リソース > セキュリティ用語集 > ランサムウェアとは

ランサムウェアとは

ランサムウェアとは悪意のあるソフトウェア(マルウェア)の一種で、データを盗んで暗号化し、多くの場合暗号通貨で身代金を要求するものです。ランサムウェア攻撃は、身代金を支払わない限り被害企業が自社のデータにアクセスできなくなる場合が多く、指定された制限時間内に身代金を支払わなければ、データが永遠に失われることが一般的です。複合化キーを得るためには、数百ドルから数十万ドル、まれに数百万ドルの支払いが求められます。

これまでは、ユーザのコンピューターやファイルをロックするランサムウェア攻撃の被害は、訓練を受けた専門家によって簡単に修復することができました。しかし近年、ランサムウェアの攻撃はより巧妙になり、その被害に遭うと身代金を支払わない限りデータを永遠に失うというケースも少なくなくなりました。

多くのランサムウェアファミリーの亜種における最近の注目すべき変化は、データ抽出機能が追加されたことです。この新機能により、サイバー犯罪者は被害組織から機密データを抽出してからデータを暗号化できるようになりました。抽出されたデータは攻撃する側にとっての保険のようなもので、被害組織は予めバックアップを取っていたとしても、多くの場合データの流出を避けるために身代金を支払うことになります。

2020年7月の攻撃では、あるランサムウェア集団が米国の大企業のネットワークに侵入して偵察を行い、ネットワーク内を移動して、ランサムウェアのペイロードを3万台のコンピュータに展開しました。その集団は、3万台のシステムを暗号化する前に2テラバイト以上の機密情報を抽出し、ネット上で公開すると脅したのです。最終的には攻撃を受けた企業は450万ドルを支払いました。異例の高額な支払いでしたが、この攻撃に使われた手口はさらに一般的になっています。

ランサムウェアの歴史と攻撃の増加について

サイバー犯罪者は30年以上も前からランサムウェアを使った攻撃を行っていますが、近年その活動が活発化してきています。FBIによると、ランサムウェアによる攻撃は2012年から活発化しており、その勢いは衰える気配がありません。

2020年のThreatLabzのレポートでは、3月から9月の間に暗号化されたチャネルで配信されたランサムウェアが500%以上増加したことが示されています。推定では、2020年だけでもランサムウェアは世界で200億ドル以上の損害を与えていると考えられています。

近年のランサムウェアの攻撃対象は自治体や学術機関が多かったものの、新型コロナウイルスのパンデミックが始まって以降、病院やリモートで働く人々がランサムウェア集団の新たな標的となっています。さらに、昨年は暗号化されたトラフィックを介して配信されるランサムウェアの報告が大幅に増加しました。次世代ファイアウォールなどの従来型のセキュリティテクノロジにはキャパシティに限界があるため、ほとんどの組織ではすべての暗号化トラフィックの検査を行えません。攻撃者はこのことを把握しており、悪意のあるリンクや添付ファイルを隠すために暗号化を利用することが多くなっています。

ランサムウェアやその他のマルウェアを回避するための最善の方法は、コンピュータを慎重に賢く使うことです。マルウェアの配信者の手口はますます巧妙になってきており、ダウンロードしたりクリックしたりするものに注意する必要があります。

米国連邦捜査局(FBI)

ランサムウェアの仕組み

ランサムウェアは、フィッシングメールや感染したリンクが貼られた広告、またはマルウェアが埋め込まれた攻撃用のウェブサイトによって拡散されることが最も一般的です。フィッシングメールはあたかも正規の組織や、標的型攻撃の場合には被害者が知っている人物から送られてきたかのように見せかけられており、ユーザを騙して悪意のあるリンクをクリックさせたり、悪意のある添付ファイルを開かせたりします。

個人を対象としたランサムウェアでは、文書、写真、財務情報などがロックされ、人質にされることがほとんどです。個人は標的にやすい一方、企業や特に大規模な組織の方が標的としてははるかに魅力的です。攻撃者は、従業員の1人にでもマルウェアをダウンロードさせることができれば、当該ユーザのデバイスからネットワーク上に拡散させ、より大きな見返りを得られるからです。攻撃を受けると、ビジネスに弊害がもたらされるだけでなく、データの損失や流出の脅威にさらされ、金銭的の面でも会社の評判の面でも壊滅的な損害が及ぶおそれがあります。

サイバーセキュリティ保険に資金を投じ、サイバー攻撃やデータ侵害の際のコストをカバーしている組織もありますが、ランサムウェアに関しては防止することがなによりの対応です。 

ランサムウェアから組織を守るために、米国のCISA(サイバーセキュリティインフラストラクチャーセキュリティ庁)とFBIは以下のことを推奨しています。

  • コンピュータのデータのバックアップをとり、システムを以前の状態に復元できるようにしておくこと。
  • 外付けハードドライブやクラウドなどを利用してバックアップは別に保管し、ネットワークからアクセスできないようにすること。
  • コンピュータのアップデートやパッチの適用を行い、脆弱なアプリケーションやOSが標的にならないようにすること。
  • サイバーセキュリティ意識向上のための継続的かつ必修のセッションで従業員を教育し、最新の脅威とセキュリティに関するベストプラクティスを認識させること。また、知っている人物からのメールであっても、添付ファイルを開いたりリンクをクリックしたりする前に、送信者の正当性を確認するなどの慎重な行動を徹底すること。
  • 組織がランサムウェア攻撃の被害に遭った場合に備えて、事業継続計画を作成すること。

ランサムウェアは個人や組織に甚大な被害をもたらす恐れがあります。コンピュータやネットワークに重要なデータが保存されている人や団体は、政府や法執行機関、医療システムなどの重要なインフラ企業を含め、危険に晒されています。

米国サイバーセキュリティインフラストラクチャーセキュリティ庁

ランサムウェアは、技術的に巧妙であるというよりも、人間的な要素の脆弱性を悪用した攻撃です。簡単に言えば、何世紀にもわたって行われてきた犯罪の手口をデジタル化したものです。

ICIT(クリティカルインフラストラクチャテクノロジー研究所)

ランサムウェア攻撃を防止するために

最新のランサムウェア防御テクノロジは、効果が高いだけでなく、簡単に導入できるのが特徴です。ランサムウェア保護を充実させるには、クラウドでネイティブに構築されたセキュリティポスチャを採用することから始め、接続する場所や使用するデバイスに関わらず、ユーザ、アプリケーション、機密データをランサムウェア攻撃から保護することが重要です。

現在特に頻発しているランサムウェアの脅威に対応し、攻撃によるデータの漏洩や、ビジネスへの弊害、組織の時間と資金の損失を防ぐには、以下の原則とツールを防止戦略に組み込む必要があります。

  • AIを活用したサンドボックス検疫により、不審なコンテンツを受信者に渡す前に保留、検査すること。
  • SSL/TLSで暗号化されたトラフィックをすべて検査し、脅威が潜んでいないことを確認すること。
  • ネットワーク内外のユーザを保護するため、常時有効の保護を実装すること。

どのような規模の企業であっても、専用のセキュリティ防御なくしてランサムウェアからの保護を得ることはできません。ランサムウェア攻撃の被害を受けたり、攻撃された企業として報道されたりする事態を回避しましょう。詳細についてはZscaler Advanced Cloud SandboxZscalerのランサムウェア対策を参照してください。

いたるところに潜むランサムウェアの脅威から企業を守るために、最新の情報を得ましょう

ブログを読む
セキュリティリサーチブログ

ThreatLabzによる調査:2021年版暗号化された攻撃の現状

レポートを読む
ThreatLabZによる調査:2021年版暗号化された攻撃の現状

ランサムウェアはより巧妙になっており、防御の強化が必要です

ランサムウェア対策について
Zscalerのランサムウェア対策