ランサムウェア対策とは?

ランサムウェア保護は、サイバー犯罪者が不正ソフトウェアを送り込んで実行し、企業のデータ、インフラストラクチャ、ネットワークへのアクセスを回復するために通常は暗号通貨の身代金の支払いを要求するのを防止するツール、テクノロジ、戦略で構成されます。

サイバー犯罪者は30年以上前からランサムウェアを利用して企業を脅し、巨額の資金を奪い取ろうとしてきましたが、2015年にはこの攻撃方法が広く使われるようになりました。米国連邦捜査局 (FBI)によると、2015年6月までに「CryptoWall」と呼ばれる種類のランサムウェアにより、1,800万米ドル以上の被害がもたらされました。ランサムウェアに関連するニュースが今でも世界中で次々と報道されているのは、従来の保護戦略では、サイバー犯罪者の進化し続ける手口に対応することができないからです。

最新のランサムウェア対策ツールはとても有効で、導入も簡単です。適切なランサムウェア保護は、ユーザ、アプリケーション、機密データをこれらの攻撃から保護するために、クラウドネイティブで構築された最新のセキュリティポスチャの採用から開始します。

 

今日の脅威に対抗し、これらの攻撃からネットワークやインフラストラクチャを保護する、効果的なランサムウェア対策戦略には、以下の原則とツールが必要です。

  • AIを活用したサンドボックスで、不審コンテンツを隔離し、インスペクションする
  • SSL/TLSで暗号化されたトラフィックをすべて検査
  • オフネットワーク接続を考慮した常時オンの保護を実現

現代的なソリューションとランサムウェア攻撃を事前に防ぐという新たな哲学の組み合わせは、今日のサイバーセキュリティのプレイブックにおいて最も効果的なランサムウェア保護モデルとして広く認識されています。このモデルについては後ほど詳述しますが、最初に、ランサムウェア全般について簡単に説明します。

 

ランサムウェア攻撃はどのように進行するか

ランサムウェアも他の多くのマルウェアと同様に、多くの場合に、ユーザが電子メールのマルウェアが含まれる添付ファイルをダウンロードしたり、不正リンクにアクセスしてしまったり、危険なWebサイトにアクセスしたりすることで、システムに侵入します。システムに侵入したランサムウェアは、そのシステムの重要なファイルやデータを暗号化したり、システムを完全にロックしたりし、攻撃者はシステムや暗号化したファイルのロックを解除する鍵と引き換えに身代金(多くの場合にビットコインやその他の暗号通貨)を要求します。以上が基本的な考え方ですが、ランサムウェアにはいくつかのサブタイプが存在し、攻撃者の目標によって異なる目的を果たします。

 

ランサムウェアのタイプ

1)暗号化ランサムウェア

最も有名なタイプのランサムウェアで、システムのファイルやデータを暗号化し、攻撃者が作成した復号鍵がなければ使用できないようにします。このタイプとサブタイプであるロッカーは、ダウンタイムが許されない組織を標的にする攻撃で特に有効です。

 

2)「ロッカー」ランサムウェア

ロッカーウェアは暗号化ランサムウェアに似ていますが、ファイルを暗号化するのではなく、システム全体からユーザを閉め出し、通常は攻撃者の身代金要求を「ロック画面」に表示します。

 

3)リークウェア

ドックスウェアとも呼ばれるこのタイプのランサムウェアは、個人や組織を標的にし、身代金を支払わなければ機密データをオンラインで公開したり、第三者に売却したりすると脅迫します。リークウェアは通常、電子メールのフィッシングで企業ネットワークに送り込まれます。

 

4)スケアウェア

スケアウェアは、恐怖、不確実性、疑念につけこんで、ユーザのデバイスにマルウェアなどの問題が見つかったと騙し、その偽の問題を解決するための支払いを要求します。

 

5)RaaS(Ransomware-as-a-Service)

RaaSプロバイダは、あらかじめ組み込まれたランサムウェアを使用するライセンスと引き換えに、他のサイバー犯罪者から代金を受け取ります。ソフトウェアが完全なランサムウェア攻撃を自動的に実行するため、「顧客」である犯罪者は通常、ほとんど何もする必要がありません。

 

ランサムウェア攻撃の一般的な標的

ランサムウェアが非常に有効である理由の1つは、基本的なウイルス対策やユーザ認証などの一般的なデータ保護を回避できるためです。さらには、クリティカルサービスやコストのためにダウンタイムのリスクが許されない冒せない組織、機密データが大量に存在する組織、身代金の支払い応じることができる組織など、特定のタイプの組織がランサムウェアに対してより脆弱であり、結果として、医療、IT、教育、製造などの一部の分野にこれらの攻撃が特に集中しています。

 

ランサムウェア保護オプション

様々なセキュリティソリューションに、ランサムウェアの検知と修復のためのツールが提供されており、いくつかの特定の機能に特化した専用のものも、より広範な脅威保護スイートの一部であるものもあります。

ゼットスケーラーは、クラウドネイティブのランサムウェア保護を提供し、主として3つの方法でランサムウェアから組織を保護します。

  • AIを活用したサンドボックスによる不審コンテンツの隔離とインスペクション
  • SSL/TLSで暗号化されたすべてのトラフィックのインスペクション
  • オフネットワーク接続をフォローする常時オンの保護

それぞれの分野について詳しく解説します。

 

AIを活用したサンドボックス隔離の利用

今日のランサムウェア亜種は標的に合わせて作成されているため、効果的な緩和を講じるには、新しい亜種やゼロデイ脅威を被害が出る前に阻止する必要があります。今では古くなった従来のランサムウェア対策では、未知のファイルを解析すると同時にユーザに渡すアウトオブバンドのマルウェア解析に頼っていました。このような「パススルー」方式では、不正ファイルの発見時にアラートが送信されますが、その段階ですでにファイルが標的に到達しているため、感染リスクが高くなります。

クラウドネイティブのプロキシアーキテクチャで構築された、AIを活用するサンドボックス隔離では、ファイルを配信前に隔離して完全に分析できるため、ペイシェントゼロの感染リスクをほぼ排除できます。従来のパススルー方式とは異なり、不審ファイルや見つかったことのないファイルを保留して分析するため、分析前に環境に送り込まれることはありません。

Zscaler Cloud Sandboxを始めとするクラウドネイティブのAIを活用するソリューションは、従来型のアンチマルウェアソリューションでは提供できない以下のメリットをもたらします。

  • グループ、ユーザ、コンテンツタイプごとに定義された詳細なポリシーにより、検疫アクションを完全にコントロール
  • 機械学習とクラウド向けに構築された世界最大のセキュリティプラットフォームであるZscaler Zero Trust Exchangeを活用し、未知のファイルのセキュリティをリアルタイムで判断します
  • 高速かつ安全なファイルのダウンロードを可能にし、不正と判断されたファイルを隔離します

Zscaler Cloud Sandboxは基本的には、認識できないファイルや不正ファイルがネットワークに到達しないようにすることで、ランサムウェア攻撃を防止します。

 

すべての暗号化されたトラフィックのインスペクション

インターネットトラフィックの90%が暗号化されるようになった今、攻撃者はこれを悪用してランサムウェアなどの攻撃を隠すようになりました。リスクを軽減するには、包括的なランサムウェア保護で、暗号化されたすべてのトラフィックをインスペクションする必要があります。ただ実際問題では、従来の技術では完全なSSL検査は困難です。トラフィックの復号化、インスペクション、再暗号化には膨大な処理能力が必要ですが、次世代ファイアウォールなどのほとんどのアプライアンスは、パフォーマンスを低下させることなくこれらを実行する十分な処理能力を持ち合わせていません。さらには、アプライアンスあるいはクラウドのVMどちらでも、SSLトラフィックをインスペクションすると、パフォーマンスが低下します。

では、徹底的なSSL/TLS検査の要求に応じられるソリューションとはどのようなものでしょうか?

ゼットスケーラーを始めとするクラウドネイティブのプロキシアーキテクチャでは、パフォーマンスへの影響やコストの高いアプライアンスの処理能力の拡張を心配することなく、スケーラブルかつ完全なSSLインスペクションを可能にします。6つの大陸の150か所以上のデータセンタに分散するグローバルクラウドを利用することで、ユーザ帯域幅が大幅に増加した場合も、パフォーマンスを低下させることなく、すべてのSSLトラフィックをインスペクションし、SSLに隠れたランサムウェア脅威を発見します。

これらすべてを組み合わせることで、暗号化されたトラフィックに潜むランサムウェア分析の困難さにより生じるセキュリティギャップを解消することができます。

 

オフネットワーク接続のフォロー

ランサムウェアという観点から、多くの組織が常時オンのセキュリティを可能にしようと格闘しています。今日の基準では、常時オンセキュリティとは、企業のセキュリティポリシーを拡張して、ユーザがVPNを切断したり、個人所有のデバイスを使用したり、自宅や公共のWi-Fiネットワークで接続したりしても、ネットワークの安全を確保することを意味します。データセンタや地域のゲートウェイに縛られる従来のアプローチに依存する企業は、オフネットワークのユーザにセキュリティポリシーを適用できないため、セキュリティコントロールの外側にいることを攻撃者に知られて、ランサムウェアを送り込まれてしまう恐れがあります。

ゼットスケーラーは、上述の最初の2つの戦略(AIを活用するサンドボックス隔離と完全SSLインスペクション)を、場所やデバイスに関係なくユーザに提供できます。すべてのネットワークのすべての接続に、既知および未知の脅威を発見して阻止するための同一の保護が適用され、ペイシェントゼロのランサムウェア感染から組織を保護します。

ランサムウェアを防止するこのアプローチは、Zscaler Zero Trust Exchangeでユーザ接続を保護することから始まります。オフネットユーザは、軽量のエンドポイントエージェントであるZscaler Client ConnectorをノートPCやモバイルデバイス(Android、iOS、macOS、WindowsのOSをサポート)に追加するだけで、本社と同じセキュリティツール、ポリシーの適用、アクセスコントロールによる保護を可能にできます。

Zscaler Client Connectorのデータシートを参照してください

 

ランサムウェア対策を今すぐ強化しましょう

さまざまな調査やニュースからも分かるように、ランサムウェアがなくなることはありません。ゼットスケーラーはこれまでに、圧倒的なスケーラビリティによって、何千社ものお客様のネットワークをランサムウェアやその他の無数のサイバー攻撃から保護し、優れたユーザエクスペリエンスを提供してきました。

セキュリティ戦略の策定にあたって参照すべき、いくつかのリソースを以下に紹介します。