ランサムウェアの対策方法

ランサムウェア攻撃とは

ランサムウェアによる被害は過去20年にわたって増え続けており、隙を突いた「スマッシュアンドグラブ」スタイルの攻撃から、慎重に組織化された攻撃へと変化しています。 個人と企業はいずれもランサムウェアの餌食になっており、2021年には被害者が支払った身代金の平均額は57万ドルにのぼりました。

このブログでは、ランサムウェアの概要について説明し、ランサムウェア攻撃を防ぐために組織が取るべき対策を紹介します。

ランサムウェアとは

ランサムウェアは、コンピューター上で被害者に金銭の支払いを強要するために使用されるマルウェアの一種です。 ランサムウェアにより被害者のコンピューターがロックまたは暗号化されると、攻撃者は画面に警告を表示して、被害者から金銭を脅し取ろうとします。 被害者は、身代金を支払わない限りアクセスを回復できないと脅されます。

ランサムウェアの攻撃者は、攻撃キャンペーンがどれほどお金になるかを知っており、個人ユーザーを恐喝するだけでなく、企業全体や重要なインフラストラクチャーを妨害するなどして攻撃の範囲を広げています。

ランサムウェアのコンピューターへの感染経路

ランサムウェアの感染経路としては、悪意のある添付ファイルを含むフィッシングメールや、ドライブバイダウンロードが一般的です。 ドライブバイダウンロードとは、感染したWebサイトにユーザーが知らずにアクセスし、気づかないうちにマルウェアをダウンロードおよびインストールさせられてしまう攻撃手法のことです。

ランサムウェアの開発者は、マルウェアにワームなどの機能を組み込んでいるため、企業のネットワーク全体に自動的に拡散してしまいます。 そのため、最初にアクセスしたコンピューターが修復されたとしても、ランサムウェアは引き続き存在することになります。

ランサムウェアの進化

前述のとおり、ランサムウェアのサイバー犯罪者たちは攻撃手法を変えてきています。 2019年頃からは、隙を突いた「スマッシュアンドグラブ」攻撃から、計算高い「高度標的型攻撃（APT）」スタイルの攻撃へと移行しています。 この攻撃スタイルにより、サイバー犯罪者は感染したホストを暗号化する前に重要なデータを盗み出すことができ、多様な手口の恐喝へとつなげることができるのです。 サイバー犯罪者は、感染したホストの暗号化解除だけでなく、重要なデータを公開することを組織への恐喝手段として用いるようになっています。 この戦略により、サイバー犯罪者たちはより大きな収益を得るようになりました。

このような多様な手口の脅威によって攻撃者の影響力は増し、被害者は支払いを迫られるようになりました。 Foxconnが攻撃された際に最初に提示された身代金が3,400万ドルであったように、要求額は非常に高額になっており、2022年にはこの傾向がさらに強まると私たちは予想しています。

一般的なランサムウェアの亜種

ランサムウェアは、さまざまな種類があるマルウェアの一種です。 すべてのランサムウェアは、復旧のために身代金の支払いを要求するという共通の特徴を持っていますが、すべてが同じように動作するわけではありません。

以下に、その代表的なものを紹介します。

• ロッカーランサムウェアは、最初に発見された種類とみなされています。 その名前のとおり、ユーザーをコンピューターからロックし、何らかの形式で支払いを要求します。 駆除にシステムのワイプが必要になることが多いため、最悪の被害を出すバージョンの1つです。 残念ながら、身代金を支払っても問題が解決するとは限りません。ハッカーにより、身代金が支払われた後もパスワードを盗むソフトウェアが組み込まれている場合があります。
• 暗号ランサムウェアの主な特徴は、暗号通貨の形式で支払いを要求されることです。 ハッカーはユーザーのファイルをロックし、匿名の暗号通貨アドレスを介して支払いを要求するのが一般的です。
• リークウェアは、ユーザーの情報を盗み出し、支払いをしなければデータを公開すると脅迫する攻撃です。 攻撃対象となるデータには、銀行情報、連絡先、親密な写真、個人文書などがあります。 被害者をパニックに陥らせるように仕向ける手口であることから、特に成功率が高くなっています。
• スケアウェアは、通常偽のセキュリティソフトウェアを装っています。 ダウンロードすると、問題があるとの警告が表示され、修復のための追加料金が要求されます。 場合によっては、たくさんの警告やポップアップが表示され、対策を講じるまでコンピューターを使用できなくなることもあります。
• サービスとしてのランサムウェア（RaaS）は、職業的犯罪者が使用するメタマルウェアの一種です。 ハッカーは、ランサムウェアの作成と配布を請け負い、その対価として支払い金の一部を受け取ります。 この種類のランサムウェアは特に危険です。復讐を望む人が誰でも利用できるため、特定の個人がターゲットにされる可能性があります。

ランサムウェアの対策方法

以下の手順は、成熟したセキュリティプログラムのベストプラクティスであると広くみなされています。 これらの手順を実行することで、ランサムウェア攻撃のリスクを軽減するための適切なポリシー、プロセス、手順を組織で確立できます。

1. システムを最新の状態に保つ。 攻撃の標的のほとんどが、脆弱性のあるアプリケーションやオペレーティングシステムです。 更新プログラムのパッチを適用して最新の状態を保つことで、攻撃者が悪用できる抜け穴を大幅に減らすことができます。

2. 重要なデータのバックアップとリカバリープランを作成する。 データやシステムの損失による影響を最小限に抑え、復旧作業を迅速に行うために、組織は定期的にバックアップを実行してテストする必要があります。 ネットワークに接続されたバックアップもランサムウェアの影響を受ける可能性があります。重要なバックアップを最も適切に保護するには、ネットワークから分離する必要があります。

3. インシデントレスポンス計画を作成する。 ランサムウェアインシデントへの対応と通知手順を含む、基本的なサイバーインシデントレスポンス計画と関連するコミュニケーションの計画を作成、維持、実行します。

4. サイバーセキュリティポリシーとベースラインの草案を作成する。 ファイアウォール、電子メールスキャン、アプリケーション許可リスト、リモートアクセスなど、特定のコントロールに関するポリシーとベースラインの作成を検討します。

5. 包括的なネットワークの可視化を実現する。 最新のランサムウェア攻撃者は、被害者のネットワークに侵入して重要なデータを盗み、恐喝の影響を最大化しようとします。 その結果、攻撃者は永続性を維持し、内部感染を拡散し、リモートアクセスツールを活用して、権限を昇格させていきます。 これらのアクションではすべてネットワークトラフィックが生成されるため、ネットワークに可視性があれば、セキュリティチームによる検出および修復が可能です。

6. 従業員の意識を高める。 フィッシングやソーシャルエンジニアリング攻撃に対抗するには、個人のセキュリティに関する知識が有効です。 添付ファイル、リンク、電子メールの信頼性を評価する方法を従業員に教育するための、セキュリティ意識の向上とトレーニングプログラムを導入します。

7. ウイルス対策ソフトでデバイスを保護する。 ランサムウェアの対策には、優れたウイルス対策ソフトが不可欠です。 問題が発見されると、すぐにユーザーに警告が届き、感染を簡単に駆除することもできます。 一部のウイルス対策アプリケーションには、低レベルの暗号化を行うマルウェアに対するランサムウェア復号ツールを無償で提供しているものもあります。

8. プロアクティブなスレットハンティングの能力を身につける。 スレットハンティングとは、ネットワークに潜むサイバー脅威をプロアクティブに察知することです。 サイバースレットハンティングでは、エンドポイントセキュリティの初期防御をすり抜けた悪意のある攻撃者を見つけるために、徹底的に調査します。

スレットハンティングは、インシデントの検出、レスポンス、修復という標準的なプロセスを強力に補完するものです。 セキュリティ技術が生データを分析して警告を発するのと平行して、スレットハンティングはクエリと自動化を用いて、同じデータからハンティングの手がかりを抽出する作業を実行します。

プロアクティブなハンティングにより、攻撃者がユーザーの環境にランサムウェアを展開する前に、セキュリティチームが潜在的な脅威を阻止できるようになります。

9. ゼロトラストのセキュリティ体制を導入する。 ゼロトラストのセキュリティ体制を導入することにより、ユーザー識別やアクセス制御が経路となるランサムウェアを防ぐことができます。 ランサムウェア攻撃の根本原因の多くは人為的なミスであるため、これは適切な判断と言えるでしょう。

ゼロトラストでは、内部および外部のユーザーは限られたリソースにしかアクセスできず、その他すべてのリソースを完全に隠すことができます。そのため攻撃対象領域を大幅に削減できます。 さらに、ゼロトラストにより、ランサムウェア攻撃や重要データの流出を防ぐために必要な監視、検出、脅威の検査機能が提供されます。

会社はランサムウェア攻撃の標的になっていますか？

この質問に対する簡潔な回答は、「はい」です。 特に最近のランサムウェア攻撃を考慮すると、すべての中小企業、会社、組織はどこも攻撃の対象となっています。

詳しく回答すると、やや複雑になります。 企業の脆弱性とランサムウェアへの対策能力は、サイバー犯罪者にとってデータがどれほど魅力的であるか、ネットワークトラフィックをどの程度可視化できているか、セキュリティ体制がどれほど成熟しているか、フィッシングメールに関するトレーニングをどれだけ従業員に徹底しているか、などの要因によって決まります。

結論

ランサムウェアへのアクセスが容易になり、金銭的な見返りが増えていることから、2022年以降もランサムウェア攻撃は増え続けていく見込みです。 大企業、重要なインフラストラクチャー、政府機関、教育機関、医療機関が、サイバー犯罪者の標的にされることが予測されます。

ランサムウェアを効果的に防ぐには、包括的なネットワークの可視化と、効果的な脅威の検出およびインシデントレスポンス機能との組み合わせが必要です。

• ハイブリッドクラウドの可視化 – Gigamonのハイブリッドクラウドの可視化ファブリックは、東西、IoT/OT、コンテナレベルのトラフィックを含む、移動中のすべてのデータを収集・集約し、盲点をなくします
• TLS/SSL復号 – Gigamonの集中型SSL/TLS復号は、C2および同様のアクティビティに暗号化されたチャネルを使用して、攻撃者からの隠れた脅威を発見するために必要な可視性を提供します
• NDR(Network Detection and Response) – GigamonThreatINSIGHT™ ガイド付きSaaS NDRにより、SOCの可視性のギャップが解消され、忠実度の高い攻撃者検出が提供されることで、情報に基づいた迅速なレスポンスが可能になります

従来のツールでは検出できない昨今の高度なランサムウェア攻撃の脅威を、Gigamonで防御してください。

注目のウェビナー

専門家の声 ネットワークの可視化と分析を最適化するための最新トレンドとベストプラクティスをご紹介します。