ランサムウェアとは?
ランサムウェアとは悪意のあるソフトウェア(マルウェア)の一種で、データを盗んで暗号化し、通常は暗号通貨で身代金を要求するものです。ランサムウェアの攻撃は、身代金を支払わない限り被害企業が自社のデータにアクセスできなくなるものがほとんどで、指定された制限時間内に身代金を支払わなければ、データが永遠に失われることが一般的です。暗号解除キーを得るためには、数百ドルから数十万ドル、まれに数百万ドルの支払いが求められます。
これまで、ランサムウェアの攻撃でユーザのコンピュータやファイルがロックされても、訓練を受けた専門家が簡単に元に戻すことができました。しかし近年、ランサムウェアの攻撃はより巧妙になっており、多くの場合、被害者は身代金を支払うか、あるいはデータを永久に失うかのどちらかしか選択できなくなっています。
多くのランサムウェアファミリの亜種における最近の注目すべき変化は、データ流出機能の追加です。この新機能により、サイバー犯罪者は、被害者の組織から機密データを取り出してから、データを暗号化できるようになりました。取り出したデータは攻撃する側にとっての保険のようなもので、被害者は、しっかりとしたバックアップを取っていたとしても、データの流出を避けるために身代金を支払うことになるわけです。
2020年7月の攻撃では、あるランサムウェア集団が米国の大企業のネットワークに侵入して偵察し、ネットワーク内を移動して、ランサムウェアのペイロードを3万台のコンピュータに解き放ちました。その集団は、3万台のシステムを暗号化する前に、2テラバイト以上の機密情報を盗み出し、それをネット上で公開すると脅したのです。最終的には攻撃を受けた企業は450万ドルを支払いました。異例の高額な支払いでしたが、そのときの攻撃に使われた手口は、ますます一般的になっています。
ランサムウェアの歴史と攻撃の増加について
サイバー犯罪者は30年以上も前からランサムウェアを使った攻撃を行っていますが、近年では活動が活発化してきています。FBI によると、ランサムウェアによる攻撃は2012年から活発化しており、その勢いは衰える気配がありません。
2020年のThreatLabzのレポートでは、3月から9月の間に暗号化されたチャネルで配信されたランサムウェアが 500% 以上増加したことが示されています。 推定では、2020年だけでも、ランサムウェアは世界で200億ドル以上の損害を与えていると言われています。
近年のランサムウェアの攻撃対象は、自治体や学術機関が多かったのですが、新型コロナウィルスのパンデミックが始まってからは、病院やリモート勤務者がランサムウェア集団の新たな標的となっています。さらに、昨年は、暗号化されたトラフィック を介して配信されるランサムウェアの確認報告が大幅に増加しました。次世代ファイアウォールなどの従来のセキュリティ技術ではキャパシティに限界があるため、ほとんどの企業ではすべての暗号化トラフィックのインスペクションができません。攻撃者はこのことを知っているので、悪意のあるリンクや添付ファイルを隠すために暗号化を利用することが多くなっています。
ランサムウェアや、その他のマルウェアに感染しないための最善の方法は、コンピュータを慎重に賢く使いこなすことです。マルウェアの配信者はますます巧妙になってきており、ダウンロードしたりクリックしたりするものに注意する必要があります。
ランサムウェアの仕組み
ランサムウェアは、 フィッシングメールや感染したリンクが貼られた広告、またはマルウェアが埋め込まれた偽のウェブサイトによって拡散されることがほとんどです。フィッシングメールは、あたかも正規の組織や被害者が知っている人物(標的型攻撃の場合)から送られてきたかのように見せかけ、ユーザを騙して悪意のあるリンクをクリックさせたり、悪意のある添付ファイルを開かせたりします。
個人を対象としたランサムウェアでは、文書、写真、財務情報などがロックされ、人質にされることがほとんどです。個人を標的にした方が攻撃はたやすくなりますが、企業、特に大規模な組織の方がはるかに魅力的です。攻撃者は、わずか一人の従業員にマルウェアをダウンロードさせることができれば、それをユーザのデバイスからネットワーク上に拡散させ、より高い報酬が得られるからです。攻撃を受けると、ビジネスに支障をきたすだけでなく、データの損失や流出の脅威にさらされ、金額的にも会社の評判にも壊滅的な損害が及ぶおそれがあります。
サイバーセキュリティ保険に資金を投じ、サイバー攻撃やデータ侵害の際のコストをカバーしている企業もありますが、ランサムウェアに関しては予防が一番の対策です。
ランサムウェアから組織を守るために、米国 CISA(サイバーセキュリティ・インフラストラクチャーセキュリティ庁)とFBIは以下のことを推奨しています。
- コンピュータをバックアップ して、 システムを以前の状態に復元できるようにしておく。
- バックアップはネットワークからアクセスできないように別に保管 (外付けハードドライブやクラウドなどを利用)する。
- コンピュータのアップデートやパッチの適用を行い、脆弱なアプリケーションやOSが標的にならないようにする。
- 継続的かつ義務的なサイバーセキュリティ意識向上のためのセッションで従業員を教育し、現在の脅威とセキュリティのベストプラクティスを認識させる。知っている人からのメールであっても、添付ファイルを開いたりリンクをクリックしたりする前に、送信者の正当性を確認するなどの慎重な行動を徹底。
- 組織がランサムウェアの攻撃を受けた場合に備えて、事業の継続計画を作成する。
ランサムウェアは、個人や組織に甚大な被害をもたらします。コンピュータやネットワークに重要なデータが保存されている人は、政府や法執行機関、医療システムなどの重要なインフラ企業を含め、危険にさらされています。
ランサムウェアは、技術的に巧妙であるというよりも、人間的要素の脆弱性を突いた攻撃です。簡単に言えば、何世紀にもわたって行われてきた犯罪の手口をデジタル化したものです。
ランサムウェア攻撃の防止
最新のランサムウェア防御技術は、効果が高いだけでなく、簡単に導入することができます。十分なランサムウェア対策を行うためには、ユーザの接続先や使用しているデバイスに関わらず、ユーザ、アプリケーション、機密データをこれらの攻撃から守るために、クラウドにネイティブに構築されたセキュリティ態勢を採用することから始めます。
今日の最も一般的なランサムウェアの脅威に対応するためには、以下の原則とツールを予防戦略に組み込む必要があります。この戦略で、攻撃によるデータの公開や、ビジネスの中断、組織の時間と資金の損失を防いでください。
- AIを活用したサンドボックス検疫により、疑わしいコンテンツを受信者に渡す前に保留・検査する
- SSL/TLSで暗号化されたトラフィックをすべて検査し、隠れた脅威がないことを確認する
- オンネットワークとオフネットワークのユーザを保護するため、常時オンの保護を採用する
企業の規模に関わらず、専用のセキュリティ対策を講じなければ、ランサムウェアから安全に身を守ることはできません。ランサムウェア攻撃の次の被害企業になったり、それを報道されたりするような事態は阻止してください。 Zscaler 高度なクラウドサンドボックスと ランサムウェア対策 の詳細はこちらです。
ランサムウェアはどこにでもあります。会社を守るために、常に最新情報を得るようにしましょう。
ブログを読む(英語)
ThreatLabZによる調査:2020年版暗号化された攻撃の現状
レポートを読む(英語)
ランサムウェアはより巧妙になっており、防御を強化することが必要です。
ランサムウェア対策について