ノーウェアランサムとは？被害の特徴や対策方法を紹介

ノーウェアランサムとは、従来型のランサムウェア攻撃とは異なり、データを暗号化せずに標的から情報を窃取し、情報の公開を脅迫することで身代金を要求する新たなサイバー攻撃手法です。

「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」の報告書でも取り上げられており、暗号化を使用せずにデータを窃取して対価を要求する特徴が説明されています。
ノーウェアランサムの手法による被害は、すでに日本国内でも確認されており、企業や組織にとって新たなセキュリティリスクとして認識しなければなりません。

従来の暗号化に依存しない手法のため、検知が困難であり、対策の見直しが求められています。

出典：警察庁/令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について

ランサムウェアとの違い

ランサムウェアとノーウェアランサムの違いは、攻撃手法と脅迫方法にあります。従来のランサムウェアは被害者のデータを暗号化し、復号キーと引き換えに身代金を要求することが特徴です。
一方で、ノーウェアランサムはデータを暗号化せず、単に機密情報を窃取して、それを公開すると脅して金銭を要求します。

ノーウェアランサムが台頭している背景には、ランサムウェア攻撃が広く認知されるようになり、多くの企業がデータバックアップを強化したことがあります。バックアップがあれば暗号化されても復元できるため、攻撃者は戦略を変更し、データ流出の脅威を利用するようになりました。

ノーウェアランサムが問題になっている理由

ノーウェアランサムは情報漏洩を脅威として利用するため、単なる金銭的損失だけでなく、企業の評判や顧客・取引先との信頼関係に長期的かつ深刻な影響を与えかねません。また、攻撃への対応は、情報漏洩の防止策や影響緩和だけでなく、法的責任の問題や各種規制への対応など、組織に多角的な取り組みを強いられます。

ノーウェアランサムへの対応の複雑さと負担の大きさが、被害組織を追い詰め、最終的に攻撃者の身代金要求に応じざるを得ない状況を生み出しているのが現状です。ノーウェアランサムによる攻撃者の戦略が成功し、さらに攻撃が増加する悪循環が生まれています。

ノーウェアランサムの特徴として次の内容が挙げられます。

• 被害を早期に発見するのが難しい
• 攻撃により被害が出るまでのスピードが速い
• 攻撃の対象となる範囲が広い

特徴を詳しく解説します。

被害を早期に発見するのが難しい

ノーウェアランサムには、被害を早期に発見するのが難しい特徴があります。従来型のランサムウェアと異なり、データの暗号化を行わないため、システムの機能停止など明らかな異常が発生せず、組織が攻撃の被害に気づきにくいことが特徴です。

また、ノーウェアランサムは正規のファイルアクセスと見分けがつきにくく設計されており、システムパフォーマンスへの影響も最小限に抑えられているため、通常の業務中に異変を感じることが難しい特性もあります。

マルウェア自体が痕跡を残さない巧妙な設計になっていることも多く、一般的なアンチウイルスソフトでの検出も困難です。被害に気づいた時にはすでに重要な情報が窃取されている可能性が高く、対策が後手に回りやすい点が、ノーウェアランサムの危険性を一層高めています。

攻撃により被害が出るまでのスピードが速い

ノーウェアランサムのもう1つの特徴は、攻撃から被害発生までのスピードが速い点です。ランサムウェアでは、データの暗号化が必要な一方で、ノーウェアランサムは暗号化を行わずに情報を盗むだけのため、攻撃プロセス全体がより迅速に完了します。

データの暗号化には時間とリソースが必要ですが、ノーウェアランサムは暗号化プロセスを完全に省略することで、攻撃者は短時間のうちに大量のデータを窃取可能です。攻撃から脅迫までの時間的猶予が極めて短いことが、ノーウェアランサムへの効果的な対応をさらに困難にしています。

攻撃の対象となる範囲が広い

ノーウェアランサムは、ランサムウェアでは攻撃対象とならなかった範囲も対象とする点が特徴として挙げられます。業種を問わずあらゆる組織を標的とするため、注意しなければなりません。

従来型のランサムウェア攻撃では、システムの暗号化によって業務が停止し、人命が失われる可能性のある医療機関などの重要インフラ施設では、倫理的な観点から攻撃対象から外されるケースもありました。

一方で、ノーウェアランサムによる攻撃では、データの暗号化を行わないため、標的組織の業務を直接停止させることはありません。従来なら避けられていた重要施設も含め、機密情報を持つあらゆる組織が攻撃対象となり得ます。

ノーウェアランサムの被害を防ぐためには次のような対策が効果的です。

• ネットワークセキュリティを強化する
• データの暗号化と定期的なバックアップをする
• 従業員のセキュリティ意識を高める

それぞれの対策の詳細を解説します。

ネットワークセキュリティを強化する

ノーウェアランサムの被害を防ぐための対策として、ネットワークセキュリティの強化が挙げられます。多層防御の導入や脆弱性を悪用されないよう定期的なセキュリティパッチの適用、ネットワークのセグメンテーションが重要です。

ネットワークを適切にセグメント化することで、万が一攻撃者が組織内に侵入してしまった場合でもネットワーク内部での水平移動を制限し、被害の拡大を防げます。

また、攻撃者がよく利用するVPNやリモートデスクトップなどの経路を通じた侵入に対しては、NDR（Network Detection and Response）を活用した異常検知も効果的です。正規のアクセスを装った不審な活動を早期に発見し、データ窃取が本格化する前に対処することが可能です。

データの暗号化と定期的なバックアップをする

ノーウェアランサムに対する効果的な防御策として、データの暗号化と定期的なバックアップの実施も重要です。機密性の高いデータを暗号化して保存することで、たとえ攻撃者がデータを窃取したとしても、その内容を解読できないため、情報流出のリスクを大幅に軽減できます。

また、定期的なデータバックアップを実施することで、被害を受けた際の迅速な業務復旧が可能です。攻撃者によるデータの改ざんや削除が行われた場合でも、バックアップから速やかにデータを復元できるため、業務の継続性を確保できます。

従業員のセキュリティ意識を高める

ノーウェアランサム対策として、従業員のセキュリティ意識向上も欠かせません。定期的なセキュリティトレーニングや、不審な事象を迅速に報告できる環境整備を通じて、組織全体のセキュリティ文化を醸成することが必要です。

また、技術的対策としてIDaaS（クラウド型ID管理サービス）の導入も効果が見込めます。IDaaSは多要素認証機能を備えており、パスワードだけでなく追加の認証要素を要求することで、認証情報が漏洩した場合でも不正アクセスを防止できます。

さらに、アクセス権限管理機能により、各従業員に必要最小限の権限のみを付与することで、万が一侵入された場合でも被害を局所化できることも特徴です。人的・技術的対策を組み合わせることで、ノーウェアランサムに対する組織の耐性を高められます。

本記事では、ノーウェアランサムの解説をしました。新種のサイバー攻撃は、従来のランサムウェアとは手法が異なります。データを暗号化する代わりに、企業にとって重要な情報を窃取し、その情報を公開することを人質に金銭を要求する攻撃方法です。

攻撃が急増している要因は、企業がランサムウェア対策としてデータバックアップを強化したことに対する、攻撃者側の戦略転換があります。ノーウェアランサムへの対処には複雑かつ広範な対応が必要となり、負担の大きさが被害組織を窮地に追い込み、最終的に身代金の支払いに応じるケースが増えています。

ノーウェアランサムの対策として認証を強化するIDaaSを検討される際には、ぜひお気軽にサイオステクノロジーへご相談ください。