BLOG ブログ

AIを使ったランサムウェア攻撃と、あらためて考えたいバックアップ

AIを使ったランサムウェア攻撃と、あらためて考えたいバックアップ

AIを使ったランサムウェア攻撃が確認された、という記事が出ていました。

GIGAZINEの記事では、セキュリティ企業が報告した事例が紹介されています。人間が一つひとつ操作するのではなく、AIが攻撃の流れを組み立てながら進めたとされるものです。

攻撃の入口になったのは、AI関連の開発ツールに残っていた既知の弱点でした。そこからIDやパスワードなどの情報を探し、別のシステムへ移動し、最終的にデータベースの情報を暗号化・削除するような動きが確認されています。

ここで注意したいのは、AIだからといって、まったく新しい魔法のような攻撃手法が出てきたわけではない、という点です。

使われている内容自体は、システムの弱点を突く、IDやパスワードを探す、外部から見えるサーバーに侵入する、データベースを攻撃する、といった従来からある攻撃の組み合わせです。元になったセキュリティ企業のレポートでも、個々の手法は特に新しくも高度でもないと説明されています。

では何が問題なのかというと、攻撃の「速さ」と「簡単さ」です。

今回の事例では、攻撃が失敗したあとに、AIが短時間で別の方法を試した様子も報告されています。GIGAZINEの記事でも、ログイン失敗から再侵入まで31秒しかかからなかった例が紹介されています。

人間が画面の前で試行錯誤していた部分を、AIがかなりの速度でつないでいく。攻撃側にとっては、そこが大きなメリットになります。

一方、防御側がやるべきことは、急に全部変わるわけではありません。

JPCERT/CCのランサムウエア対策でも、ファイルやシステムの定期的なバックアップ、不要な機能の停止、OSやアプリケーションを最新の状態にアップデートすることなどが挙げられています。

つまり、基本に忠実に、

  • OSやソフトウェアを更新する
  • 使っていない機能を止める
  • 管理画面やデータベースを外部から直接触れないようにする
  • パスワードなどの管理を見直す

といった対策は、引き続き重要です。

ただし、AIによって攻撃が速くなるのであれば、「侵入されないようにする」だけでなく、「侵入されたあとに復旧できるか」がより重要になります。

特にランサムウェアでは、バックアップを取っているつもりでも、実際には復旧できないというケースがあります。バックアップ先も一緒に暗号化されてしまう、バックアップの世代が足りない、復元手順を誰も試したことがない、といった問題です。

国のランサムウエアによるサイバー攻撃に関する注意喚起でも、バックアップは引き続き有効としたうえで、バックアップデータから実際に復旧できることを確認する、システムの再構築を含む復旧計画を確認する、といった点が挙げられています。

バックアップは「取っているか」だけでは足りません。

大事なのは、

  • どのデータをバックアップしているか
  • どのくらい前の状態まで戻せるか
  • ランサムウェア感染時にもバックアップが守られるか
  • 誰が、どの手順で、どのくらいの時間で戻せるか
  • 実際に復元を試したことがあるか

というところです。

中小企業では、すべてを高度な仕組みにするのは現実的でないこともあります。まずは重要なデータと業務を整理し、「これが止まると困る」というものから、バックアップと復旧手順を確認していくのが現実的です。