ランサムウェア攻撃とは

ランサムウェアとは、マルウェア(悪意のあるソフトウェア)の一種で、被害者が身代金を支払うまでシステムを「ロック」したり、ファイルを暗号化したりするものです。通常、身代金は暗号通貨で支払われ、支払いが完了すると被害者にはファイルやシステムへのアクセスを回復するための復号化キーが送られます。ランサムウェアは、サイバー犯罪者が好む脅迫手口として急速に広まっています。リモート ワークやハイブリッド ワークではエンドポイントに新たな脆弱性が生じるため、ハッカーはこの手口を利用して機密データの窃取を狙っています。

2022年版 ランサムウェア レポートを入手

ランサムウェア攻撃の仕組み

ランサムウェア攻撃は、通常、4段階で行われます。

 

1. 配信

第1段階である配信は、ユーザーに開かせるように設計されたフィッシング メールによって行われます。有名ブランドなどの信頼できる送信元から送られてきたように見せかけるメールがほとんどで、配送業者や銀行、大手小売業者などを装ったフィッシング メールの場合は、配送の遅延や不正購入、残高不足などを知らせる内容が一般的です。

この手のメールは、よく知る送信者からのものに見えるようにデザインされていますが、PDFやGoogle Driveのリンクなど悪意のあるファイルが含まれています。ファイルには、一旦開かれると悪意のあるコンテンツを被害者のシステムに落として攻撃を開始する、マルウェア ローダーが含まれています。

 

2. エクスプロイト

次の段階であるエクスプロイトでは、マルウェアが問題なくロードされると攻撃を拡散します。この第2段階は、通常、マルウェアをデバイスに送信するメールの添付ファイルを受信者が開いた後に始まります。

感染したデバイスがネットワーク上にある場合、マルウェアはデバイスが通信しているドメイン コントローラーを割り出して資格情報を盗み、ネットワーク内を移動しながら他のデバイスに感染を広げます。

 

3. コールバック

第3段階はコールバックです。ここでは、マルウェアのペイロードが盗まれたデータの送信先であるコマンド&コントロール(C2)サーバーとの通信を試みます。

 

4. デトネーション

C&Cサーバーは、最終段階であるデトネーションの実行方法をペイロードに送信します。ここで、マルウェアはデータを盗んでランサムウェアをインストールし、システムやデータを暗号化してロックすることで、個人や企業がアクセスできないようにします。データが永久に失われる前に身代金を支払うことができる期限が設けられますが、その期限の数時間前に身代金要求額が増加することもあります。

身代金を支払えば、データを取り戻すための復号化キーを入手できることがほとんどですが、必ずしもそうではありません。入手できたとしても、その復号化キーが機能するとは限らないのです。

最近の攻撃では、犯罪者が暗号化する前にデータを盗み出し、それを公開すると脅迫する動きも見られます。こうなると、確実にバックアップを取っていた場合でも、身代金を支払う可能性が高くなると考えられます。

ランサムウェアの感染は破壊的な攻撃であり、単に金銭を支払ってネットワークの制御を取り戻せばいいというものではありません。

Cybersecurity and Infrastructure Security Agency

ランサムウェア攻撃の歴史

ランサムウェアは、現在のサイバー犯罪者にとっては理想的なツールかもしれませんが、ランサムウェア自体は新しいものではなく、何十年も前からさまざまな形で存在してきました。

最初のランサムウェアは、1989年にJoseph Popp博士によって作られました。Popp博士は「AIDSに関する情報の導入編」と題したフロッピー ディスクをストックホルムの世界保健機関(WHO)のAIDS会議出席者に郵送しました。そのディスクには、MS-DOSシステムにインストールされ、ユーザーがコンピューターを起動した回数をカウントし始める悪意のあるコードが含まれていました。

起動回数が90回に達すると、トロイの木馬がすべてのディレクトリーを隠し、ドライブ上のファイルをすべて暗号化して使用不能にしたのです。被害者には、PC Cyborg Corporationからとするメッセージが表示され、そこには所有者のソフトウェア リースが期限切れになったため、アクセスを回復するためにパナマの住所に189ドルを送る必要があると記載されていました。

ランサムウェアの形を取ったサイバー攻撃の次の波は、「スケアウェア」と呼ばれました。致命的なエラーが発生したという警告がコンピューターに表示され、その後デバイスをクリーニングまたは修復するためのソフトウェアを購入してダウンロードのコマンドを受け取るように誘導されます。もちろん、そのソフトウェアはコンピューターから情報を盗むように作られたマルウェアです。

ファイル共有の普及に伴い、Police Locker攻撃と呼ばれる新しいランサムウェアが出現しました。この種の攻撃は、ピアツーピア型ダウンロード サイト、海賊版やアダルト コンテンツをホストするWebサイトに隠れていることが多く、ユーザーのデスクトップに細工を施して違法行為の疑いにより警察当局がコンピューターをロックしたとの内容を表示させます。ユーザーは恐怖心から、コンピューターのロックを解除してもらうために数百ドルを支払うケースが多発しています。しかし、この手の攻撃は、システムを再起動するだけでロックが解除される場合がほとんどです。

Learn more about encryption-less ransomware and other trends in the Zscaler ThreatLabz 2023 Ransomware Report.

ランサムウェア攻撃の種類と実例

無数の種類が存在するランサムウェアとランサムウェア グループの中でも、最も一般的でよく見られるものは以下のとおりです。

  • GandCrab: VirusTotal発表のRansomware in Global Contextによると、このランサムウェア ファミリーは2020年以降最も多発しているものであり、同レポートの作成過程で採取したサンプルの78.5%がこのファミリーによるものでした。
  • REvil:このグループは、法律、エンターテイメント、公共サービスの業界で大量の情報を盗み出します。最初に注目されたのは2020年5月でしたが、2021年3月~10月にかけてKaseya VSA攻撃を含む連続攻撃が毎月実施されました。
  • WannaCry: Microsoft Windowsのオペレーティング システムを標的とするランサムウェア クリプトワームであり、2017年の登場以来世界中で30万以上のシステムに影響を与えてきました。
  • Ryuk:このランサムウェア系統は、医療、公共サービス、教育などの業界、特に米国の学校関連システムに影響を与えた多くの脅威グループに関連しています。
  • DarkSide: DarkSideランサムウェア グループに関連するこの亜種は、2021年のColonial Pipelineへの攻撃に関与し、二重脅迫型ランサムウェアの最も注目すべき例の1つです。この攻撃は通常、サービスとして実施されます。
  • Evil Corp:このグループは、銀行の資格情報を盗むことで知られているフィッシング メールを介して展開されるマルウェアの一種であるDridexに関係しており、WastedLocker、BitPaymer、DoppelPaymerなどの他のタイプのランサムウェアにもこれまで関連付けられています。
  • Maze: 2019年5月に最初に確認されたこの亜種は、Cognizantに対するランサムウェア攻撃に使用され、一部の顧客にサービスの中断を引き起こしました。

ランサムウェア攻撃に対してどの程度安全なのか、無料のインターネット脅威エクスポ―ジャー分析でご確認いただけます。

How safe are you against ransomware attacks? Run a free Internet Threat Exposure Analysis to find out.

What Are the 7 Main Ransomware Attack Vectors?

Ransomware attackers are always working to find new ways to innovate their attacks, but several strategies stand out as the most popular (and effective) means of infiltrating systems. These are the most common ransomware attack vectors:

  • Phishing: Deceptive emails or similar messages, usually laden with infected links or attachments, trick users into letting ransomware onto their system.
  • Drive-by downloads: Attackers exploit software, OS, or browser vulnerabilities to enable stealthy downloads of ransomware when victim interact with compromised websites or links.
  • Software vulnerabilities: Attackers exploit weaknesses in applications or systems, giving them entry points into a network, where they can deploy ransomware directly.
  • Malicious websites: Attackers create fake or copycat sites that users mistake for legitimate ones, which host ransomware that they entice visitors into downloading under false pretenses.
  • Watering hole attacks: Attackers compromise legitimate websites used by their intended victims, and then use social engineering to trick visitors into downloading ransomware.
  • Remote Desktop Protocol (RDP) attacks: Hackers gain illicit access to RDP connections, generally by cracking or stealing login credentials, to deploy ransomware directly onto a target network.
  • Malvertising (malicious advertising): Attackers place infected ads on otherwise legitimate website, which infect systems with ransomware when victims interact with the ad.

身代金を支払う必要はあるのか

ランサムウェアに関する昔からの疑問点は「身代金を支払うべきか否か」というところです。

データが流出するリスクを考えれば、金銭を支払ってもいいという組織も多いのですが、果たしてそれは正しい対処法なのでしょうか。Gartnerのデータによると、「(支払いを行う組織の)80%は別のランサムウェア攻撃被害に遭う結果になる」としています。身代金を支払うというのはベスト プラクティスとはいえないかもしれません。しかし、悪意のあるアクターによってデータが世界中に公開されてしまうリスクがある中で、他にいい案はあるのでしょうか。

残念ながら、明確な答えはありません。GartnerのアナリストPaul Proctor氏は各自の捉え方次第だとして、次のように述べています。「盗まれたデータがビジネスに影響を与える度合いにかかっています。ビジネス上のマイナス面と身代金の額とを比較して最終決断をする必要があります」

ランサムウェアがビジネスに与える影響

ランサムウェアがあらゆる業界のビジネスに被害を及ぼしているというニュースを毎日のように耳にしますが、ここで再度ランサムウェアがどのように事業の基盤にダメージを与えるかについてを解説します。

金銭的な損失に加え、データも失う可能性

ランサムウェアがもたらす最も厄介な要素は、ランサムウェアを展開する側が、データを人質に取って返還と引き換えにまとまった金銭(ランサム=身代金)を要求するという点にあります。これだけでも、特に医療や公的機関、金融業界のほか、大量の機密データを取り扱う業界にとっては、ビジネスにとって絶体絶命のピンチとなります。

悪意のあるアクターからの要求を無視すると、データが公開されたり、最悪の場合、多額の金銭を支払ってデータを買い取ろうとする他の脅威グループにデータが公開されたりする危険性が出てきます。しかし、仮に身代金を支払ったとしても、データを取り戻せない可能性は十分あり得ます。だからこそ、ランサムウェアの防止がカギとなってくるのです。

組織の風評被害

身代金を支払うかどうかにかかわらず、犯罪被害に遭った事実を報告する義務があるため、いずれは組織名がニュースの見出しに載ることになります。このプロセスを通った組織はすでに多く存在し、ランサムウェアが進化し続ける中で企業側の対応が追い付かない状況が続く限り、その数は増える一方になります。

ランサムウェアの犠牲になった企業は、顧客からの信頼を失うことになりビジネス上の関係に影響が出ます。企業側に100%責任があるわけではなくても、既存顧客や今後利用を考えていた消費者がここは問題がある企業として偏見を持ってしまうことは避けられません。

法的影響に直面する可能性

実は、ランサムウェア攻撃に対して身代金を支払うことは違法です。2020年の判決では、米国財務省の外国資産管理局 (OFAC) と金融犯罪執行ネットワーク(FinCEN)は、ほとんどの場合において身代金を支払うことは違法であると宣言しました。

データや資本を失い世間のイメージが悪くなったところに追い打ちをかけられ、ランサムウェア攻撃のせいで弁護士費用もかかる可能性があるのです。

ランサムウェアを削除する手順

ランサムウェアを削除することはできますが、段階的なプロセスに従って細心の注意を払いながら行う必要があります。

ステップ1. 感染したデバイスを隔離

ランサムウェアを隔離して拡散を防ぐために、有線と無線すべての接続からデバイスを切断することを意味します。身代金がまだ要求されていない場合は、速やかにマルウェアをシステムから削除します。

ステップ2. 感染したランサムウェアの種類を調査

セキュリティの専門家またはツールの助けを借りて、削除する必要のあるランサムウェアを把握します。この過程で得た知識により、システムに侵入したランサムウェアの攻撃を軽減する方法の理解が深まります。

ステップ3. ランサムウェアを削除

ランサムウェア削除ツールやITセキュリティ専門家のサポート、または独自の手動プロセスで、ハード ドライブから感染を削除します。次に、ランサムウェア復号化ツールまたはその他の復号化ツールを使用して、人質となっている暗号化データを取り戻します。

ステップ4. バックアップでシステムを復元

システム ストアを使用するか、侵害されたOSからファイルを回復します。このプロセスの一環として、データをバックアップしておくことは、ランサムウェアがデータを暗号化した後でもアクセスできる唯一の方法として非常に重要です。これはランサムウェアとデータ侵害の両方に備えるベスト プラクティスといえます。

ランサムウェア対策

絶え間なく進化し、迫り来るランサムウェアの脅威に対応していくには、次のような原則とツールを含む効果的なランサムウェア対策戦略が不可欠です。

  • AI活用型サンドボックスで不審なコンテンツを隔離、検査する
  • すべてのTLS/SSLで暗号化されたトラフィックを検査する
  • オフネットワーク接続を考慮した常時オンの保護を実装する

最新のソリューションとプロアクティブな防御アプローチとの組み合わせは、現在のサイバーセキュリティ対策の中で最も効果的なランサムウェア保護モデルとして広く認識されています。

Zscalerのソリューション

Zscalerは、クラウド ネイティブなランサムウェア保護Zscaler Zero Trust Exchange™を通じて提供し、組織の安全を守ります。このプラットフォームには、以下のような特徴があります。

1. AI活用型のサンドボックス隔離を使用

クラウド ネイティブ プロキシー アーキテクチャーで構築された、AI活用型サンドボックスによる隔離機能では、ファイルを配信前に隔離して完全に分析できるため、ゼロ号患者による感染リスクをほぼ排除できます。従来のパススルー方式とは異なり、不審なファイルや未知のファイルを保留して分析するため、分析前に環境に送り込まれることはありません。

Zscaler Cloud Sandbox (Zero Trust Exchangeの一部)のようなクラウド ネイティブのAI活用型ソリューションは、従来のマルウェア対策ソリューションを上回るメリットを提供します。

  • グループ、ユーザー、コンテンツの種類ごとに定義された詳細なポリシーにより、隔離アクションを完全に制御
  • 機械学習を活用した未知のファイルに対するリアルタイムのセキュリティ診断を実施
  • 高速で安全なファイルのダウンロードを可能にする一方で、不正と判断されたファイルを隔離

2. 暗号化されたすべてのトラフィックを検査

Zscalerは、クラウド ネイティブ プロキシー アーキテクチャーを採用しているため、パフォーマンスの低下や高価なアプライアンスの処理能力の拡張を心配することなく、完全なSSL検査を大規模に実行できます。

6大陸の150か所以上のデータ センターに分散されたグローバル クラウドを利用することで、ユーザー帯域幅が大幅に増加した場合も、パフォーマンスを低下させることなく、すべてのSSLトラフィックを検査し、SSLに潜むランサムウェア脅威を検知します。

3. オフネットワーク接続をフォロー

Zero Trust Exchangeは、前述の2つの戦略(AI活用型サンドボックス隔離と完全なSSLインスペクション)を、ユーザーの場所やデバイスに関係なく提供します。すべてのネットワークのすべての接続に、既知および未知の脅威を検知して阻止するための一貫した保護を適用し、ゼロ号患者からのランサムウェア感染を防御します。

ランサムウェアを阻止するこのアプローチは、ユーザー接続をセキュリティで保護することから始まります。オフネット ユーザーは、軽量のエンドポイント エージェントであるZscaler Client ConnectorをノートPCやモバイル デバイス(Android、iOS、macOS、Windowsに対応)に追加するだけで、本社と同じセキュリティ ツール、ポリシーの適用、アクセス制御による保護を可能にします。

ランサムウェア対策は、ゼロトラストとZero Trust Exchangeから始まります。

 

おすすめのリソース

よくある質問

What's the Most Common Type of Ransomware Attack?

Most ransomware attacks start with phishing. Threat actors often use deceptive emails, messages, or websites to trick users into downloading malware or divulging login credentials. These techniques are effective because they exploit human vulnerabilities, not technological ones, making them difficult for traditional security measures to detect.

How Is Ransomware Typically Delivered?

Ransomware can be delivered through various vectors, with phishing being most common. Another method, called drive-by download, automatically downloads ransomware to a victim's system when they visit a compromised or malicious website. Attackers may also use exploit kits, which target known software vulnerabilities to deliver ransomware. Some attackers even use fraudulent ads, even on legitimate websites, to lure victims.

How Does a Ransomware Attack Start?

Ransomware attacks most often start when a victim interacts with a malicious link, website, or file, or surrenders privileged information through phishing. Once ransomware is installed on a victim's system, it will exfiltrate and/or encrypt files, and then send a ransom demand promising an exchange for the decryption key or surrender of stolen data.

How Do I Know If I’m the Victim of a Ransomware Attack?

Various telltale signs can indicate you’ve been hit with ransomware. The most obvious are a sudden inability to access files, or receipt of a ransom message. Less obvious signs could be changes to file extensions, additional files appearing on the system, or out-of-the-ordinary network traffic or encryption activity. If you notice any of these, you should disconnect from the internet and immediately consult your IT or security team.

What Do I Do if I Believe My System Has Been Infected by Ransomware?

If you suspect you’ve fallen victim to ransomware, you should immediately take several steps to prevent the spread of the infection. Isolate infected devices by disconnecting them from the internet and network, powering them down if needed. Next, reach out to your IT or security team or other trusted professional, who can help you determine if decryption is possible, restore data from a backup, and potentially remove the ransomware. Finally, you’ll need to evaluate what led to the ransomware infection and shore up your defenses accordingly.

How Serious Is a Ransomware Attack?

Any organization should consider a ransomware attack serious if the organization, its clients, or its employees have anything to lose. Both money and data are at risk the moment ransomware is executed in your environment, and depending on your response, you could face reputational damage, legal repercussions, fines, sanctions, and more.

What Is an Example of a Ransomware Attack?

There are many ransomware families and notable ransomware attacks. One example, the Ryuk ransomware, has targeted healthcare, public sector, and education organizations worldwide. Delivered via phishing emails, Ryuk encrypts victims' files and demands a ransom in exchange for the decryption key. Although not as notorious as massive attacks like NotPetya and WannaCry, Ryuk has nonetheless seen great success in extorting payments from its victims.

What Is the Greatest Ransomware Attack?

One of the most damaging ransomware attacks in history was the May 2017 WannaCry attack. It affected hundreds of thousands of computers in more than 150 countries, affecting critical infrastructure from healthcare to government agencies as well as other businesses. WannaCry encrypted files and demanded ransoms in bitcoin. While far from the first widespread ransomware attack, it was the first to reach such a devastating global scale of disruption.