アスクルやアサヒも被害に遭った｢ランサムウェア攻撃｣､最近は個人の端末ではなく《"サーバーや開発者"を標的にする手口も》意識改革が必要

「攻撃者側が長くビジネスを続けたいのであれば、身代金が支払われれば、復旧させるはずです。払ったら復旧できると思わせたほうが支払う可能性が高まるからです」（阿部氏）

とはいえ、それは確率論でしかありません。被害額と要求額を天秤にかける以前に、法的なリスク、そして何より犯罪を助長するという現実があります。

ただし、例えば病院のシステムがランサムウェア被害に遭い、急いで復旧させないと人命に関わる事態となれば、判断は難しくなります。ここに、ランサムウェア対応の根深い問題が横たわっています。

標的は「仮想基盤」へ、被害の最大化狙う攻撃者

ランサムウェア攻撃は、どのようにして企業システムの中枢に到達するのでしょうか。侵入の入り口として、VPNやRDP（リモートデスクトップ）といった外部からのリモートアクセス経路の脆弱性が狙われる点は、今も昔も変わりません。

それに加え、最近ではセキュリティ装置そのものや、公開されているサーバーの未知の脆弱性を悪用するケースも目立ちます。しかし、阿部氏が警鐘を鳴らすのは、侵入「後」のターゲットの変化です。

「以前は、端末が狙われていましたが、最近は仮想化基盤そのものや基幹システムを狙っています。サービスインフラそのものをすべていきなり暗号化できるので、効率がいいのです」（阿部氏）

攻撃者の目的は、被害規模を最大化させることです。社員個人のPCを1台ずつ暗号化するよりも、基幹システムが乗っている仮想基盤などを丸ごと暗号化するほうが、はるかに効率的で、事業に与えるダメージも壊滅的です。そうなれば、連携するすべてのシステムが停止し、身代金の要求額を吊り上げる交渉材料となります。

なぜ、今になってサーバー側が狙われるのでしょうか。そこには防御の非対称性が関係しています。多くの企業がPC端末にはEDR（Endpoint Detection and Response）などの高度なセキュリティソフトを導入し、防御が固くなってきました。