ランサムウェアとは

ランサムウェアの歴史と攻撃の増加について

サイバー犯罪者は30年以上前からランサムウェアを用いた攻撃を行っていますが、近年ではその活動が急増してきています。FBIによるとランサムウェア攻撃は2012年から活発化しており、その勢いは衰える気配がありません。

これまでは、ユーザーのファイルやコンピューターをロックするランサムウェア攻撃の被害は、訓練を受けた専門家によって簡単に修復することが可能でした。しかし近年、ランサムウェア攻撃は巧妙化しており、身代金を支払わなければデータが完全に失われてしまうケースが多くなっています。

多くのランサムウェア ファミリーの亜種における最近の注目すべき変化は、データの抜き取り機能が追加されている点です。これによって、サイバー犯罪者は、ターゲットの組織の機密データを暗号化する前に抜き取ることが可能です。データが適切にバックアップされている場合でも、盗まれたデータが公開されることを回避するためにターゲットは身代金の支払いを余儀なくされるため、抜き取ったデータは攻撃者にとって保険として機能します。

次世代ファイアウォールなどの従来型のセキュリティ技術にはキャパシティー上の制約があるため、ほとんどの組織では、エンドポイントで送受信される暗号化トラフィックをすべてインスペクションすることはできません。このことは攻撃者も把握しており、暗号化を利用してリンクや添付ファイルに悪意のあるコードを隠すケースが増えています。

ランサムウェアの仕組み

ランサムウェアを拡散する方法としては、悪意のあるリンクを含むフィッシング メールや広告、またはマルウェアが埋め込まれたWebサイトを使用した手口が最も一般的です。フィッシング メールは、(標的型攻撃では)正当な組織や知っている相手からのものを装っていることが多く、ターゲットのユーザーを欺いて悪意のあるリンクをクリックさせたり、悪意のある添付ファイルを開かせてランサムウェアのペイロードをマシンに展開することを狙っています。

個人を標的とするランサムウェア攻撃では、ドキュメント、写真、金融情報などがロックされ、身代金を要求されるケースが最も一般的です。攻撃が成功する可能性は個人を狙った方が高くなり得る一方、企業(特に大規模な組織)の方が攻撃対象としては格段に魅力的です。従業員たった1人にでもマルウェアをダウンロードさせることができれば、そのコンピューターまたはモバイル デバイスから組織のネットワークに拡散させられる可能性があり、成功すればはるかに多額の身代金を得られます。攻撃を受けた組織は業務が妨げられるだけでなく、データの損失や流出の脅威にさらされ、金銭的な面でも会社の評判の面でも、莫大な損害を被る可能性があります。

ランサムウェア攻撃の種類と実例

無数の種類が存在するランサムウェアとランサムウェア グループの中でも、最も一般的でよく見られるものは以下のとおりです。

• Cryptolocker: 複数のセキュリティ企業と法執行機関による国際的な協力により、2014年に大部分が無力化されましたが、それまでの成功の結果、これを模倣したマルウェアが数多く生まれています。
• GandCrab: VirusTotalのRansomware in Global Contextによると、2020年以降、ランサムウェア攻撃において最も多く発生しているファミリーで、レポート用に採取したサンプルの78.5%がこのファミリーによるものでした。
• REvil/Sodinokibi: 法律業界やエンターテインメント業界、公共機関で大量の情報を窃取しているグループです。最初に注目されたのは2020年5月でしたが、2021年3月～10月にかけてKaseya VSA攻撃を含む連続攻撃が毎月実施されました。
• WannaCry: Microsoft Windowsのオペレーティング システムを標的とするランサムウェア クリプトワームであり、2017年の登場以来世界中で300,000以上のシステムに被害を及ぼしています。
• Ryuk: 医療業界、公共機関、教育機関(特に米国の学校関連のシステム)に被害を与えた多くのグループと関連のあるランサムウェア ファミリーです。
• Evil Corp: フィッシング メールを介して展開され、銀行の資格情報を窃取することで知られるマルウェアの一種「Dridex」を開発した犯罪グループです。Direx以降も、WastedLocker、BitPaymer、DoppelPaymerなどといったランサムウェアとの関係が確認されています。

ここに挙げたのは特に注目すべきランサムウェアの一例に過ぎません。日々新たな亜種が生まれており、それぞれが多様な攻撃ベクトルを持っています。ランサムウェア攻撃に対してどの程度安全なのか、無料のインターネット脅威エクスポージャー分析を実行してご確認ください。

Ransomware as a Service (RaaS)

Ransomware as a Service (サービスとしてのランサムウェア)は、ランサムウェア攻撃の普及と成功を受けて生まれました。多くの合法的なSaaSシステムと同様に、RaaSツールは通常サブスクリプションベースで、ダークWeb上で簡単かつ安価で入手できます。そして、プログラミング スキルがなくても、簡単に攻撃を仕掛けることができます。RaaS攻撃が成功すると、身代金はサービス プロバイダー、コーダー、およびサブスクライバーの間で分割されます。

ランサムウェア対策のベスト プラクティス

サイバー攻撃やデータ侵害が発生した際の損失をカバーするためにサイバーセキュリティ保険に加入している組織もありますが、予防に勝るランサムウェア対策はありません。ランサムウェアから組織を保護するために、CISA (サイバーセキュリティおよびインフラ セキュリティ庁)とFBIでは以下の対策を推奨しています。

• システムを以前の状態に復元できるようにコンピューターのバックアップを取っておく。
• バックアップ データは外付けハード ドライブやクラウドなどに保存し、ネットワークを通じてアクセスできないようにする。
• コンピューターを更新してパッチを適用し、アプリケーションやオペレーティング システムの脆弱性を取り除く。
• 従業員にサイバーセキュリティ意識向上のための継続的なトレーニングの受講を義務付け、サイバー脅威の現状とセキュリティのベストプラクティスについて認識してもらい、知っている相手からのメールであっても、添付ファイルを開いたりリンクをクリックする前に送信者の正当性を確認するなど、慎重な行動を徹底する。
• 組織がランサムウェア攻撃の被害を受けた場合に備え、復旧に向けた事業継続計画を策定する。
• マルウェア対策ソフトウェアやウイルス対策ソフトウェアを使用し、ユーザーが脅威に直面した際、大きな被害を招く前にそれを阻止できるようにする。
• ゼロトラストを使用して強力な認証手段を実装し、ネットワーク、アプリケーション、データの侵害を防止する。

最も効果的な防御テクノロジー

最新のランサムウェア防御テクノロジーは、効果が高いだけでなく、簡単に導入できるのが特徴です。ランサムウェア対策を充実させるには、クラウド ネイティブに構築されたセキュリティ ソリューションを採用することから始め、接続する場所や使用するデバイスに関わらず、ユーザー、アプリケーション、機密データをランサムウェア攻撃から保護することが重要です。

今日特によく見られるランサムウェアの脅威に対応し、攻撃によるデータ漏洩、ビジネスへの影響、組織の時間的、金銭的損失を防ぐには、以下の原則とツールを対策に組み込む必要があります。

• AI活用型のサンドボックス検疫により、不審なコンテンツを受信者に渡す前に保留、検査する。
• SSL/TLSで暗号化されたトラフィックをすべて検査し、脅威が潜んでいないことを確認する。
• ネットワーク内外のユーザーを保護するため、常時有効な保護を実装する。

どのような規模の企業であっても、専用のセキュリティ対策なくしてランサムウェアの脅威から逃れることはできません。ランサムウェア攻撃の被害を受けたり、攻撃された企業として報道されたりする事態を回避しましょう。

ランサムウェア対策の強化

さまざまな調査やニュースからも分かるように、ランサムウェアがなくなることはありません。Zscalerはこれまでに、圧倒的なスケーラビリティーによって、何千社ものお客様のネットワークをランサムウェアやその他の無数のサイバー攻撃から保護し、優れたユーザー エクスペリエンスを提供してきました。

全体的なセキュリティ戦略の改善のために、以下のリソースもあわせて確認しましょう。

• インターネット脅威への暴露分析—無料の脅威へのエクスポージャー分析ツール(英語)
• 被害発生前にランサムウェアを阻止する3つの秘訣—オンデマンド ウェビナー(英語)
• 被害発生前にランサムウェアを阻止する3つの秘訣—ホワイト ペーパー
• Zscaler Cloud Sandbox
• Zscaler SSLインスペクション