VPN機器を介して侵入してくる、ランサムウエア攻撃の流れを確認しよう。データの暗号化が注目されがちだが、実は攻撃者は侵入後すぐに暗号化するわけではない。大きく8つのフェーズをたどって、最後にデータを暗号化することが多い(図2-1)。順に見ていこう。
図2-1●最近のランサムウエア攻撃の流れ
ランサムウエア攻撃者は標的のネットワークに侵入してすぐにランサムウエアでデータを暗号化するわけではない。様々な工程を経て、データを窃取してから仕上げにランサムウエアを実行することが多い。
[画像のクリックで拡大表示]
1 侵入
まずは侵入方法だ。攻撃者がVPN機器から標的企業のネットワークに不正侵入する手口は、大きく2つある(図2-2)。1つは正規の利用者になりすます手口だ。流出した認証情報*1を悪用したり、パスワードの文字列を総当たりで入力するブルートフォース攻撃を仕掛けたりして、正しい認証情報でVPN機器の認証を突破する。
図2-2●VPN機器を介した侵入方法
ランサムウエア攻撃者がVPN機器を経由してネットワークに侵入する際の手口は、大きく2つある。1つが正規の利用者の認証情報を悪用する方法で、もう1つがVPN機器の脆弱性を悪用する方法だ。
[画像のクリックで拡大表示]
もう1つは、VPN機器の脆弱性を突く手口だ。認証の仕組みを迂回してネットワークに侵入できる危険な脆弱性が、過去に幾つか見つかっている*2。攻撃者はこうした脆弱性を突いて侵入する。
本特集の一覧
