警察庁が今年の3月に発表した「令和6年におけるサイバー空間をめぐる脅威の情勢等について」の資料によると、2020年下半期に報告されたランサムウェアの被害件数が21件だったのに対し、2024年上半期には128件にまで急増している。また被害には至っていない不審なアクセスの件数も毎年増加を続けている。

ランサムウェアの攻撃が増加した背景の一つとして考えられているのが「RaaS」の台頭だ。RaaSとは「Ransomware as a Service」の略称であり、ランサムウェア攻撃に必要な要素をパッケージ化してサービスとして提供するビジネスモデルのことを指す。

RaaSという名前は、SaaSのビジネスモデルと似た仕組みであることから名付けられている。SaaSは、ネットワークを通じてユーザーに提供されるソフトウェアを指す言葉である。RaaSも同様にネットワークを経由することで、攻撃の際のランサムウェア攻撃を複雑な構築なども行わず簡単に実行できるようになる。

従来、ランサムウェア攻撃を実行するにはシステムの構築が必要なため、攻撃者にも一定の専門知識が不可欠だった。しかし、近年はRaaSによって誰でもランサムウェアによる攻撃が可能になっており、その脅威は増している。

この構造は、RaaSの提供者側にもメリットが大きい。提供者は攻撃者に対し回収した金額の一部を成功報酬として支払う契約を結んでいるため、RaaSのユーザーが増えるほど利益を得られるという仕組みだ。

国内で報告されているRaaSによるランサムウェア攻撃の事例について紹介する。

港湾設備への攻撃

2023年7月、愛知県のある港湾設備は、RaaSを使用したランサムウェア攻撃を受けた。

同施設のコンテナターミルでは日々大量の積荷を取り扱っているが、これを管理するシステムのデータがランサムウェア攻撃によって暗号化されたため、発生から3日間、運用停止に追い込まれた。

幸いシステムが早期に復旧したため身代金の支払いには至らなかったものの、事態を重く見た国土交通省は同月に専門の有識者会議委員会を設置するなど、再発防止に努める対応を進めることとなった。

医療機関への攻撃

2021年10月には、四国のある病院がRaaSを使用したランサムウェア攻撃を受けた。

同病院では電子カルテを含む複数のシステムがダウンし、2カ月以上の間、病院機能がストップする甚大な被害を受けている。被害発生後に発表された有識者会議の報告書では、攻撃を受けたのは病院内で使用されていたVPNの脆弱（ぜいじゃく）性を突かれたものだと推察している。

この被害を受けて、一般社団法人医療ISACが2022年に実施したアンケート調査によると、病院の約26%が「脆弱性が指摘されたVPN製品を利用している、もしくは脆弱性対応を実施していない」と回答しており、同様の攻撃は医療業界全体で脅威となり得ることが考えられる。

RaaSの登場により、ランサムウェア攻撃の対策は急務になった。では、企業はどのようにこの課題へ立ち向かえば良いのだろうか。RaaSによって、ランサムウェア攻撃は今後も増え続けていくであろう。そのため、より手広く脅威を防ぐ対策が求められることになる。

そこで注目すべきはゼロトラストセキュリティだ。これは社内ネットワーク内への全ての通信アクセスを「信用せず」分析するというセキュリティ概念である。従来のセキュリティにおいて主流とされてきた境界型防御が「不審なアクセスのみを遮断する」という方式であったのに対し、明確に広い対象を管理できることが特徴である。

また、ランサムウェア攻撃では電子メールやフィッシングサイトなどに悪意あるURLを記載し、そこにアクセスした人を起点にシステムに侵入するという方式が多い。そのため、社内研修による正しいセキュリティ知識の学習も重要になるだろう。

ゼロトラストセキュリティや社内研修はRaaSのみならずさまざまな脅威への対策となる。企業風土の刷新と今後の多様化するサイバー攻撃に備えてまずはランサムウェアの対策を始めていきたい。

関連記事：ゼロトラストセキュリティの導入 リモートワーク時代の効果的なセキュリティ強化方法