ランサムウェアの定義
ランサムウェアとは、被害者のデータを暗号化するマルウェアの一種のことで、感染すると、ファイルやネットワークへのアクセスを復元するために、攻撃者から「身代金」つまり金銭が要求されます。通常、身代金の支払いが行われると、被害者は暗号化解除キーを受け取り、ファイルへのアクセスを復元できます。身代金の支払いが行われないと、脅威アクターは、データリークサイト(DLS)にデータを公開したり、ファイルへのアクセスを永久にブロックします。
ランサムウェアは、政府セクター、教育セクター、金融セクター、医療セクターなどの広範なセクターを標的にした最も有名なマルウェアタイプの1つになっており、毎年、世界中で数百万ドルが強奪されています。
ランサムウェア攻撃の仕組み
ランサムウェアのタイプに関わらず簡単に説明しますが、ランサムウェアは、次のプロセスに従う傾向があります。
ステップ1:感染
ランサムウェアオペレータは、一般に、フィッシングEメールとソーシャルエンジニアリングの手法を使用して、被害者のコンピューターに感染します。ほとんどの場合、被害者が最終的にEメール内の悪意のあるリンクをクリックして、ランサムウェアの亜種がデバイスに取り込まれます。
ステップ2:暗号化
デバイスまたはシステムが感染した後、ランサムウェアは、貴重なファイルを検索し、暗号化します。亜種によっては、悪意のあるソフトウェアは、組織中の他のデバイスやシステムに拡散する機会を探します。
ステップ3:身代金の要求
データが暗号化されると、ファイルをロック解除するために暗号化解除キーが必要になります。暗号化解除キーを取得するには、被害者は、攻撃者への支払い方法(通常はBitcoin)を概説した身代金要求のメモに残された指示に従う必要があります。
Bitcoinを要求するハッカーからの身代金要求の手紙
ランサムウェアのタイプ
- 暗号化型ランサムウェア:この場合、ランサムウェアは体系的にシステムのハードドライブ上のファイルを暗号化するため、暗号化解除キーに対して身代金を支払わずに、暗号化解除することが難しくなっています。支払いには、BitCoin、MoneyPak、PaySafeCard、Ukash、またはプリペイド(デビット)カードの使用が求められます。
- スクリーンロッカー:ロッカーは、コンピューターやシステムから被害者を完全に締め出すため、ファイルおよびアプリケーションにアクセスできなくなります。ロックスクリーンには身代金の要求が表示され、緊急性を高めて被害者に行動するように駆り立てるためのカウントダウンクロックが表示されることもあります。
- スケアウェア:スケアウェアは、ポップアップを使用してウイルスに感染していると被害者に信じさせ、問題を修正する偽のソフトウェアをダウンロードするように指示する戦術です。
ランサムウェアの例
ランサムウェア攻撃の例を知っておけば、特定の亜種の仕組みとそれぞれの最善の保護方法を理解するのに役立ちます。亜種には次のものがあります。
亜種 | 説明 |
---|---|
CryptoLocker | CryptoLockerランサムウェアは、影響を与えたシステムの数と、強力な暗号化アルゴリズムを使用しているという両方の点で革命的でした。このグループは、主にバンキング関連の詐欺にボットネットを利用しました。 |
NotPetya | NotPetyaは、ネットワーク全体への自己増殖機能とランサムウェアとを組み合わせたものです。これは、SMBサービスでのCVE-2017-0144の脆弱性に対するEternalBlueエクスプロイトなど、複数の増殖方法を使用してMicrosoft Windowsマシンに拡散します。 |
Ryuk | WIZARD SPIDERは、2018年8月以来、Ryukランサムウェアを操っている巧妙なサイバー犯罪(eCrime)グループであり、高額な身代金を見返りに大規模な組織を標的にしています。 |
REvil (Sodinokibi) | Sodinokibi/REvilランサムウェアは一般に、脅威アクターであるPINCHY SPIDERと、サービスとしてのランサムウェア(RaaS)モデル下で活動しているその関連グループに関連付けられています。 |
WannaCry | WannaCryは、ファイルの共有を可能にするEternalBlueと呼ばれるMicrosoft Windowsエクスプロイトを使用して医療機関や公益事業会社を標的にすることで、ランサムウェアを拡散されるようにします。 |
Conti | Contiでは、ADVobfuscatorなどのコンパイラーベースの難読性手法を利用しているため、ランサムウェアのソースコードを構築する際のコードがわかりにくくなっています。検知を回避し、自動マルウェア分析システムを妨害するために、Contiのソースコードの一部は定期的に再構築または再作成されています。 |
Maze | Mazeランサムウェアは、世界中の複数の業界と組織を標的にしています。これは比較的新しく、ランサムウェア攻撃の被害者が攻撃者の要求に屈しなかった場合にプライベートデータを一般公開することで有名です。 |
BlackCat | Blackcatランサムウェアは、安全性の高いプログラミング言語Rustで記述された最初の専門的なランサムウェアの1つなので、よく使用されています。このため、さまざまなオペレーティングシステムに合わせてマルウェアを簡単にカスタマイズすることができます。 |
2024年版クラウドストライクグローバル脅威レポート
クラウドストライクのCounter Adversary Operationsチームによる最前線の調査に基づき、クラウドストライク2024年版グローバル脅威レポートではサイバー脅威の状況全体にわたる注目すべきテーマ、トレンド、イベントを取り上げています。
今すぐダウンロードランサムウェア攻撃の主な標的は誰ですか?
ランサムウェアは当初、一般市民のパーソナルコンピューターなど、個人的なシステムを標的にするものとして登場しました。しかしながら攻撃者は、従業員と顧客のデータの取得および保護に進んで金銭を支払う組織を標的にし始めて、その可能性を最大限に実現しました。最近では、ほとんどのランサムウェア攻撃は、このような攻撃から完全に保護するためのリソースが不足している中小規模の組織を含め、企業やその他の組織に対して行われています。
小規模ビジネスサイバーセキュリティサバイバルガイド
クラウドストライクの『小規模ビジネスサイバーセキュリティサバイバルガイド』を入手して、限られたリソースで脅威を特定し阻止する方法をご覧ください。
今すぐダウンロード最も影響を受ける業界には、銀行、公共事業、教育、政府、製造などがあります。攻撃者はまた、米国、カナダ、オーストラリアなど、世界でも裕福な地域や国でランサムウェア攻撃を実行することが多くなっています。これには2つの理由があります。このような地域に所在する裕福な企業からより多額の金銭を強奪したいためと、このような地域ではPC導入率が高い傾向にあるためです。
身代金を支払う必要はありますか?
FBIは、ランサムウェア攻撃に応じた身代金の支払いを支持していません。FBIは、身代金の支払いが、このビジネスモデルを助長させるだけでなく、テロ組織、マネーロンダラー、およびならず者国家の懐に入る恐れもあると考えています。さらに、身代金を支払ったことを公然と認めている組織がほとんどなくても、攻撃者はその情報をダークWebで公表しているので、新しい標的を探している他の攻撃者に知れ渡ってしまいます。
身代金を支払ったからといって、復元が速まるわけでも、復元が保証されるわけでもありません。複数の暗号化解除キーが存在することも、暗号化解除ユーティリティが正しくないことも、暗号化解除ツールが被害者のオペレーティングシステムと互換性がないことも、暗号化解除が二重になっていて暗号化解除キーが片方の層でしか機能しないことも、一部のデータは損なわれていることもあります。ランサムウェアの被害者の半数以上は、自らのシステムを正しく復元することができません。
身代金の支払い額はいくらですか?
ランサムウェアは依然として、サイバー犯罪者にとって最も儲かる戦術の1つです。クラウドストライクの年刊のグローバルセキュリティ意識調査によると、身代金支払い額は平均で179万ドルです。
ランサムウェアを除去する方法
ランサムウェアの感染拡大方法には、さまざまなものがあります。ランサムウェアは、ネットワーク上のデバイスに侵入すると、大きな損害をもたらし、業務停止に追い込む中断を引き起こす恐れがあります。機密データ、財政的健全性、ブランドの評判が危機にさらされるので、ランサムウェア攻撃を受けた場合の対処法を知っておくことは重要ですが、ランサムウェアに対する最善の防御策は事前の予防策によります。
ランサムウェアに遭遇した場合、次のステップを行うことが重要です。
1. 感染したデバイスを見つける
ネットワークに接続したすべてのデバイス(オンサイトとオフサイトの両方)の接続を切断する必要があります。必要に応じてワイヤレス接続(Wi-FiやBluetoothなど)も無効にします。ランサムウェア感染がネットワークに拡散し、重要なデータが強奪されたり暗号化されたりすることを阻止するのに役立つためです。
ランサムウェアがネットワークに侵入した場合、感染したデバイスを迅速に(侵害が残りのネットワークに拡散する前に)特定して隔離することが重要です。
最初に、ファイルの名前変更やファイル拡張子の変更など、ネットワーク上の疑わしいアクティビティを探します。システムが人的エラー(従業員がフィッシングEメールに記された疑わしいリンクをクリックしたなど)によって侵害された可能性が高いので、従業員が情報源として役立つ場合があります。感染したデバイスの特定に役立つ不審なアクティビティを経験した人や見つけた人がいないか尋ねてください。
2. セーフモードでリブートする
ランサムウェアのタイプによっては、デバイスをリブートしセーフモードで再起動すると拡散を阻止できます。「REvil」や「Snatch」などの一部のトロイの木馬はセーフモードブート中に動作できますが、これはすべてのランサムウェアに該当するわけではなく、セーフモードは、マルウェア対策ソフトウェアをインストールするまでの貴重な時間稼ぎになります。ただし、暗号化されたファイルはセーフモードでも暗号化されたままであり、データバックアップで復元する必要があることに注意してください。
3. ランサムウェア対策ソフトウェアをインストールする
感染したデバイスを特定し、ネットワークから切断したら、マルウェア対策ソフトウェアを使用してランサムウェアを除去する必要があります。デバイスが完全に暗号化解除される前に通常どおりの業務を試してみる場合は、未検知のマルウェアが復活し、さらに拡散してさらに多くのファイルが損なわれるというリスクがあります。
4. ランサムウェアプログラムをスキャンする
デバイスにランサムウェアや他のワームがないと確信できる場合は、ファイル拡張子の変更などの疑わしい振る舞いがないかを手動で検索するとともに、確実にシステムをスキャンしてください。また、次世代のファイアウォールを使用してください。コンピューターを復元したら、徹底的にスキャンして、再び大きな損害をもたらすおそれのある隠れたトロイの木馬をすべて明らかにする必要があります。
5. バックアップに頼る
サイバーセキュリティのリスクが至る所に潜んでいるような今の時代には、集中管理されたネットワークとは切り離して、すべてのデジタルデータのバックアップを取ることは、侵害が起きた場合に迅速に再稼働状態にして、ダウンタイムを最小限に抑えるために重要です。
すべてのデバイスが暗号化解除され、ウイルス対策ソフトウェアが搭載されたら、バックアップデータを使用して、損なわれたファイルを復元します。
ただし、その前にバックアップファイルに対してクイックチェックを実行してください。現代のランサムウェアは巧妙さと回復力が増大しているので、バックアップファイルも損なわれているおそれがあり、このデータをネットワークにロールアウトしてもステップ1に戻るだけになりかねません。
6. 攻撃について報告する
侵害発生後の最優先課題は拡散を阻止し、復旧フェーズを開始することですが、より広範な攻撃の結果についても考慮する必要があります。損なわれたデータは、事業だけでなく、従業員と顧客にも影響します。
一般にランサムウェアには情報漏えいの脅威が伴うので、できるだけすぐに当該官庁に報告する必要があります。
米国のデータ法は、実際には連邦レベルでは存在していません。ただし、個々の州と一部の連邦の規制の組み合わせにより、それらのデータコンプライアンス規制に厳しい罰金が課せられています。例えば、カリフォルニアでデータ侵害を被った場合は、CCPAに報告する必要があり、違反ごとに7,500ドルの罰金が課せられます。
ランサムウェアと他の形式のマルウェアは、法執行機関にも報告する必要があります。こうした機関では、責任者の特定と今後の攻撃の防止を支援してもらえます。以下で攻撃について報告できます。
ランサムウェアのソリューション – クラウドストライクのアプローチ
前述のように、ランサムウェア攻撃は、業務とデータプライバシーに悪影響を及ぼすおそれがあります。ランサムウェアから保護するには先手を打つことが不可欠と言っても過言ではありません。クラウドストライクのランサムウェア保護ソリューションは、この予防的アプローチの実施に役立ちます。組織の規模に応じて、Falcon Go、Falcon Pro、またはFalcon Enterprise製品バンドルで、エンドポイントやクラウドのワークロード、アイデンティティ、データなどの組織の攻撃対象領域を防御できます。