목차
- 일본 랜섬웨어 피해 보고 건수의 추이
- 피해 기업·단체 등의 규모
- 감염경로
- 복구 등에 필요한 기간·비용
- 백업 취득·활용 상황
- 랜섬웨어와 관련된 유출사이트의 상태
- 요약
- Appendix 2024년 주목의 제품・서비스
1.일본 랜섬웨어 피해 보고 건수의 추이
기업·단체 등에서 랜섬웨어 피해로, 2023년에 토도부현 경찰에서부터 경찰청에 보고된 건수는 197건이며, 2022년 상반기 이후 높은 수준으로 추이된 것으로 나타났습니다.
최근 사례에서는 기업·단체 등 네트워크에 침입하여 데이터를 암호화하는 것(랜섬웨어 사용)없이 데이터를 도취 한 후 기업, 단체 등에 대가를 요구하는 수법(“노웨어 랜섬”)에 의한 피해가 새롭게 30건 확인되었습니다.
2.피해 기업·단체 등의 규모
랜섬웨어로 인한 피해(197건)의 내역을 기업·단체 등의 규모별로 보면 대기업은 71건, 중소기업은 102건이며 그 규모를 불문하고 피해가 발생했습니다. 또한 산업별로 보면, 제조업은 67건으로 가장 많고, 다음에 도매·소매업이 33건, 서비스업이 27건 입니다만 전반적으로 업종과 관계없이 피해가 발생하고 있습니다.
3.감염경로
랜섬웨어 감염경로는 VPN 장비로부터의 침입이 73건으로 63%, 원격 데스크톱에서 침입이 21건으로 18%를 차지하고, 텔레워크 등에 이용되는 장비등의 약점이나 강도가 약한 인증정보 등을 이용하여 침입했다고 가능한 물건이 약 82%로 대부분을 차지했습니다.
4.복구 등에 필요한 기간·비용
복구에 필요한 기간은 복구까지 1개월 이상이 걸리는 것이 28건이었습니다.
또한 랜섬웨어 피해와 관련하여 필요한 조사 및 복구 비용의 총액에 대해서는 1,000만엔 이상의 비용을 필요로 하는 것이
44건으로 37%를 차지했습니다.
5.백업 취득·활용 상황
피해를 입은 시스템 또는 장비의 백업 취득 상황은 백업을 취득함이 132건으로 94%를 차지했습니다. 또한 취득한 백업에서 복원을 시도한 126건의 대답 중, 백업에서 피해 직전 수준까지 복원할 수 없었던 비율은 105건으로 83%였습니다.
6.랜섬웨어와 관련된 유출사이트의 상태
2023년에 있어서도 랜섬웨어에 의해 유출된 정보 등이 게재되어 다크 웹상의 유출사이트에 일본 사업자 등의 정보가 게시됨을 확인할 수 있었습니다. 게재된 정보에는 제품 개발에 관한 정보와 회계 정보 등이 포함되어 있었습니다.
7.요약
이번에는 경찰청 발표의 “2023년의 사이버 공간을 둘러싼 위협의 정세 등에 대해”를 통해서, 일본의 랜섬웨어 피해 상황에 대해 알려 드렸습니다.
2023년, 토도부현 경찰에서 경찰청에 보고가 있었던 랜섬웨어 피해 총수는 197건으로, 2022년 이후 가장 높은 수준을 유지하고있었습니다. 피해 조직의 내역을 보면 규모나 업종을 불문하고, 다양한 조직에서 피해가 발생하고 있기 때문에, 모든 조직에 있어서 발생할 수 있는 사업 리스크라고 말할 수 있습니다.
감염경로는 80% 이상이 네트워크 기기를 경유한 방법이었습니다. 기존 메일을 통해 재택근무 등에서 사용되는 VPN기기, 원격 데스크톱의 취약성, 강도가 약한 인증 정보 등을 악용하는 공격이 주류가 되고 있음을 알 수 있었습니다. 침입경로가 된 장비의 약60%는 보안 패치가 지원되지 않는 상태였습니다.
피해 조직의 바이러스 백신 소프트웨어의 도입은 90% 이상(131건)으로 높았지만, “랜섬웨어 검출이 없었다”와 같은 사례는 약 80%(89건)로 올랐습니다. 지난 랜섬웨어 공격에서는 바이러스 대책 백신 소프트웨어의 정지 및 무효화와 같은, 검출의 눈을 재빨리 빠져나가는 수법이 확인되고 있습니다.
이번 내용에서 주목하고 싶은 것으로는 복구의 열쇠가 되는 데이터 백업입니다. 90% 이상의 조직이 백업을 하였지만, 80% 이상은 “피해 전의 수준까지 복원할 수 없었다”라고 대답하고 있습니다. 복구가 어려워지는 원인으로 생각되는 것이 “백업 암호화”입니다. 약 70%의 조직이 이 피해를 받고 있습니다.
랜섬웨어 등의 사이버 공격에 대비하여 많은 조직이 백업을 취득하고 있지만, 적절한 취득이나 관리가 되어 있지 않아 복원이 불가능해 복구가 장기화하고 있는 상황을 알 수 있습니다.
보안 대책은 악순환이 계속되지만 최신 공격에 대응할 수 있는 솔루션, 기능의 제공이 요구되고 있습니다.
8.Appendix 2024년 주목의 제품・서비스
Menlo 보안사용 Microsoft 365 대상 웹무해화 서비스 발표
미츠이 정보(MKI)는 웹무해화 클라우드 서비스 MKI Protect+라이선스를 발표했습니다.
MenloSecurity Secure Enterprise Browser는 미국 Menlo Security가 개발하여 제공하는 웹무해화 클라우드 서비스입니다.
일종 JavaScript를 포함한 웹페이지나 매크로를 포함한 오피스 문서 파일 등에서 유해한 코드를 제거하고 코드를 포함하지 않은 HTML페이지로 변환합니다.
사용자가 접속하는 웹콘텐츠를 일단 클라우드의 가상 환경 (컨테이너)상에 있는 웹브라우저로 실행하고, 표시하는 데 필요한HTML의 그리기 정보만을 사용자의 웹브라우저에 보내는 구조입니다. 사용자는 전용 웹브라우저나 소프트웨어, 플러그인 등을 설치해야 할 필요가 없어지는 것입니다.
맥니카, 보안 운영 자동화 SOAR 소프트 “Swimlane Turbine”를 판매
맥니카는 미국 Swimlane의 SOAR 소프트웨어 “Swimlane Turbine”를 판매한다고 발표했습니다.
이 제품은 SOC에서 일상적인 보안 운영에서 발생하는 수동 작업을 자동화합니다. 대량의 경고로부터 대응해야 할 경고를 선정해, 인시던트에의 대처를 자동으로 실시하는 것입니다.
또한 외부보안 제품과의 커넥터를 여러 개 준비하고, Webhook나 API등을 통해 데이터를 캡처할 수 있습니다. 또한, AI 기능도 갖추고 있어 스크립트 코드의 작성이나 케이스의 요약 등을 지원합니다.
“사이버 공격에 대처하기 위해 기업은 여러 보안 제품을 도입하고 있습니다. 그러나 이러한 제품이 출력하는 대량의 경고에 한정된 인원수로 대처하는 문제나 조직이나 부서마다 다른 제품을 이용함으로써 사일로화 문제에 직면하고 있습니다. SOAR는 이러한 문제를 해결하는 메커니즘이 있습니다. 요즘, 플레이북 (운용 절차서)의 로우 코드 작성 대응이나 AI 활용 등 기능 강화가 진행되고 있습니다.”