サイエンスパーク株式会社

お問い合わせ

生成AIを利用したサイバー攻撃

 2024年5月27日、日本で初めて生成AIを悪用してランサムウェアを作成した容疑者が逮捕されました。この事件は、対話型生成AIを使用してマルウェアを設計し、ランサムウェアに類似した機能を持つウイルスを作成したものです。容疑者は「ランサムウェアによって楽に金を稼ぎたかった」と供述しており、IT分野の専門性を持たない人でも生成AIを用いて悪意のあるコンピュータープログラムを作成できることを示す象徴的な出来事と言えます。

目次

  1. ランサムウェアの傾向
  2. ノーウェアランサムとは
  3. ノーウェアランサムが生まれた背景
  4. データ盗用手段
  5. 合法的なツールの悪用
     ・Rclone
     ・RDP
     ・Cobalt Strike
     ・WinSCP
  6. 対策


1. ランサムウェアの傾向

 ランサムウェアは、被害者のデータを盗み出し、その後身代金を要求する攻撃の一形態です。最近では、被害者のデータを盗み出す「データエクスフィルトレーション」が増加しており、被害者に対して追加の圧力をかけるために、盗まれたデータを公開する脅迫が行われています。

 また、ランサムウェアグループは盗まれたデータをダークウェブで売却することでさらなる収益を得ています。被害者は、身代金を支払うことでデータを削除するか、秘密に保つことを約束されます。このような攻撃は、特に公共の医療機関や学校など、重要な情報を保有する組織にとって影響が大きく、セキュリティ対策が重要です。


2. ノーウェアランサムとは

 「ノーウェアランサム」は、データの暗号化を行わずに窃取した情報を脅迫するサイバー攻撃の一形態です。従来のランサムウェアとは異なり、攻撃時に組織の保有データを暗号化するプロセスを必要としないため、攻撃者にとって都合のいい手法とされています。

 この攻撃では、被害者のデータを盗み出し、それを公開しないことと引き換えに身代金を要求します。被害者側がリスクを勘案して金銭の支払いを選択することが少なくなっているため、注目されている攻撃手法です。

 日本国内でもノーウェアランサムによる被害が報告されており、警察庁が令和5年度におけるサイバー空間の脅威について公表した資料によれば、ノーウェアランサムによる被害は国内で30件確認されています。
 出典:「令和5年におけるサイバー空間をめぐる脅威の情勢等について


3. ノーウェアランサムが生まれた背景

 ノーウェアランサムが増加している背景として、従来のランサムウェアによる攻撃の効果が薄れつつあることが挙げられます。ランサムウェア攻撃では、被害を受けた場合に備えてデータのバックアップを徹底する企業が増加し、組織内でデータを復号できるのであれば、攻撃者の要求に応じて身代金を支払う必要もなくなります。そのため、攻撃手法もデータの暗号化を省略したノーウェアランサムに移行してきていると考えられています。


4. データ盗用手段

 では、攻撃者は一体どのようにデータを盗み出すのでしょうか。Symantec社の報告によると、攻撃者はFTPクライアントやリモート管理ツールなどの合法的なソフトウェアを利用してデータを盗みます。また、カスタムツールも開発されています。

 以前はボットネットが主な感染経路でしたが、現在では脆弱性の悪用が主な手段となっています。 攻撃者は、標的ネットワークに侵入した後、データを収集し、外部に送信するためのさまざまな手法を使用します。これには、クラウドストレージサービスの利用や、FTPサーバーへのアップロードが含まれます。

図1. 最も頻繁に用いられる情報流出ツールとそれらを使用するランサムウェア
引用元:Data Exfiltration: Increasing Number of Tools Leveraged by Ransomware Attackers


5. 合法的なツールの悪用

 ここでは具体的に合法的なツールを使用してどのような手法でデータが持ち出されるのかをご紹介します。

・Rclone

 Rcloneは、クラウドストレージサービス(Dropbox、Google Drive、Amazon S3、MEGAなど)とファイルを同期するためのコマンドラインプログラムです。攻撃者は、このツールを利用して被害者のデータをクラウドストレージにアップロードし、後でアクセスするために悪用します。Rcloneは多機能かつ強力なツールであり、ランサムウェア攻撃者にとって非常に有用なツールとなっています。


・RDP

 RDPは、Microsoft Windowsシステムのプロトコルであり、ユーザーがリモートシステムにリモート接続して制御できるように設計されています。一般的な使用法は、ITサポート担当者が問題を修正するためにユーザーのシステムをリモート操作することですが、最近ではクラウド環境の仮想マシン(VM)にアクセスするか、クラウド資産をリモートに管理するために、クラウドコンピューティングでRDPが普及しています。そのため、数年前からランサムウェアの初期の攻撃経路として最も一般的になってきており、公開されたRDPが攻撃者のターゲットとなっています。悪意のある攻撃者は、公開されているRDPを見つけるために、インターネットで開いているポート3389 (デフォルトのRDPポート)をスキャンしています。


・Cobalt Strike

 Cobalt Strikeは、リモートアクセスツール(RAT)として広く利用されるツールです。攻撃者はこれを使用してネットワーク内に侵入し、データを盗むためのプラットフォームを提供します。Cobalt Strikeを使用することで、攻撃者はターゲットのネットワーク内で自由に移動し、機密データを取得することができます。


・WinSCP

 WinSCPは、ランサムウェア攻撃においてデータ盗用に使用されています。攻撃者は、WinSCPという人気のある安全なファイル転送ツールを利用して、被害者のシステムから盗んだデータを転送します。WinSCPは、Secure Copy Protocol (SCP) を介してデータを転送するため、攻撃者がランサムウェアを展開する前に機密情報を外部に流出させることを可能にします。


対策

 生成AIを使用することで、ランサムウェアの作成や、標的型攻撃メール作成のハードルは低くなっています。更に、ランサムウェア攻撃者は、データを盗むための新しいツールと手法を次々と採用しており、これらに対する防御策の強化が求められています。

 弊社が展開するNonCopy 2は、エンドポイント端末からのデータ盗用防止を目的としたセキュリティ製品となります。万が一ランサムウェアに感染した際に、データ盗用のリスクを軽減させることができると考えます。 NonCopy 2についての詳細は以下をご覧ください。

NonCopy2についてはこちら

 また、以下に弊社が参画する国立研究開発法人情報通信研究機構(以降、NICT) のCYNEXアライアンス(CYNEX Co-Nexus E)における共同研究の一環として、弊社の情報漏洩対策製品であるNonCopy2(以降、NC2)を検証した結果も公開しておりますので、ご興味のある方はご覧ください。

検証結果報告書はこちら