米国で5月31日の戦没将兵追悼記念日(メモリアル・デー)を控えた金曜に標的となったのは、食肉加工大手のJBSだった。7月4日の独立記念日の前々日の金曜に狙われたのはIT管理ソフトウェア会社のKaseyaで、その影響は1,000を超える大小さまざまな事業体に及んだ。同じように同様の大規模なランサムウェア攻撃が発生するかどうかは不明だが、ひとつ確かなことがある。ハッカーは“祝日”が好きなのだ。

ハッカーたちは連休がお好き? ランサムウェア攻撃のタイミングに「祝日」が多い理由」の写真・リンク付きの記事はこちら

マルウェアを仕掛けて身代金を脅しとろうとするハッカーたちは、いつもの週末も大好きである。ましてや長い休みであればどうだろう。連休となれば誰もが家族や友人たちとレジャーに繰り出し、少しでも仕事に関係のありそうなことを慎重に避けながら過ごしているのではないだろうか。

これはハッカーたちにとって、またとないチャンスにある。こうした傾向は以前からあった。こうしたなか、このほど米連邦捜査局(FBI)と米国土安全保障省のサイバーセキュリティ・インフラストラクチャー・セキュリティ庁(CISA)が共同で発表した警告文には、脅威の深刻化が強調されている。

ハッカーが祝日を好む理由

攻撃者にとって、長い休みは実に魅力的だ。じっくり時間をかけてネットワーク全体にランサムウェアを増殖させることができる。その間にハッカーたちは次々とアクセス権を獲得し、システムの大部分を最大限にコントロールしようとする。誰かが侵入に気づくまでの時間が長いほど、大きなダメージを与えられるのだ。

「概してハッカーたちは、異変に気づいてあちこちのケーブルを抜き始める人が不在になりそうなタイミングを見計らって、ランサムウェアを仕掛けてきます」と、ウイルス対策企業Emsisoftの脅威アナリストのブレット・キャロウは言う。「攻撃を見抜かれたり邪魔されたりする可能性を減らせるからです」

たとえ攻撃を早めに察知できたとしても、対応に当たるべき人の多くはプールサイドにいるかもしれない。少なくとも担当者に連絡がつく確率は、普通の火曜の午後よりは低いはずだ。

「直観的に言っても祝日の時期には人員が減るのですから、防御側の警備が手薄になって当然のことです」と、サイバーセキュリティ企業Red Canaryのインテリジェンスディレクターであるケイティ・ニッケルズは語る。「連休中に重大なインシデントが発生した場合、攻撃を受けた側が必要な人員を迅速に集めることは、平日に比べて難しいでしょうね」

FBIとCISAが警戒しているのも、そうした大規模なインシデントの発生だろう。JBSやKaseyaのほか、燃料輸送最大手のコロニアル・パイプラインが壊滅的な攻撃を受けたのも、5月の母の日に当たる週末だった。3連休ではなかったが、多大な不便を強いられるタイミングだったのである。各関係機関によると、9月のレイバー・デーの週末に同様の攻撃を実行するという「具体的な脅迫の報告」はなかったが、実際にそうなったとしても不思議ではなかっただろう。

戦略的なタイミング

忘れてはならないのは、ランサムウェアの脅威が常に存在していることである。そしてガソリン不足のニュースがメディアをにぎわすたびに、その裏では数十もの中小企業がサイバー犯罪者にビットコインを送金するために奔走していることだ。

FBIのインターネット犯罪苦情センター(IC3)が2020年に報告を受けたランサムウェア攻撃の被害件数は2,474件に上り、前年より20%増加している。IC3のデータによると、その1年でハッカーからの要求金額は3倍に増えている。これらの攻撃は必ずしも3連休やクリスマスなどの大きな休暇に集中してはいなかった。

実際、CISAとFBIが認めているように、総じてサイバー犯罪者たちには週末を好む傾向が見られる。

Emsisoftのキャロウの指摘によると、ランサムウェア特定サーヴィスのID Ransomwareというサイトへのファイル投稿数は、月曜に飛び抜けて多くなりがちだという。被害者側のスタッフが休みからオフィスに戻り、暗号化されて開けなくなったデータファイルを発見するのが月曜だからだ。ID Ransomwareはセキュリティ研究者のマイケル・ギレスピーが開発したツールで、身代金要求文や暗号化されたファイルをアップロードすると、攻撃してきたランサムウェアの種類を特定してくれる。

ハッカーたちは戦略的にタイミングを計り、ほかの時期にも攻撃を仕掛けている。キャロウによると、学校を狙った攻撃は春の終わりと夏に急減するという。学校が休みに入ることから、システムの復旧をそれほど急がなくてもいい時期だからだ。

バングラデシュ銀行が8,100万ドル(約89億2,000万円)を盗まれた事件では、北朝鮮のハッカー集団「Lazarus」は巧妙に時期を選んで犯行に及んでいる。バングラデシュの週末が米国とは異なる金曜と土曜であることを利用した上で、アジアの多くの地域で祝日となる旧正月を狙ったのだ。

気を緩めてはならない

DarkSide、Ragnarok、REvilといった一部の大規模なランサムウェア攻撃集団が、最近になって解散したり活動を停止したりしていることは事実である。また、国家安全保障副顧問のアン・ニューバーガーが9月初めの記者会見で説明したように、米国の各情報機関は最近のランサムウェア攻撃の「減少」を確認している。

だが、セキュリティ研究者たちは、気を緩めてはならないと警告する。「Pysa、Lockbit 2.0、Contiをはじめ、多くのランサムウェア集団がさまざまな組織に大きな損害を与え続けています」と、Red Canaryのニッケルズは言う。「ランサムウェア攻撃の有力なグループがいくつか姿を消したとしても、すぐ後ろに控えている別のグループが空席を埋めるだけのことなのです」

記者会見でニューバーガーは、祝日と重なる長い週末を控えている場合、どんな組織も「警戒を怠らないでほしい」と注意を促している。

残念ながら、金曜の午後にあらゆる出入り口をふさいでおけばハッキングの可能性に備えられるというものではない。それでは遅すぎるのだ。

攻撃者はほとんどの場合すでにシステム内に侵入し、最適な瞬間を狙って攻撃を仕掛けてくる。鉄壁の守りを敷くベストなタイミングは、ランサムウェアが実際に攻撃を始める数週間前であることが多い。「空き巣狙いのほとんどは日中に発生しますが、昼間だけ家に鍵をかけておけばいいというわけにはいきません」とキャロウは言う。

身を守るためにできること

とはいえ、企業や個人がハッキングから身を守るために、長い週末の前やそれ以外の時期にもできることはいくつかある。

FBIとCISAがすすめるのは、ほとんどのサイバー犯罪に対して最も有効な手段としてこれまでにも推奨されてきたことばかりだ。不審なリンクをクリックしない、オフラインでデータをバックアップしておく、破られにくいパスワードを使う、ソフトウェアのアップデートを怠らない、2要素認証を採用する──といった対策である。

マイクロソフトが提供する遠隔操作機能の「Remote Desktop Protocol」は、過去にハッカーの侵入ポイントになったことがあるので、利用には注意を要する。特に多くの人の休暇が重なるタイミングには、念のためスタッフを多めに待機させておくべきかもしれない。

※『WIRED』によるランサムウェア攻撃の関連記事はこちら。