ランサムウェア攻撃とは

ランサムウェアは、システムを「ロック」したり、ファイルを暗号化したりして、被害者が一定の金額 (通常は暗号通貨で) を支払うまでデータにアクセスできないようにするマルウェア (悪意のあるソフトウェア) のひとつです。身代金の支払いが完了すると、被害者にはファイルやシステムへのアクセスを回復するための復号化キーが送られてきます。

このような攻撃は、サイバー犯罪者が好む手口として急速に広まっています。組織は大量の機密情報を所有し、リモートワークやハイブリッドワークによってエンドポイントが新たな脆弱性にさらされている中、ハッカーにとってこの種のサイバー攻撃は非常に有効なのです。

ランサムウェア攻撃は、FBIまでもが防御策を示すほど浸透してきています。しかし、ランサムウェアや実際にそれを使用するグループは、マルウェア対策やウイルス対策などの一般的な脅威検出を回避できるように、絶えず進化し続けています。

ランサムウェア攻撃の仕組み

ランサムウェア攻撃は、通常、4段階で行われます。

  1. 配信

第1段階である配信は、ユーザに開かせるように設計されたフィッシングメールによって行われます。メールのほとんどは、有名ブランドなどの信頼できる送信元から送られてきたように見えます。配送業者や銀行、大手小売業者などを装ったフィッシングメールの場合は、配送の遅延や不正購入、残高不足などの内容が一般的です。

この手のメールは、よく知る送信者からのものに見えるようにデザインされていますが、PDFやGoogle Driveのリンクなど悪意のあるファイルが含まれています。ファイルには、一旦開かれると悪意のあるコンテンツを被害者のシステムに落として攻撃を開始する、マルウェアローダーが含まれています。

     2.エクスプロイト

次の段階であるエクスプロイトでは、マルウェアが問題なくロードされると攻撃を拡散します。この第2段階は、通常、マルウェアをデバイスに送信するメールの添付ファイルを受信者が開いた後に始まります。

感染したデバイスがネットワーク上にある場合、マルウェアはデバイスが通信しているドメインコントローラーを割り出して、資格情報を盗み、ネットワーク内を移動しながら他のデバイスに感染を広げます。

     3.コールバック

第3段階はコールバックです。ここでは、マルウェアのペイロードが盗まれたデータの送信先であるコマンド&コントロール (C&C) サーバとの通信を試みます。

     4.デトネーション

C&Cサーバは、最終段階であるデトネーションの実行方法をペイロードに送信します。ここで、マルウェアはデータを盗んでランサムウェアをインストールし、システムやデータを暗号化してロックし、個人や企業がアクセスできないようにします。データが永久に失われる前に身代金を支払うことができる期限が設けられますが、その期限の数時間前に身代金要求額が増加することもあります。

身代金を支払えば、データを取り戻すための復号化キーを入手できることがほとんどですが、必ずしもそうではありません。入手できたとしても、その復号化キーが機能するとは限らないのです。

最近の攻撃では、犯罪者が暗号化する前にデータを盗み出し、それを公開すると脅迫する動きも見られます。こうなると、確実にバックアップを取っていた場合でも、身代金を支払う可能性が高くなると考えられます。

 

ランサムウェア攻撃の歴史

ランサムウェアは、現在のサイバー犯罪者にとっては理想的なツールかもしれませんが、ランサムウェア自体は新しいものではなく、何十年も前からさまざまな形で存在してきました。

  • 最初のランサムウェアは、1989年にJoseph Popp博士によって作られました。Popp博士は「AIDSに関する情報の導入編」と題したフロッピーディスクをストックホルムの世界保健機関 (WHO) のAIDS会議出席者に郵送しました。そのディスクには、MS-DOSシステムにインストールされ、ユーザがコンピュータを起動した回数をカウントし始める悪意のあるコードが含まれていました。
  • 起動回数が90回に達すると、トロイの木馬がすべてのディレクトリを隠し、ドライブ上のファイルをすべて暗号化して使用不能にしたのです。被害者には、PC Cyborg Corporationからとするメッセージが表示され、そこには所有者のソフトウェアリースが期限切れになったため、アクセスを回復するためにパナマの住所に189ドルを送る必要があると記載されていました。
  • ランサムウェアの形を取ったサイバー攻撃の次の波は、「スケアウェア」と呼ばれました。ユーザは、コンピュータで致命的なエラーが発生したという旨の警告を受け取り、その後デバイスをクリーニングまたは修復するためのソフトウェアを購入してダウンロードのコマンドを受け取るように誘導されますが、もちろん、そのソフトウェアはコンピュータから情報を盗むように作られたマルウェアです。
  • ファイル共有の普及に伴い、Police Locker攻撃と呼ばれる新しいランサムウェアが出現しました。この種の攻撃は、ピアツーピア型ダウンロードサイト、海賊版やアダルトコンテンツをホストするWebサイトに隠れていることが多く、ユーザのデスクトップに細工を施して違法行為の疑いにより警察当局がコンピュータをロックしたとの内容を表示させます。ユーザは恐怖心から、コンピュータのロックを解除してもらうために数百ドルを支払うケースが多発しています。しかし、この手の攻撃は、システムを再起動するだけでロックが解除される場合がほとんどです。

ランサムウェアの感染は破壊的な攻撃であり、単に金銭を支払ってネットワークの制御を取り戻せばいいというものではありません。

Cybersecurity and Infrastructure Security Agency

ランサムウェア攻撃の種類と実例

無数の種類が存在するランサムウェアやランサムウェアグループですが、その中でも最も一般的でよく知られているのが、以下のようなものです。

  • GandCrab: VirusTotalのRansomware in Global Contextによると、2020年以降、ランサムウェア攻撃において最も多く発生しているファミリーで、レポート用に採取したサンプルの78.5%がこのファミリーによるものでした。
  • REvil: このグループは、法律、エンターテイメント、公共サービスの業界で大量の情報を盗み出します。最初に注目されたのは2020年5月でしたが、2021年3月~10月にかけてKaseya VSA攻撃を含む連続攻撃が毎月実施されました。
  • WannaCry: Microsoft Windowsのオペレーティングシステムを標的とするランサムウェアクリプトワームであり、2017年の登場以来世界中で300,000以上のシステムに影響を与えてきました。
  • Ryuk: このランサムウェア系統は、医療、公共サービス、教育などの業界、特に米国の学校関連のシステムに影響を与えた多くの脅威グループに関連しています。
  • DarkSide: DarkSideランサムウェアグループに関連するこの亜種は、2021年のコロニアルパイプライン攻撃に関与し、二重脅迫型ランサムウェアの最も注目すべき例の1つです。この攻撃は、通常サービスとして実施されます。
  • Evil Corp: このグループは、銀行の資格情報を盗むことで知られているフィッシングメールを介して展開されるマルウェアの一種であるDridexに関係しており、WastedLocker、BitPaymer、DoppelPaymerなどの他のタイプのランサムウェアにもこれまで関連付けられています。
  • Maze: 2019年5月に最初に確認されたこの亜種は、Cognizantに対するランサムウェア攻撃に使用され、一部の顧客にサービスの中断を引き起こしました。

ランサムウェア攻撃に対してどの程度安全なのか、無料のインターネット脅威エクスポ―ジャ分析でご確認いただけます。

ランサムウェアと暗号通貨のつながり

当初、ターゲットのほとんどが一般家庭のユーザであったため、要求された身代金は数百ドル程度でした。そしてランサムウェアの被害者は通常の通貨で支払うため、犯人が特定される可能性は高い状況でした。

ところが、暗号通貨 (匿名性と暗号化に基づくデジタル通貨) の台頭により、攻撃者にとって情勢は逆転しました。ビットコインなどの暗号通貨は、取引を追跡することがほぼ不可能で、悪意のあるアクターが自分の痕跡を隠すことができてしまうのです。

最近のランサムウェア攻撃では、被害にあった組織が多額の金銭を支払っているケースがあり、これがこの種の攻撃をより一層蔓延させている理由のひとつでもあります。

Gartnerシニアディレクターアナリスト、Paul Webber氏

身代金を支払うことは、データの復号やシステム、データ侵害がなくなることを保証するわけではありません。

Cybersecurity and Infrastructure Security Agency

サービスとしてのランサムウェア (RaaS)

サービスとしてのランサムウェアは、ランサムウェア攻撃の普及と成功を受けて生まれました。多くの合法的なSaaSシステムと同様に、RaaSツールは通常サブスクリプションベースで、ダークウェブ上で簡単かつ安価で入手できます。そして、プログラミングスキルがなくても、簡単に攻撃を仕掛けることができます。RaaS攻撃が成功すると、身代金はサービスプロバイダ、コーダー、サブスクライバの間で分配されます。

 

身代金を支払う必要はあるのか

ランサムウェアに関する昔からの疑問点は「身代金を支払うべきか否か」というところです。

もちろん、データが流出するリスクを考えれば、金銭を支払ってもいいという組織も多いのですが、果たしてそれは正しい対処法なのでしょうか。Gartnerのデータによると、「(支払いを行う組織の)80%は別のランサムウェア攻撃被害に遭う結果になる」としています。身代金を支払うというのはベストプラクティスとは言えないかもしれません。しかし、悪意のあるアクターによってデータが世界中に公開されてしまうリスクがある中で、他にいい案はあるのでしょうか。

残念ながら、明確な答えはありません。GartnerのアナリストPaul Proctor氏は各自の捉え方次第だとして、次のように述べています。「盗まれたデータがビジネスに影響を与える度合いにかかっています。ビジネス上のマイナス面と身代金の額とを比較して最終決断をする必要があります」

 

ランサムウェアがビジネスに与える影響

最近ではどの業界でも、毎日のようにランサムウェアがビジネスに影響を与えているというニュースを耳にします。それでも、まだこのような現状にあまり詳しくない方もいるかもしれないという点を踏まえて、ランサムウェアがどのように事業の基盤にダメージを与えてしまうのかについてご紹介します。

  • 金銭的ロス(ならびに/またはデータの損失)

ランサムウェアがもたらす最も厄介な要素は、ランサムウェアを展開する側が、データを人質に取って返還と引き換えにまとまった金銭(ランサム=身代金)を要求するという点にあります。これだけでも、特に医療や公共部門、金融、または大量の機密データを収容する他の業界にとっては、ビジネスにとって絶体絶命のピンチとなります。

悪意のあるアクターからの要求を無視すると、データが公開されたり、最悪の場合、多額の金銭を支払ってデータを買い取ろうとする他の脅威グループにデータが公開される危険性が出てきます。しかし、仮に身代金を支払ったとしても、 データを取り戻すことはできない可能性は十分あり得ます。だからこそ、ランサムウェアの防止がカギとなってくるのです。

  • 組織の風評被害

身代金を支払うかどうかにかかわらず、犯罪被害に遭った事実を報告する義務があるため、いずれは組織名がニュースの見出しに載ることになります。このプロセスを通った組織はすでに多く存在し、ランサムウェアが進化し続ける中で企業側の対応が追い付かない状況が続く限り、その数は増える一方になります。

ランサムウェアの犠牲になった企業は、顧客からの信頼を失うことになりビジネス上の関係に影響が出ます。企業側に100%責任があるわけではなくても、既存顧客や今後利用を考えていた消費者がここは問題がある企業として偏見を持ってしまうことは避けられません。

  • 法的影響に直面する可能性

実は、ランサムウェア攻撃に対して身代金を支払うことは違法です。2020年の判決では、米国財務省の外国資産管理局 (OFAC) と金融犯罪執行ネットワーク(FinCEN)は、ほとんどの場合において身代金を支払うことは違法であると宣言しました。

データや資本を失い世間のイメージが悪くなったところに追い打ちをかけられ、ランサムウェア攻撃のせいで弁護士費用もかかる可能性があるのです。

 

2021年版暗号化された攻撃の現状

レポートをダウンロード
ランサムウェア攻撃が暗号化されたトラフィック内にどのように隠されているかをご覧ください。

ランサムウェアの侵入を瞬時に阻止するための3つの秘策

ウェビナーを表示 (英語)
ライブ参加: ランサムウェアコールドを阻止するための3つの秘策

2022年のランサムウェア現状: 知っておくべき点と対策準備方法

ウェビナーを表示 (英語)
ライブ参加: ランサムウェアコールドを阻止するための3つの秘策

今後の見通し

Gartnerは、組織が直面するリスクのトップとして「新しいランサムウェアモデル」を挙げています。同社のEmerging Risks Monitor Reportによると、ランサムウェアに関する懸念の度合いはコロナパンデミックに関する懸念事項よりもさらに大きくなっています。

ランサムウェア攻撃に備える方法だけでなく、ランサムウェア攻撃を完全に防ぐ方法を把握しておく必要があることは明らかです。

押し寄せるランサムウェア攻撃をすべて食い止めることは不可能ですが、厳格なデューデリジェンス、意識向上トレーニング、そして適切な技術で、これらの攻撃がビジネスにもたらす脅威を最小限に抑えることができます。

 

ランサムウェアを削除する手順

ランサムウェアを削除することはできますが、段階的なプロセスに従って細心の注意を払いながら行う必要があります。

ステップ1. 感染したデバイスを隔離

ランサムウェアを隔離して拡散を防ぐために、有線と無線すべての接続からデバイスを切断することを意味します。身代金がまだ要求されていない場合は、速やかにマルウェアをシステムから削除します。

ステップ2. 感染したランサムウェアの種類を調査

セキュリティの専門家またはツールの助けを借りて、削除する必要のあるランサムウェアを把握します。この過程で得た知識により、システムに侵入したランサムウェアの攻撃を軽減する方法の理解が深まります。

ステップ3. ランサムウェアを削除

ランサムウェア削除ツールやITセキュリティ専門家のサポート、または独自の手動プロセスで、ハードドライブから感染を削除します。次に、ランサムウェア復号化ツールまたはその他の復号化ツールを使用して、人質となっている暗号化データを取り戻します。

ステップ4. バックアップでシステムを復元

システムストアを使用するか、侵害されたOSからファイルを回復します。このプロセスの一環として、データをバックアップしておくことは、ランサムウェアがデータを暗号化した後でも唯一アクセスできるコピーという意味で非常に重要です。これはランサムウェアとデータ侵害の両方に備えるベストプラクティスと言えます。

 

ランサムウェアからの保護

絶え間なく進化し、迫り来るランサムウェアの脅威に対応していくには、次のような原則とツールを含む効果的なランサムウェア対策戦略が不可欠です。

  • AI活用型サンドボックスで、不審なコンテンツを隔離、検査する
  • すべてのTLS/SSLで暗号化されたトラフィックを検査する
  • オフネットワーク接続を考慮した常時オンの保護を実装する

最新のソリューションとプロアクティブな防御アプローチとの組み合わせは、現在のサイバーセキュリティ対策の中で最も効果的なランサムウェア保護モデルとして広く認識されています。

 

Zscalerが提供する保護機能

Zscalerは、Zscaler Zero Trust Exchange™を通じてクラウドネイティブなランサムウェア保護を提供し、組織の安全を守ります。 このプラットフォームには、以下のような特徴があります。
 

1. AI活用型のサンドボックス隔離を使用

クラウドネイティブのプロキシアーキテクチャで構築された、AI活用型サンドボックスによる隔離機能では、ファイルを配信前に隔離して完全に分析できるため、ペイシェントゼロの感染リスクをほぼ排除できます。従来のパススルー方式とは異なり、不審なファイルや未知のファイルを保留して分析するため、分析前に環境に送り込まれることはありません。

Zscaler Cloud Sandbox (Zero Trust Exchangeの一部) のようなクラウドネイティブのAI活用型ソリューションは、従来のマルウェア対策ソリューションを上回るメリットを提供します。

  • グループ、ユーザ、コンテンツタイプごとに定義された詳細なポリシーにより、隔離アクションを完全にコントロール
  • 機械学習によって推進される、未知のファイルに対するリアルタイムのセキュリティ診断
  • 高速かつ安全なファイルのダウンロードを可能にし、悪意があると判断されたファイルを速やかに隔離

2. 暗号化されたすべてのトラフィックを検査

Zscalerは、クラウドネイティブプロキシアーキテクチャを採用しているため、パフォーマンスの低下や高価なアプライアンスの処理能力の拡張を心配することなく、完全なSSL検査を大規模に実行できます。 

6大陸の150か所以上のデータセンタに分散されたグローバルクラウドを利用して、ユーザの帯域幅が劇的に増加した場合でも、パフォーマンスを低下させずに、SSLトラフィックを精査してランサムウェアの脅威が隠されていないか確認します。
 

3. オフネットワーク接続をフォロー

Zero Trust Exchangeは、前述の2つの戦略 (AI活用型サンドボックス隔離と完全なSSL検査) を、場所やデバイスに関係なくユーザに提供することが可能です。すべてのネットワークのすべての接続に、既知および未知の脅威を発見して阻止するための一貫した保護を適用し、ペイシェントゼロのランサムウェア感染から組織を保護します。

ランサムウェアを阻止するこのアプローチは、ユーザ接続をセキュリティで保護することから始まります。オフネットユーザは、軽量のエンドポイントエージェントであるZscaler Client ConnectorをノートPCやモバイルデバイス(Android、iOS、macOS、Windowsに対応)に追加するだけで、本社と同じセキュリティツール、ポリシーの適用、アクセス制御による保護を可能にします。

ランサムウェア対策は、ゼロトラストとZero Trust Exchangeから始まります。