リソース > セキュリティ用語集 > ランサムウェアとは?

ランサムウェアとは?

ランサムウェアとは?

ランサムウェアとは悪意のあるソフトウェア(マルウェア)の一種で、データを盗んで暗号化し、通常は暗号通貨で身代金を要求するものです。ランサムウェアの攻撃は、身代金を支払わない限り被害企業が自社のデータにアクセスできなくなるものがほとんどで、指定された制限時間内に身代金を支払わなければ、データが永遠に失われることが一般的です。暗号解除キーを得るためには、数百ドルから数十万ドル、まれに数百万ドルの支払いが求められます。

これまでは、ユーザのコンピューターやファイルをロックするランサムウェア攻撃の被害は、訓練を受けた専門家によって簡単に修復することができました。しかし、近年、ランサムウェアの攻撃はより巧妙になり、その被害に遭うと身代金を支払わない限りデータを永遠に失うというケースも少なくありません。

多くのランサムウェアファミリの亜種における最近の注目すべき変化は、データ流出機能の追加です。この新機能により、サイバー犯罪者は、被害者の組織から機密データを取り出してから、データを暗号化できるようになりました。取り出したデータは攻撃する側にとっての保険のようなもので、被害者は、しっかりとしたバックアップを取っていたとしても、データの流出を避けるために身代金を支払うことになるわけです。

2020年7月の攻撃では、あるランサムウェア集団が米国の大企業のネットワークに侵入して偵察し、ネットワーク内を移動して、ランサムウェアのペイロードを3万台のコンピュータに解き放ちました。その集団は、3万台のシステムを暗号化する前に、2テラバイト以上の機密情報を盗み出し、それをネット上で公開すると脅したのです。最終的には攻撃を受けた企業は450万ドルを支払いました。異例の高額な支払いでしたが、そのときの攻撃に使われた手口は、ますます一般的になっています。

ランサムウェアの歴史と攻撃の増加について

サイバー犯罪者は30年以上も前からランサムウェアを使った攻撃を行っていますが、近年では活動が活発化してきています。FBI によると、ランサムウェアによる攻撃は2012年から活発化しており、その勢いは衰える気配がありません。

2020年のThreatLabzのレポートでは、3月から9月の間に暗号化されたチャネルで配信されたランサムウェアが 500% 以上増加したことが示されています。 推定では、2020年だけでも、ランサムウェアは世界で200億ドル以上の損害を与えていると言われています。

近年のランサムウェアの攻撃対象は、自治体や学術機関が多かったのですが、新型コロナウィルスのパンデミックが始まってからは、病院やリモート勤務者がランサムウェア集団の新たな標的となっています。さらに、昨年は、暗号化されたトラフィック を介して配信されるランサムウェアの確認報告が大幅に増加しました。次世代ファイアウォールなどの従来のセキュリティ技術ではキャパシティに限界があるため、ほとんどの企業ではすべての暗号化トラフィックのインスペクションができません。攻撃者はこのことを知っているので、悪意のあるリンクや添付ファイルを隠すために暗号化を利用することが多くなっています。

ランサムウェアや、その他のマルウェアに感染しないための最善の方法は、コンピュータを慎重に賢く使いこなすことです。マルウェアの配信者はますます巧妙になってきており、ダウンロードしたりクリックしたりするものに注意する必要があります。

米国連邦捜査局(FBI)

ランサムウェアの仕組み

ランサムウェアは、 フィッシングメールや感染したリンクが貼られた広告、またはマルウェアが埋め込まれた偽のウェブサイトによって拡散されることがほとんどです。フィッシングメールは、あたかも正規の組織や被害者が知っている人物(標的型攻撃の場合)から送られてきたかのように見せかけ、ユーザを騙して悪意のあるリンクをクリックさせたり、悪意のある添付ファイルを開かせたりします。

個人を対象としたランサムウェアでは、文書、写真、財務情報などがロックされ、人質にされることがほとんどです。個人を標的にした方が攻撃はたやすくなりますが、企業、特に大規模な組織の方がはるかに魅力的です。攻撃者は、わずか一人の従業員にマルウェアをダウンロードさせることができれば、それをユーザのデバイスからネットワーク上に拡散させ、より高い報酬が得られるからです。攻撃を受けると、ビジネスに支障をきたすだけでなく、データの損失や流出の脅威にさらされ、金額的にも会社の評判にも壊滅的な損害が及ぶおそれがあります。

サイバーセキュリティ保険に資金を投じ、サイバー攻撃やデータ侵害の際のコストをカバーしている企業もありますが、ランサムウェアに関しては予防が一番の対策です。 

ランサムウェアから組織を守るために、米国 CISA(サイバーセキュリティ・インフラストラクチャーセキュリティ庁)とFBIは以下のことを推奨しています。

  • コンピュータをバックアップ して、 システムを以前の状態に復元できるようにしておく。
  • バックアップはネットワークからアクセスできないように別に保管 (外付けハードドライブやクラウドなどを利用)する。
  • コンピュータのアップデートやパッチの適用を行い、脆弱なアプリケーションやOSが標的にならないようにする。
  • 継続的かつ義務的なサイバーセキュリティ意識向上のためのセッションで従業員を教育し、現在の脅威とセキュリティのベストプラクティスを認識させる。知っている人からのメールであっても、添付ファイルを開いたりリンクをクリックしたりする前に、送信者の正当性を確認するなどの慎重な行動を徹底。
  • 組織がランサムウェア攻撃の被害に遭った場合に備えて、事業継続計画を作成する。

ランサムウェアは、個人や組織に甚大な被害をもたらします。コンピュータやネットワークに重要なデータが保存されている人は、政府や法執行機関、医療システムなどの重要なインフラ企業を含め、危険にさらされています。

米国サイバーセキュリティ・インフラストラクチャーセキュリティ庁

ランサムウェアは、技術的に巧妙であるというよりも、人間的要素の脆弱性を突いた攻撃です。簡単に言えば、何世紀にもわたって行われてきた犯罪の手口をデジタル化したものです。

米国ICIT(Institute for Critical Infrastructure Technology)

ランサムウェア攻撃の防止

最新のランサムウェア防御テクノロジは、効果が高いだけでなく、簡単に導入できます。確実なランサムウェア保護は、クラウドネイティブで構築されたセキュリティポスチャの採用から始めることで、接続する場所や使用するデバイスに関わらず、ユーザ、アプリケーション、機密データをランサムウェア攻撃からの保護を可能にします。

今日の最も一般的なランサムウェアの脅威に対応するためには、以下の原則とツールを予防戦略に組み込む必要があります。この戦略で、攻撃によるデータの公開や、ビジネスの中断、組織の時間と資金の損失を防いでください。

  • AIを活用したサンドボックス検疫により、疑わしいコンテンツを受信者に渡す前に保留・検査する
  • SSL/TLSで暗号化されたトラフィックをすべて検査し、隠れた脅威がないことを確認する
  • オンネットワークとオフネットワークのユーザを保護するため、常時オンの保護を採用する

どのような規模の企業であっても、専用のセキュリティ防御なしにランサムウェアから自らを保護することはできません。ランサムウェア攻撃の次の被害者になったり、攻撃された企業として報道されたりする事態を回避しなければなりません。Zscaler Advanced Cloud SandboxZscaler Ransomware Protectionの詳細を参照してください。

ランサムウェアはどこにでもあります。会社を守るために、常に最新情報を得るようにしましょう。

ブログを読む(英語)
セキュリティ・リサーチ・ブログ

ThreatLabZによる調査:2021年版暗号化された攻撃の現状

レポートを読む(英語)
ThreatLabZによる調査:2021年版暗号化された攻撃の現状

ランサムウェアはより巧妙になっており、防御を強化することが必要です。

ランサムウェア対策について
Zscaler ランサムウェア対策