アスクルやアサヒも被害に遭った｢ランサムウェア攻撃｣､最近は個人の端末ではなく《"サーバーや開発者"を標的にする手口も》意識改革が必要

一方で、社内ネットワークの内側にあるサーバー群は、可用性重視を理由に、パッチ適用やセキュリティ対策が手薄になっているケースが多いのが現状です。攻撃者から見れば、一度侵入してしまえば防御が薄く、しかも最も価値のある情報資産が眠るサーバーセグメントは、格好の標的となっているのです。

ボイスフィッシングで情シス担当者を巧みにだます

攻撃対象がPCからサーバー基盤へ移行するに伴い、攻撃者が内部で探す情報や、標的とする「人」も変化しています。従来は、AD（アクティブディレクトリ）を掌握して全社員の端末を一斉に暗号化するのが主流でした。しかし今は、サーバーセグメントや仮想基盤の管理者権限を探します。

「端末を狙うのであれば、どの社員を狙ってもいいのですが、仮想基盤や基幹システムを狙うのであれば、システム管理者や開発エンジニアを狙う必要があります。最近は、標的に関しても少しずつ変化してきているのです」（阿部氏）

とくに開発エンジニアを狙う手口は巧妙化しています。例えば、開発者が利用する「GitHub Desktop」というツールの偽物を用意し、マルウェアに感染させて認証情報を抜き取る手口が9月上旬に発見されました。

さらに、「npm」のようなパッケージ管理システムに汚染されたライブラリを紛れ込ませ、正規のアップデート手順を踏んだサーバーにバックドアを仕込むといった、サプライチェーン攻撃も観測されています。

さらに古典的かつ強力なのが、「ボイスフィッシング」です。

「ボイスフィッシングでは、まず会社の代表電話に『○○サービスのサポートです』と連絡してきます。『御社が使っているクラウドでセキュリティインシデントに巻き込まれた可能性があるので、システム担当とつないでください』と言い、システム担当に代わったら『確認のためワンタイムパスワードをわれわれに共有いただければその場で調べます』とだますのです。すると、本当は人に教えてはいけないのに教えてくれることもあります。そうなれば、侵入成功です」（阿部氏）