。

Blacksuitの攻撃プロセス（MITRE ATT&CKベース）※クリックして画像を拡大

この共同勧告によると、Blacksuitを使用する攻撃グループは以下の特徴があるとのことです。

また、VMware ESXiのような仮想化基盤を狙う傾向があるのも特徴の一つです。仮想化基盤を活用する企業が増えた事情もありますが、仮想化基盤はセキュリティ状況の把握が不十分となり、かえって弱点が発生することもあります。加えて仮想化基盤には多くの仮想マシン（VM）が集中しており、初期侵入後の活動が効率的に行えるということがその理由と考えられます。

ランサムウェア攻撃による想定被害

ランサムウェア攻撃による想定被害については様々なレポートが公開されています。14か国を対象としたソフォス社による調査では身代金の平均要求額は4,321,880ドルでした（要求される身代金額は企業の売上高に合わせて上昇する傾向にあります）。
また、JNSA（日本ネットワークセキュリティ協会）の調査では日本におけるランサムウェア感染組織の平均被害金額は2,386万円、それとは別に内部の対応工数平均は27.7人月とされています（これは身代金の額を含みません）。
被害規模は被害を受けた組織の規模やサプライチェーン上のつながり、業種、地域等によって大きく変動しますが、ランサムウェアの被害に遭うとビジネスの継続が難しくなるという致命的な問題が発生するため、その影響範囲は予想が難しいものになります。

NIST CSFにおけるランサムウェア対策（NISTIR 8374）

NISTIR 8374（ランサムウェアリスクマネジメント）とは

NIST が公表するNISTIR 8374の表題は「Ransomware Risk Management :A Cybersecurity Framework Profile」（ランサムウェアリスクマネジメント：サイバーセキュリティフレームワークプロファイル）となっています。NISTIR 8374の「NISTIR」とは、NIST Internal or Interagency Reportの略で、NIST内部や関係機関が作成したレポートという位置づけです。当文書は、ランサムウェアに対するリスクマネジメントの方法として、NIST CSF（サイバーセキュリティフレームワーク）をベースに何を実施すべきかを示したもので2022年2月に公開されています。

NIST CSFをベースとしたランサムウェアリスクマネジメント

NISTIR 8374では、ランサムウェアの脅威に対してNIST CSFの要求事項のどの部分が関係するか、どういった留意事項があるのか（Ransomware Application）を示しています。
結論としては、ランサムウェア対策は基本的には多くのサイバー攻撃と同様にNIST CSFのほとんどすべてに関係しています。そのため、ここではNISTIR 8374に書かれているものでも特にランサムウェアに関する記述が多いものや同様の記述が多いもの等にポイントを絞って見ていきたいと思います。
なお、NISTIR 8374はNIST CSF1.1ベースで書かれているため、本コラムでは最新のNIST CSF2.0ベースに置き換えて説明します。（2024年9月現在）

① ガバナンス（GV）GOVERN

② 特定（ID）IDENTIFY

③ 防御（PR）PROTECT

④ 検知（DE）DETECT

⑤ 対応（RS）RESPOND

⑥ 復旧（RC）RECOVER

改めて全体を眺めてみると、ガバナンスや特定、防御の内容は、ランサムウェア事故発生の防止よりも、事故発生を想定した侵入前提の対策が書かれていることが分かります。

まとめ

本コラムではランサムウェア脅威の実像および、NISTIR 8374に基づくランサムウェア対策をNIST CSF2.0の観点からご紹介しました。NIST CSF2.0を参考にセキュリティに取り組んでいる企業であれば既にご存知の対策が多かったかもしれません。
しかし、NISTIR 8374を参考にすることでガバナンス～復旧までのランサムウェア対策視点がイメージしやすくなったはずです。また、ガバナンス～復旧のプロセス（機能）は、ややもするとプロセス個別の思考に陥りがちですが、一連のリスクマネジメントと捉えることで取り組みの一貫性が保たれ、セキュリティ強度の向上が期待されます。
次回は、NISTIR 8374における基本的なランサムウェア対策のヒントについて解説します。

参考資料