Live Global Events: Secure, Simplify, and Transform Your Business.

See Agenda and Locations

ランサムウェアとは

ランサムウェアはマルウェア(悪意のあるソフトウェア)の一種で、データを暗号化して(場合によっては同時にデータを盗んで)、身代金の支払いを要求するものです。通常、身代金はビットコインなどの暗号通貨で求められます。ランサムウェア攻撃で最も多いのはファイルが暗号化されるケースで、身代金を支払わなければデータにアクセスできない状態になります。期限までに身代金を支払わなかった場合、暗号化されたデータには永久にアクセスできなくなる可能性があります。復号鍵と引き換えに要求される身代金の額は、数百ドルから数百万ドルに及びます。

2023年版 ThreatLabzランサムウェアレポートをダウンロード

ランサムウェアの歴史と攻撃の増加について

サイバー犯罪者は30年以上前からランサムウェアを用いた攻撃を行っていますが、近年ではその活動が急増してきています。FBIによるとランサムウェア攻撃は2012年から活発化しており、その勢いは衰える気配がありません。

これまでは、ユーザーのファイルやコンピューターをロックするランサムウェア攻撃の被害は、訓練を受けた専門家によって簡単に修復することが可能でした。しかし近年、ランサムウェア攻撃は巧妙化しており、身代金を支払わなければデータが完全に失われてしまうケースが多くなっています。

多くのランサムウェア ファミリーの亜種における最近の注目すべき変化は、データの抜き取り機能が追加されている点です。これによって、サイバー犯罪者は、ターゲットの組織の機密データを暗号化する前に抜き取ることが可能です。データが適切にバックアップされている場合でも、盗まれたデータが公開されることを回避するためにターゲットは身代金の支払いを余儀なくされるため、抜き取ったデータは攻撃者にとって保険として機能します。

次世代ファイアウォールなどの従来型のセキュリティ技術にはキャパシティー上の制約があるため、ほとんどの組織では、エンドポイントで送受信される暗号化トラフィックをすべてインスペクションすることはできません。このことは攻撃者も把握しており、暗号化を利用してリンクや添付ファイルに悪意のあるコードを隠すケースが増えています。

ランサムウェアやその他のマルウェアを回避するための最善の方法は、コンピューターを慎重に賢く使うことです。マルウェアの配信者の手口はますます巧妙になってきており、ダウンロードしたりクリックしたりするものに注意する必要があります。

米国連邦捜査局(FBI)

ランサムウェアの仕組み

ランサムウェアを拡散する方法としては、悪意のあるリンクを含むフィッシング メールや広告、またはマルウェアが埋め込まれたWebサイトを使用した手口が最も一般的です。フィッシング メールは、(標的型攻撃では)正当な組織や知っている相手からのものを装っていることが多く、ターゲットのユーザーを欺いて悪意のあるリンクをクリックさせたり、悪意のある添付ファイルを開かせてランサムウェアのペイロードをマシンに展開することを狙っています。

個人を標的とするランサムウェア攻撃では、ドキュメント、写真、金融情報などがロックされ、身代金を要求されるケースが最も一般的です。攻撃が成功する可能性は個人を狙った方が高くなり得る一方、企業(特に大規模な組織)の方が攻撃対象としては格段に魅力的です。従業員たった1人にでもマルウェアをダウンロードさせることができれば、そのコンピューターまたはモバイル デバイスから組織のネットワークに拡散させられる可能性があり、成功すればはるかに多額の身代金を得られます。攻撃を受けた組織は業務が妨げられるだけでなく、データの損失や流出の脅威にさらされ、金銭的な面でも会社の評判の面でも、莫大な損害を被る可能性があります。

ランサムウェアは個人や組織に甚大な被害をもたらす恐れがあります。コンピュータやネットワークに重要なデータが保存されている人や団体は、政府や法執行機関、医療システムなどの重要なインフラ企業を含め、危険に晒されています。

米国サイバーセキュリティとインフラストラクチャー セキュリティ庁

ランサムウェア攻撃の種類と実例

無数の種類が存在するランサムウェアとランサムウェア グループの中でも、最も一般的でよく見られるものは以下のとおりです。

  • Cryptolocker: 複数のセキュリティ企業と法執行機関による国際的な協力により、2014年に大部分が無力化されましたが、それまでの成功の結果、これを模倣したマルウェアが数多く生まれています。
  • GandCrab: VirusTotalのRansomware in Global Contextによると、2020年以降、ランサムウェア攻撃において最も多く発生しているファミリーで、レポート用に採取したサンプルの78.5%がこのファミリーによるものでした。
  • REvil/Sodinokibi: 法律業界やエンターテインメント業界、公共機関で大量の情報を窃取しているグループです。最初に注目されたのは2020年5月でしたが、2021年3月~10月にかけてKaseya VSA攻撃を含む連続攻撃が毎月実施されました。
  • WannaCry: Microsoft Windowsのオペレーティング システムを標的とするランサムウェア クリプトワームであり、2017年の登場以来世界中で300,000以上のシステムに被害を及ぼしています。
  • Ryuk: 医療業界、公共機関、教育機関(特に米国の学校関連のシステム)に被害を与えた多くのグループと関連のあるランサムウェア ファミリーです。
  • Evil Corp: フィッシング メールを介して展開され、銀行の資格情報を窃取することで知られるマルウェアの一種「Dridex」を開発した犯罪グループです。Direx以降も、WastedLocker、BitPaymer、DoppelPaymerなどといったランサムウェアとの関係が確認されています。

ここに挙げたのは特に注目すべきランサムウェアの一例に過ぎません。日々新たな亜種が生まれており、それぞれが多様な攻撃ベクトルを持っています。ランサムウェア攻撃に対してどの程度安全なのか、無料のインターネット脅威エクスポージャー分析を実行してご確認ください。

ランサムウェアは技術的な巧妙さよりも、人間的な要素を悪用することに焦点を当てた攻撃です。簡単に言えば、何世紀にもわたって行われてきた犯罪の手口をデジタル化したものです。

ICIT(クリティカル インフラストラクチャー テクノロジー研究所)

Ransomware as a Service (RaaS)

Ransomware as a Service (サービスとしてのランサムウェア)は、ランサムウェア攻撃の普及と成功を受けて生まれました。多くの合法的なSaaSシステムと同様に、RaaSツールは通常サブスクリプションベースで、ダークWeb上で簡単かつ安価で入手できます。そして、プログラミング スキルがなくても、簡単に攻撃を仕掛けることができます。RaaS攻撃が成功すると、身代金はサービス プロバイダー、コーダー、およびサブスクライバーの間で分割されます。

ランサムウェア対策のベスト プラクティス

サイバー攻撃やデータ侵害が発生した際の損失をカバーするためにサイバーセキュリティ保険に加入している組織もありますが、予防に勝るランサムウェア対策はありません。ランサムウェアから組織を保護するために、CISA (サイバーセキュリティおよびインフラ セキュリティ庁)とFBIでは以下の対策を推奨しています。

  • システムを以前の状態に復元できるようにコンピューターのバックアップを取っておく。
  • バックアップ データは外付けハード ドライブやクラウドなどに保存し、ネットワークを通じてアクセスできないようにする。
  • コンピューターを更新してパッチを適用し、アプリケーションやオペレーティング システムの脆弱性を取り除く。
  • 従業員にサイバーセキュリティ意識向上のための継続的なトレーニングの受講を義務付け、サイバー脅威の現状とセキュリティのベストプラクティスについて認識してもらい、知っている相手からのメールであっても、添付ファイルを開いたりリンクをクリックする前に送信者の正当性を確認するなど、慎重な行動を徹底する。
  • 組織がランサムウェア攻撃の被害を受けた場合に備え、復旧に向けた事業継続計画を策定する。
  • マルウェア対策ソフトウェアやウイルス対策ソフトウェアを使用し、ユーザーが脅威に直面した際、大きな被害を招く前にそれを阻止できるようにする。
  • ゼロトラストを使用して強力な認証手段を実装し、ネットワーク、アプリケーション、データの侵害を防止する。

最も効果的な防御テクノロジー

最新のランサムウェア防御テクノロジーは、効果が高いだけでなく、簡単に導入できるのが特徴です。ランサムウェア対策を充実させるには、クラウド ネイティブに構築されたセキュリティ ソリューションを採用することから始め、接続する場所や使用するデバイスに関わらず、ユーザー、アプリケーション、機密データをランサムウェア攻撃から保護することが重要です。

今日特によく見られるランサムウェアの脅威に対応し、攻撃によるデータ漏洩、ビジネスへの影響、組織の時間的、金銭的損失を防ぐには、以下の原則とツールを対策に組み込む必要があります。

  • AI活用型のサンドボックス検疫により、不審なコンテンツを受信者に渡す前に保留、検査する。
  • SSL/TLSで暗号化されたトラフィックをすべて検査し、脅威が潜んでいないことを確認する。
  • ネットワーク内外のユーザーを保護するため、常時有効な保護を実装する。

どのような規模の企業であっても、専用のセキュリティ対策なくしてランサムウェアの脅威から逃れることはできません。ランサムウェア攻撃の被害を受けたり、攻撃された企業として報道されたりする事態を回避しましょう。

さらなる詳細については、Zscaler Cloud SandboxZscalerのランサムウェア対策を参照してください。

ランサムウェア対策の強化

さまざまな調査やニュースからも分かるように、ランサムウェアがなくなることはありません。Zscalerはこれまでに、圧倒的なスケーラビリティーによって、何千社ものお客様のネットワークをランサムウェアやその他の無数のサイバー攻撃から保護し、優れたユーザー エクスペリエンスを提供してきました。

全体的なセキュリティ戦略の改善のために、以下のリソースもあわせて確認しましょう。

ランサムウェアから組織を守る体制を整えましょう。Zscalerのランサムウェア対策の詳細については、こちらを参照してください。

おすすめのリソース

よくある質問

ランサムウェア攻撃はどのような仕組みになっているのですか?

一般的なランサムウェア攻撃は、4つの段階に分けて実行されます。具体的には、配信(フィッシング メールの送信と開封の誘導を行い攻撃を開始する段階)、エクスプロイト(マルウェアが読み込まれ攻撃規模が拡大する段階)、コールバック(マルウェアのペイロードがC2サーバーとの通信を試み窃取したデータを送信する段階)、デトネーション(マルウェアがデータを窃取してランサムウェアをインストールし、システムまたはデータを暗号化およびロックして、ターゲットの個人や企業がアクセスできない状態にする段階)です。

身代金は支払う必要があるのですか?

残念ながら、明確な答えはありません。GartnerのアナリストPaul Proctor氏は各自の捉え方次第だとして、次のように述べています。「盗まれたデータがビジネスに影響を与える度合いにかかっています。ビジネス上のマイナス面と身代金の額とを比較して最終決断をする必要があります」

ランサムウェアはビジネスにどのような影響を与えますか?

ランサムウェアがあらゆる業界のビジネスに被害を及ぼしていることは、日々ニュースで報じられているとおりです。ご存じの方も多いかとは思いますが、金銭的な損失、データの損失、会社の評判失墜、場合によっては法的措置の対象につながるなど、さまざまな面から業績に悪影響を及ぼす可能性があります。