
랜섬웨어 피해의 실태, 일본 기업의 사례나 대책 방법을 해설
2023년 10월 27일
【Webinar】미국 독점 금지법과 지적 재산법: 최신의 문제와 동향 Part 3
2023년 11월 1일기업의 웹사이트와 서버에 대한 무단 공격은 끊임없이 일어나며, 모든 기업에서 사이버 공격 대책의 중요성이 높아지고 있습니다.그러한 사이버 공격의 기본적인 지식이나 최근의 동향, 공격의 목적, 구체예나 대책 등, 기업의 보안 담당자가 알고 싶은 정보를 해설.공격에 대한 예방책이나, 만일 감염했을 경우의 대처법, 유사에 대비해 제휴해 두고 싶은 사이버 시큐리티의 전문회사도 소개합니다.

사이버 공격이란?
사이버 공격이란, 서버나 PC 등의 컴퓨터 시스템에 대한 파괴 활동이나 데이터의 절취, 변조 등을 가리킵니다.불특정 다수의 개인이나 기업을 노린 것부터, 특정의 기업이나 국가를 노린 것까지 타겟도 다양하다.시스
사이버 공격의 최근 동향
사이버 공격이 인지되기 시작한 2000년경에는 무차별로 보낸 메일로 컴퓨터를 바이러스에 감염시켜 데이터 파괴를 하는 등 유쾌범적인 괴롭힘이 눈에 띄었습니다.그 후, 점차 공격 수단은 교묘해져 가고 최근에는 몸값 요구형 바이러스인 랜섬웨어 등에 의한 공격을 알아차리기 어려운 「눈에 띄지 않는 공격」이 주류가 되고 있습니다.
일본 국내뿐만 아니라 세계적으로 봐도 사이버 공격은 증가 추세에 있습니다.개인 스마트폰의 보급이나 기업에 의한 클라우드 활용 등 IT 인프라가 다양화하고 진화하는 가운데 공격 수법도 진화를 계속하고 있습니다.
사이버 공격의 목적
사이버 공격의 목적은 다양하지만, 요즘은 금전 목적의 범행이 증가하는 경향이 있습니다.국가나 기업의 정보를 훔치거나 부정 액세스하여 유출시키거나 하는 등의 정보 공작이나 도둑질, 스파이 활동 외, 정치적·사회적 주장을 목적으로 한 사상가들의 범행, 그리고 기업이나 국가의 시스템을 다운시키는 것으로 활동을 방해하는 등 다양한 목적으로 이루어지기 때문에 모든 기업에 있어서 타인사가 아닌 것이 사이버 공격입니다.
사이버 공격의 종류
사이버 공격은 매일 진보를 계속하고 다양한 종류가 존재하고 있습니다.각각의 수법에 대해 해설합니다.
악성코드
악성 코드는 컴퓨터와 같은 장치에 침입하여 악성 활동 소프트웨어의 총칭. 「Malicious(악의가 있는)」와「Software(소프트웨어)」를 조합한 말입니다.데이터의 파괴와 도둑질, 시스템에 대한 무단 액세스 등이 포함되어 대표적인 것으로 바이러스, 트로이 목마, 스파이웨어 등을 들 수 있습니다.
랜섬웨어
랜섬웨어는 악성 코드의 일종으로 몸값을 요구하는 바이러스를 말합니다.파일이나 데이터를 암호화하는 등으로 액세스 불가능하게 해, 복구와 교환에 몸값을 요구하는 것이 특징적인 수법으로, 최근에는 많은 국가나 기업이 큰 피해를 받고 있습니다.
노웨어 랜섬
노웨어 랜섬(Noware Ransome)은 새로운 사이버 공격 기법으로, 통상의 랜섬웨어 공격에서 보이는 데이터의 암호화를 생략하고, 절취한 데이터로 협박을 합니다.이러한 데이터의 암호화를 이용하지 않는 공격의 징후는 2021년경부터 볼 수 있고, 암호화가 없는 만큼 피해의 발생을 눈치채기 어렵다는 특징이 있습니다.
낚시 사기
불특정 다수를 타겟으로 하여 공격을 하는 피싱 사기는, 신용 카드나 넷 은행 등의 서비스가 되어, 이용자의 로그인 정보등을 훔칩니다.신용 카드를 악용되는 등 많은 사람들에게 친숙하고 피해의 끊임없는 수법입니다.
DoS 공격/DDoS 공격
DoS 공격 · DDoS 공격이란, 목표로 하는 서버에 대량의 액세스나 데이터를 보내는 사이버 공격.서버에 부하를 가하면 웹 사이트에 액세스가 실패하거나 서버가 다운됩니다.특정 기업에 대한 괴롭힘이나 공격 중지와 교환한 금전의 요구 등이 목적입니다.
목표 공격
타겟팅 공격은 특정 조직과 사용자를 타겟팅하는 사이버 공격입니다.고객이나 실재하는 기업이나 조직을 뒤집어 악의적인 파일을 첨부하거나, 악성 사이트에 유도하기 위한 링크된 메일을 보내거나, 단말을 바이러스에 감염시키려는 공격입니다.
사이버 공격의 주요 피해 사례
사이버 공격의 주된 피해 사례나 그 피해의 상황·내용에 대해서, 컴퓨터 바이러스·부정 액세스의 신고 사례로부터 일부를 소개합니다.
【출처】독립 행정법인 정보 처리 추진 기구 「컴퓨터 바이러스·부정 액세스의 신고 사례」
https://www.ipa.go.jp/security/todokede/crack-virus/ug65p9000000nnpa-att/000108764.pdf
컴퓨터 바이러스의 검출·감염 피해
기업의 PC 1대가 바이러스에 감염해, 원인은 Web 사이트의 열람에 의해 감염된 것으로 추측.대응으로서 감염된 PC의 초기화 등을 실시해, 신규의 PC를 구입.재발 방지책으로서, 웹사이트 열람시에 있어서의 컨텐츠 필터링의 적용을 철저히 했습니다.
몸값을 요구하는 사이버 공격 피해
기업의 서버에서 랜섬웨어로 보이는 부정한 액세스가 확인되어 조사한 결과 수백 대의 PC가 LockBit이라는 랜섬웨어에 감염되어 있는 것이 판명.공격자가 VPN 장치의 취약성을 악용하여 기업 시스템 내에 침입하여 PC 암호화를 한 것으로 추정되었다고 한다.네트워크 차단, OS 및 소프트웨어의 최신화 등과 함께 모니터링 및 보안 관리 체제의 강화를 실시했습니다.
취약성 및 설정 불량을 악용한 무단 액세스
기업이 운용하는 렌탈 서버의 웹 사이트에 의심스러운 페이지가 공개되고 있다는 연락을 받아 조사한 결과, 서버 내에 복수의 피싱 사이트를 확인.그 후 복구 작업을 진행하는 중에 서버가 동작 불능 상태가 되었기 때문에 재조사를 실시한 결과, 서버상의 시스템 영역도 포함한 파일의 삭제가 판명되었습니다.원인은, 취약한 버젼의 CMS를 사용하고 있었기 때문이라고 추측해, 재발 방지책으로서, 웹 사이트를 폐쇄해, 무단 액세스의 원인에 대한 대책을 실시한 다음, 보안이 강화된 서비스에의 마이그레이션 를 실시했습니다.
ID 및 비밀번호를 통한 인증을 통해 무단 액세스
기업이 운영하는 EC 사이트에서 특정 회원으로부터 단시간에 여러 번 주문이 이루어진 것을 발견.조사 결과, 공격자가 부정하게 회원 등록을 실시해, 신용카드의 유효성을 확인하는 공격이 행해진 것이 판명.신용카드 정보의 입력 횟수에 제한을 두지 않았기 때문에 공격자에게 악용된 것으로 추측.신용카드 입력 횟수의 제한이나, 공격이라고 판단한 액세스를 차단하는 기능을 가지는 서비스를 도입하는 등의 재발 방지책을 강구했습니다.
사이버 공격에 대한 대책
모든 기업과 개인이 대상이 될 수 있는 사이버 공격.다양한 사이버 공격으로부터 자신을 보호하기 위해 구체적으로 어떤 조치를 취해야 하는지를 설명합니다.
개인(종업원)이 취해야 할 대책
개인이 취해야 할 대책으로는
- 의심스러운 이메일 첨부파일이나 링크를 열지 않음
- OS 및 소프트웨어를 최신 버전으로 업데이트
- 악성 사이트에 액세스하지 않음
등을 들 수 있습니다.이를 통해 온라인 보안을 개선하고 사이버 공격으로부터 자신을 보호할 수 있습니다.
그 밖에도 중요한 데이터는 정기적으로 백업을 하고, 백업 데이터는 오프라인 또는 클라우드 스토리지에 저장해 두면 유사시에 당황하지 않게 됩니다.공공 Wi-Fi를 사용할 때는 개인정보를 전송하지 않는 것, 비밀번호를 강력하게 하고, 사용 주위를 하지 않는 것도 중요합니다.
기업이 취해야 할 대책
기업의 경우 개인보다 광범위하고 전략적인 접근이 요구되며 다음과 같은 조치가 필요합니다.
- EPP/EDR 도입, SASE 도입
- 외부 메모리 연결 및 웹 사이트 탐색 제한
- 직원에게 보안 교육 실시
- 사이버 보안 전문 기관에 상담
EPP / EDR과 같은 보안 소프트웨어의 도입은 기본입니다.리모트 워크가 일반화한 현재, 제로 트러스트의 관점에서, 엔드포인트의 보안을 포괄적으로 높이는 SASE(Secure Access Service Edge)의 도입이, 향후 주류가 되어 가는 흐름이라고 말할 수 있을 것입니다.
또한 직원의 보안 의식을 높이는 것이 중요합니다.이를 위해 회사 내 보안 정책을 수립하고 조직 내에서 철저히 합시다.또한 직원들은 정기적으로 사이버 보안 교육을 실시하고, 사이버 공격 정보를 공유하고, 안전한 비밀번호를 작성하고, 정보를 취급하는 것에 관한 주의를 하는 등 관리 체제를 정비합니다.트러블이 발생하지 않는 예방책 뿐만이 아니라, 유사시에 신속하게 해결에 이르기 위해서는, 사이버 시큐리티 담당자만으로는 대처가 어려운 경우도 있습니다.사이버 보안 전문 기관과의 협력 체제를 정비해 두면 안심입니다.
사이버 공격을 받았을 경우의 대응
아무리 예방해도 예기치 못한 사고나 피할 수 없는 트러블도 있습니다.만일 사이버 공격을 받았을 경우의 피해 확대 방지나 XNUMX차 피해를 막기 위한 신속한 대응 방법에 대해 설명합니다.
감염된 정보 단말기 네트워크로부터의 차단
침해된 시스템을 네트워크에서 차단하거나 격리하고 오프라인으로 전환하면 감염된 장비에서 다른 장비로 감염되는 것을 방지할 수 있습니다.그러나 요즈음의 랜섬웨어에서는 네트워크에 침입해 관리자 권한까지 장악하고, 도메인 부하로 공격 범위를 확대해 나가는, 라테랄 무브먼트라고 하는 수법도 많이 볼 수 있습니다.따라서 네트워크를 단절하는 것만으로는 위험을 억제할 수 없을 가능성이 높고, 영향 범위나 피해 실태의 조사를 위해서도, 신속하게 전문가에게의 조사 의뢰를 진행하는 것이 적절합니다.
피해 내용 확인
어떤 공격이 발생했는지, 그 특성과 방법을 파악하고 영향의 범위를 파악해야 합니다.어떤 데이터나 시스템이 침해되었는지를 정확하게 파악하면 문제 해결의 계기가 됩니다.
해독 도구로 복원
중요 데이터는 백업에서 데이터를 복구하는 데 이상적이지만 일부 ransomware에서는 해독 도구를 사용할 수 있습니다.한편, 가짜 복호 도구도 존재하므로 요주의.피해를 최소화하기 위해 적절한 방법을 선택하고 신속하게 수행해야합니다.
사이버 보안 전문가에게 조사 요청
두 경우 모두 사내 보안 담당자만으로 해결하기에는 난해하고 복잡한 안건이 많아, 교묘화하는 수법에 대응하기 어려운 것이 현실.초동이 지연되면 피해가 확대될 위험도 있습니다.사이버 공격을 받은 경우는, 신속하게 전문가에게 조사 의뢰를 하는 것이 현명한 선택이라고 할 수 있을 것입니다.
사이버 공격에 대한 대책, 공격을 받았을 때의 대응은 FRONTEO에 상담
해킹이나 악성코드 감염의 피해를 발견했을 때, 정보 유출 등의 피해 상황, 바이러스 감염이나 무단 액세스가 있었는지, 그것이 어떤 경로였는지 등을 조사할 필요가 있습니다.보안 피해가 계속 증가하고 있는 가운데, 원인의 조사나 해설, 예방까지 사이버 공격에 관한 모든 상담을 받아들이고 있는 전문회사도 존재합니다.개인정보를 취급하는 기업이라면 사실관계를 신속하게 파악하고 관계 각처에 보고할 의무도 있으며, 이 일련의 대처를 가능한 한 신속하게 실시하기 위해서는 전문업자의 지원이 필수적입니다.
10,600건 이상의 부정조사 실적을 자랑하는 FRONTEO는 최근 복잡해지는 사이버 공격에 대응 가능한 '사이버 보안 조사 패키지'를 제공하고 있습니다.여러 조사를 패키징함으로써 특히 중소기업 인시던트의 초기 대응을 신속하게 지원하는 체제를 강화하였습니다.사이버 공격 조사에는 유사시에 최소한 필요한 조사를 정리한 FRONTEO의 「사이버 보안 조사 패키지」가 효과를 발휘합니다.