ランサムウェア攻撃とは

ランサムウェア攻撃の仕組み

ランサムウェア攻撃は通常、次のような流れで行われます。

最初の侵害

大多数のランサムウェア攻撃はフィッシング メールから始まります。その多くが実在する小売業者や銀行などを名乗り、配達の遅延や不正な購入、残高不足などを案内する巧妙な内容となっています。メールには感染したファイルやリンクが含まれており、それを開くと悪意のあるソフトウェアが被害者のコンピューターまたはモバイル デバイスにドロップされ、攻撃が開始されます。

ラテラル ムーブメント

マルウェアがデバイスに感染すると攻撃が拡散されます。感染したデバイスがネットワーク上にある場合、マルウェアはドメイン コントローラーを侵害するか、認証情報を盗み出すことで、ネットワーク全体を水平に移動して他のデバイスに感染します。

実行

マルウェアは十分なアクセス権を取得すると実行され、被害者のデータを持ち出したり、盗んだりします。そして最終的に被害者に身代金が要求されますが、支払期限を過ぎるとそのデータは販売されたり、リークされたり、回復不能になったりする場合がほとんどです。被害者が身代金を支払えば、データを取り戻すための復号キーが送られてくるはずですが、必ずしもそうとは限りません。また、送られてきた復号キーが機能しない場合もあります。

ランサムウェア攻撃の歴史

ランサムウェアは、1989年に国際エイズ会議の参加者にトロイの木馬ウイルスが入った「エイズ関連情報」のフロッピー ディスクが配布されたことから始まりました。感染したシステムで再起動が90回行われると、トロイの木馬はディレクトリーをすべて隠し、感染したハード ドライブ上のファイルをすべて暗号化したうえで、「PC Cyborg Corporation」からとするメッセージを表示させました。そして、アクセス回復のためにはパナマの住所に189ドルを送金するよう脅迫しました。

ランサムウェア型のサイバー攻撃の2回目の波は1990年代初頭に、恐怖心を逆手に取るソーシャル エンジニアリング技術、通称「スケアウェア」の登場と共に発生しました。感染したコンピューターにはエラー メッセージが表示され、問題を解決するにはソフトウェアを購入してダウンロードするよう指示するものでした。当然ながら、このソフトウェアにはさらに多くのマルウェアが組み込まれており、データを盗むように設計されたものがほとんどでした。

ファイルを共有する機会が多くなり、ポリス ロッカー、スクリーン ロッカー、または単にロッカーと呼ばれるランサムウェアが増加しました。ロッカーは通常、ピアツーピア ダウンロードやアダルト コンテンツをホストするサイトに隠されており、多くの場合、違法行為を疑う法執行機関やFBIなどの政府機関になりすまし、ユーザーが罰金を支払うまでシステムをロックするというメッセージを表示させます。ほとんどのロッカーはマウス可動域を制限するのみで、システムを再起動すれば元通りになるものでしたが、恐怖心から多くの被害者が実際に罰金を支払ったことが確認されています。

ランサムウェアと暗号通貨のつながり

ランサムウェアは当初、個人ユーザーに対してのみ身代金を要求し、その額も最大数百ドル程度というものでした。また、身代金は一般的な支払いカードで行われていたため、取り引きの追跡が非常に簡単で脅威アクターの逮捕にもつながりやすい状況でした。

現在、サイバー犯罪と暗号技術の進化により、ランサムウェアは爆発的に増加しています。特に、ビットコインやその他の暗号通貨(匿名性と暗号化に基づくデジタル通貨)で行われた取り引きはほぼ追跡できないため、悪意のあるアクターは自分の素性を完全に隠すことができます。

Ransomware as a Service (RaaS)

ランサムウェアの人気の高まりやその成功の副産物として生まれたRaaSツールは、合法的なSaaS製品と同様にサブスクリプションベースで安く販売されています。ダークWebで簡単に入手でき、プログラミング スキルがなくてもサイバー攻撃を仕掛けられ、金銭的利益を部分的に得ることも可能です。

二重脅迫型ランサムウェア

データのバックアップと復号の技術が向上し、事態は被害者に有利な方向に動き始めました。それに対して2019年、TA2102と呼ばれる犯罪グループが被害者のデータを暗号化して盗み出し、ビットコインで230万ドルを支払わなければリークすると脅迫する、初の二重脅迫型ランサムウェア攻撃を実行しました。こういった二重脅迫型の場合、被害者がデータを復元できたとしても、身代金を支払わない限り深刻なデータ侵害の影響を被ることになります。

暗号化しないランサムウェア

2022年と2023年には、ランサムウェアの定義を根本的に覆すスタイルが現れました。進化形でありながら、一種の退行ともいえる暗号化しないランサムウェア攻撃では、被害者のファイルを暗号化する代わりに、機密データを盗み出すことだけに焦点が当てられています。

この種の攻撃は、特に法律や医療業界など機密性の高いPIIを扱う業界に狙いを定めています。これは、こうした業界が機密データの漏洩を防ぐことを何よりも重視しているため、暗号化に関係なく身代金を支払うケースが多いからと考えられています。暗号化されていないデータはスピーディーかつ簡単に復元できるため、身代金を支払うまでの時間が短くなる傾向にあります。

ランサムウェア攻撃の種類と実例

ランサムウェアやランサムウェア グループの種類は数多くありますが、ここではその中でも最も一般的なものをいくつか紹介します。

• CryptoLocker:強力な暗号化と大規模なボットネットを特徴とするこのランサムウェアは、2013年と2014年に大きな成功を収めており、現在もそのスタイルを模倣した攻撃が確認されています。
• Dridex:フィッシング メールを介して銀行の認証情報を盗むことで知られる著名なトロイの木馬で、WastedLocker、BitPaymer、DoppelPaymerなどのランサムウェアの種類に関連しています。
• WannaCry: Microsoft Windowsのオペレーティング システムを標的とするクリプトワームで、2017年の登場以来、世界中で300,000以上のシステムに被害を及ぼし続けています。
• NotPetya: WannaCryの直後に登場したNotPetyaは、当初ランサムウェアであるとみられていましたが、実際にはロシアのハッカー グループ「Sandworm」による悪質な「破壊ウェア」であることがわかりました。
• Ryuk:このランサムウェアは、医療業界、公共機関、教育、特に米国の学校システムに影響を与えた多くのランサムウェア グループと関係があります。
• REvil: REvilは法律関係、エンターテインメント、公共機関への侵害で知られており、2020年5月から2021年10月にかけて、Kaseya VSA攻撃を含む集中攻撃を行いました。
• DarkSide: 2021年のColonial Pipeline攻撃に関与しているこの亜種は、二重脅迫型ランサムウェアでは最も有名な例の1つです。この攻撃は通常、サービスとして利用されています。
• GandCrab: VirusTotalの2021年版Ransomware in a Global Contextレポートでは、GandCrabが最も一般的なランサムウェア攻撃として挙げられており、レポートのために採取されたサンプルの78.5%を占めていたことが確認されています。

ランサムウェアの7つの主な攻撃ベクトルとは

ランサムウェアの攻撃者は新しい手口を開拓し続けていますが、システムに侵入するうえで最も一般的で、かつ効果的な手段をいくつか確立しています。最も一般的なランサムウェア攻撃ベクトルには、次の7つが挙げられます。

• フィッシング：感染したリンクや添付ファイルを含む詐欺メールなどでユーザーをだまし、ランサムウェアをシステム内に侵入させます。
• ドライブバイ ダウンロード：攻撃者はソフトウェア、OS、またはブラウザーの脆弱性を悪用して、被害者が侵害されたWebサイトまたはリンクにアクセスすると、気づかないうちにランサムウェアがダウンロードされます。
• ソフトウェアの脆弱性：攻撃者はアプリケーションまたはシステムの弱点を悪用してネットワークに侵入し、そこからランサムウェアを直接展開します。
• 悪意のあるWebサイト：攻撃者はユーザーが正規のサイトと見間違えるような偽のサイトや模倣サイトを作成して、そこにランサムウェアをホストし、訪問者にランサムウェアをダウンロードさせるよう仕向けます。
• 水飲み場型攻撃：攻撃者は狙った被害者がアクセスする正規のWebサイトを侵害し、ソーシャル エンジニアリングを使用して訪問者を誘導しながらランサムウェアをダウンロードさせます。
• リモート デスクトップ プロトコル(RDP)攻撃：ハッカーは、一般的にログイン認証情報をクラッキングまたは窃取してRDP接続に不正にアクセスし、標的とするネットワークに直接ランサムウェアを展開します。
• マルバタイジング(悪意のある広告):攻撃者は感染した広告を正規のWebサイトに掲載し、被害者が広告にアクセスするとシステムがランサムウェアに感染します。

身代金を支払う必要はあるのか

多くのランサムウェアの被害者にとって「身代金を支払うべきか否か」は最も難しい問題です。

データを守るためであれば、身代金の支払いはやむを得ないと考える組織も少なくありませんが、果たしてそれは正しい対処法なのでしょうか？2021年以降に発表された複数のレポートによると、身代金を支払った組織の約80%が攻撃を繰り返し受けていることが明らかになっています。ZscalerのCISOであるBrad Moldenhauerは、「デジタル通貨による身代金の支払いがサイバー犯罪を助長しているのは確かです。また、テロ行為を深刻化させている可能性もあります」と述べています。

考慮すべき点は他にもあります。

• 攻撃者にデータを返す意図があったとしても、すべてのデータを回復できる保証はない(NotPetyaについての記事はこちら)。
• 状況や地域によっては身代金の支払いは違法である(詳細はこちら)。
• 二重脅迫型の場合、修復作業でデータを回復できたとしても、身代金を支払わなければ脅威アクターによってデータが世界中に公開される危険性がある。

支払うか、支払わないかの選択は、侵害によって業務やユーザー、顧客がどのような影響を受けるのか、そしてデータを回復できない可能性はどの程度かなど、組織の状況によって決まる場合が多いのかもしれません。

ランサムウェアがビジネスに与える影響

ランサムウェアは世界中のあらゆる組織に影響を与えています。攻撃件数は毎年増加しており、収益や評判などに悪影響を及ぼす恐れもあります。

資本やデータの損失

データ漏洩と金銭的損失の選択を迫られることは、特に機密情報を扱う業界では危険で困難な問題です。身代金の要求を無視すれば、データが漏洩するリスクを抱えることとなります。仮に身代金を支払ったとしても、データを取り戻せる保証はありません。

評判の毀損

身代金の支払いの有無にかかわらず、犯罪行為の発生は報告する義務があるため、メディアに取り上げられる可能性があります。攻撃を受けたことがニュースになれば、たとえ組織自体に過失がない場合でも、ビジネスまたは顧客の信頼、あるいはそのどちらも失うリスクがあります。

法的影響

米国では、身代金の支払いをほとんどの場合に違法とする州が増えており、世界の他の地域でも同様の措置が検討されています。さらに、侵害が発生すると規制当局による監視が強化され、罰金やその他の法的費用が課せられる可能性があります。

ランサムウェアを削除する手順

ランサムウェアに打ち勝つには、段階的なステップを踏む必要があります。

ステップ1:感染したデバイスを隔離し、有線と無線の接続からすべて切断します。必要な場合にはAC電源からも切断して、ランサムウェアの拡散を防ぎます。実行前のランサムウェアを発見した場合、攻撃者が身代金を要求する前にシステムからランサムウェアを削除できる可能性があります。

ステップ2:直面している被害状況と暗号化されたデータの回復に役立つ復号ツールがあるかどうかを確認します。しかし、期待どおりの結果にならない場合もあります。復号ツールは高度なランサムウェアに対しては機能しないケースもあり、二重脅迫型の場合にはほぼ効果を発揮しません。

ステップ3:失われたデータを回復します。通常は、バックアップから復元します。定期的なバックアップは、暗号化されたすべてのデータを確実に回復するための唯一の方法です。何らかの理由でデータを回復できない場合は、身代金の要求に応じる前に潜在的な法的および経済的影響を慎重に検討してください。

ステップ4:セキュリティ専門家の指示のもとにランサムウェアを削除し、徹底的な根本原因調査を行い、攻撃のきっかけとなった脆弱性を特定します。

ステップ5:感染の原因を評価し、バックドアのエクスプロイト、メール フィルタリングの欠陥、ユーザーのトレーニング不足など、防御できなかった部分を強化する措置を講じます。繰り返し攻撃を受ける可能性はあり、実際に起こっているため、準備を整えておくことが重要です。

鍵となるランサムウェア対策

現実的には、データが暗号化されたり持ち出されたりすると、何らかの形で損失を被ることになります。予防がランサムウェアに対する最善の防御策となるのはそのためです。

押し寄せるランサムウェア攻撃をすべて阻止することはできません。しかし、デュー デリジェンスやサイバーセキュリティ意識向上トレーニング、適切な技術でリスクを最小限に抑えることは可能です。そして、次のような原則とツールを備えた効果的なランサムウェア対策戦略が大きな効果を発揮します。

• AI活用型サンドボックスで不審なコンテンツを隔離、検査する
• すべてのTLS/SSLで暗号化されたトラフィックを検査する
• ネットワーク外の接続を考慮した常時オンの保護を実装する

最新のソリューションとプロアクティブな防御アプローチとの組み合わせは、現在のサイバーセキュリティ対策の中で最も効果的なランサムウェア対策モデルとして広く認知されています。

Zscalerのソリューション

Zscalerは、クラウドネイティブなランサムウェア対策をZscaler Zero Trust Exchange™経由で提供することで、組織のセキュリティを確保します。このプラットフォームには、次のような特長があります。

AI活用型のサンドボックス隔離を使用

Zscalerは不審なファイルや未知のファイルを配信前に隔離して完全に分析するため、ゼロ号患者による感染リスクを実質的に排除できます。従来のパススルー アプローチとは対照的に、最初に安全とみなされない限りファイルが利用環境に到達することはありません。

Zscaler Sandbox (Zero Trust Exchangeの一部)のようなクラウドネイティブのAI活用型ソリューションは、従来のウイルス/マルウェア対策ソリューションを上回るメリットを提供します。

• グループ、ユーザー、コンテンツの種類ごとに定義された詳細なポリシーにより、隔離アクションを完全に制御
• 機械学習を活用した未知のファイルに対するリアルタイムのセキュリティ診断を実施
• 高速で安全なファイルのダウンロードを可能にする一方で、不正と判断されたファイルを隔離

暗号化されたすべてのトラフィックを検査

Zscalerはクラウドネイティブなプロキシ アーキテクチャーを運用しているため、高価なアプライアンスのパフォーマンス制限を心配することなく、フルTLS/SSLインスペクションを大規模に実行できます。

Zscalerクラウドは、6大陸にまたがる150か所以上のデータ センターに分散されたグローバル クラウドを使用して、ユーザーの帯域幅が大幅に増加した場合でもパフォーマンスを低下させることなく、TLS/SSLトラフィックを精査して隠れたランサムウェアの脅威を検出します。

ネットワーク外の接続も保護

Zero Trust Exchangeは、ユーザーの場所やデバイスに左右されることなく、AIを活用したサンドボックス隔離とTLS/SSLインスペクションを提供します。あらゆるネットワーク上のすべての接続に同一の保護を適用し、既知や未知のサイバー脅威を検知して阻止することで、ゼロ号患者からのランサムウェア感染を阻止します。

ランサムウェアを阻止するこのアプローチは、ユーザー接続の保護から始まります。ネットワーク外のユーザーは、軽量のエンドポイント エージェントであるZscaler Client ConnectorをノートPCやモバイル デバイス(Android、iOS、macOS、Windowsに対応)に追加するだけで、本社と同じセキュリティ ツール、ポリシーの適用、アクセス制御による保護が可能になります。