暗号化はしないが脅迫はする。新たなサイバー攻撃「ノーウェアランサム」とは

データは暗号化しないが、脅迫はする

「ランサムウェア」（Ransomware）といえば、パソコンなどの端末に保存されているデータを不正に暗号化し、使用できない状態にしたうえ、データ復号と引き換えに金銭を要求するという、悪意のあるソフトウェアです。データを人質に身代金（Ransom）を要求することから、その名が付けられました。

データが暗号化されてしまうと、企業や団体は日々の仕事や業務ができなくなります。たとえばある病院では、ランサムウェアによる攻撃を受けたことで、院内の電子カルテシステムやバックアップデータが暗号化され、救急や新規患者の受け入れや手術ができなくなり、カルテも紙に切り替えざるを得ない事態に追い込まれました。結局、システム全体の復旧には数か月を要しました。

2024年には、ある動画サイトを運営する企業がランサムウェアの攻撃を受け、同社が保有する約20万人の個人情報が漏えいしたと発表しました。同社はデータ復元のために身代金を支払ったものの、データは復旧されなかったと報じられています。

このように、ランサムウェアによるデータの暗号化は、攻撃者が身代金を得るための重要な要素といえますが、最近ではデータを暗号化せずに身代金を要求する「ノーウェアランサム」という手口も増えているようです。

「データを使えなくするぞ」ではなく「データを公開するぞ」と脅迫

ノーウェアランサムとは、企業や団体が持つ機密データを盗み出し、「身代金を支払わなければ、本来は公開してはいけないデータを公開するぞ」と脅迫することで、身代金を要求するサイバー攻撃のことです。データの暗号化は行わず、あくまでもデータの強制公開を材料に、身代金を求める点が特徴です。

これと似たような手口に「二重恐喝（Double Extortion）」というものも存在します。二重恐喝では、攻撃者側はデータの暗号化を行ったうえで、企業・団体に対し「データを復号してほしければ身代金を払え。払わないとデータを公開するぞ」と二重の要求を突きつけます。つまりノーウェアランサムは、二重恐喝のデータ暗号化の部分を省いた恐喝ということがいえます。

警察庁のデータによると、ランサムウェアによる犯行手口では特に二重恐喝が多いものの、2023年頃からはノーウェアランサムも増えており、2023年度上半期は9件、同年度下半期は21件、2024年度上半期は14件発生しているといいます。

（警察庁「マルウェア『ランサムウェア』の脅威と対策（脅威編）」より引用）

脅迫材料が少ない方が効くこともある

しかし攻撃者側は、なぜわざわざノーウェアランサムという、二重恐喝よりも脅迫材料が少ない手口を使うのでしょうか？ 企業に身代金を支払わせるのであれば、「暗号化するぞ」「データを強制公開するぞ」という2つの材料があった方が、恐喝が成功する確率は一見高そうにも見えます。

IPA（独立行政法人 情報処理推進機構）が2024年7月に発表した「情報セキュリティ白書2024」という資料によると、脅迫材料が少ないノーウェアランサムは、攻撃者側にとって都合が良いこともあるようです。

たとえば、窃取したデータの暗号化を行わないことで、従来よりも少ない労力で攻撃が仕掛けられるという点も、攻撃者側のメリットのひとつです。場合によっては、盗んだ事実がなくても、盗んだと言い張って身代金を要求することも可能です。

さらに、被害が発覚しづらいという点も、攻撃者側に有利にはたらくといいます。ノーウェアランサムではデータの暗号化が行われないため、企業や団体がデータを閲覧できなくなったり、システム障害が発生することは基本的にありません。そのため、脅迫を受けた企業や団体は、自組織のブランドや信頼を守るために脅迫を受けたことを公表せず、黙って身代金を支払うことで、穏便に解決しようと考えてしまう恐れもあるといいます。

そのノーウェアランサム、実はハッタリかもしれない

ノーウェアランサムの脅迫を受けた場合、すでにデータが攻撃者側の手に渡っている以上、強制的に公開されることを防ぐ手立てはないのが実情です。たとえ身代金を支払ったとしても、窃取されたデータの公開が取り下げられたり、消去される保証はありません。そもそもデータが盗まれないよう、不正アクセスをさせないことが求められます。

警察庁ではランサムウェアの被害を防ぐためには、VPN機器などネットワーク機器の脆弱性が悪用されないよう最新の状態に更新することや、ユーザーに付与するアクセス権限を最小化すること、ウイルス対策ソフトを導入すること、不審なメールはクリックしないことなどを呼びかけています。加えて、サイバー犯罪の被害に遭った場合は、最寄りの警察署や都道府県警察本部のサイバー犯罪相談窓口に連絡することも訴えています。

もし攻撃者から脅迫を受けたとしても、実はハッタリで、本当はデータが盗まれていないケースも起こり得ます。

2024年10月、大学共同利用機関法人情報・システム研究機構は、国際ハッカー集団からデータを窃取したと脅迫を受けたものの、実際にはシステムへの不正侵入、システム内部の改ざん、データ消失は検出されておらず、さらにいえば攻撃者側が窃取したと主張するデータは、もともと誰でも無料でダウンロードできる公開データだったといいます。

ビジネスシーンで日々大量のデータを扱うことが当たり前になった現代において、「会社の機密情報を公開するぞ」とノーウェアランサムの脅迫を受けることは、たとえランサムウェア対策が万全であったとしても、たとえその脅迫が嘘であったとしても、企業や団体が受ける衝撃は大きいはずです。しかし調査の結果、その脅迫が虚偽であることが証明できれば、自社のランサムウェア対策やデータ管理が正しくできていることの証明になるはずです。

ノーウェアランサムもランサムウェアも、企業の脅威であることは間違いありません。サイバー攻撃を防ぐための対策を取り、そして攻撃を受けた際の対処手順を明確にしておくことは、これからの時代に必須の準備といえるでしょう。