/ ランサムウェア攻撃とは - 仕組みと対策
ランサムウェア攻撃とは - 仕組みと対策
ランサムウェア攻撃はマルウェア攻撃の一種であり、攻撃者がファイルやデータを暗号化したり盗んだりして身代金を要求します。また、データの破棄や公開が脅迫材料に使われる場合もあります。被害者が金銭を支払うと、復号キーが提供されたり、盗まれたデータが削除されたりするのが一般的です。リモート ワークやハイブリッド ワークが普及し、エンドポイントが新たな脆弱性にさらされるようになったことで、ランサムウェアは急速に拡大しています。
増加の一途をたどるランサムウェア
ランサムウェア攻撃はここ数年で急速に進化しており、攻撃件数は増加の一途をたどっています。同時に、より高度な回避機能を備えたランサムウェアも増えつつあり、これまで以上に深刻な被害が確認されています。また、Ransomware as a Service (RaaS)モデルが新たに加わったことで、専門知識を持たない攻撃者でも簡単に攻撃を仕掛け、利益を得られるようになっています。
一方、古い手口に新たな工夫が施された攻撃も生まれています。例えば、暗号化とデータ窃取を組み合わせて被害者への圧力を倍増させる二重脅迫型やデータの持ち出しに焦点を当てた「暗号化しない」攻撃などがこれに当たります。
このようにさまざまな手口が登場しており、これまでのファイルの復元や復号が意味をなさなくなってきています。現代の脅威環境に対処するには、予防に重点を置いた対策こそが不可欠なのです。
ランサムウェア攻撃の仕組み
ランサムウェア攻撃は通常、次のような流れで行われます。
最初の侵害
大多数のランサムウェア攻撃はフィッシング メールから始まります。小売業者や銀行などを装い、配達の遅延や不正な取引などに関する内容となっています。メールには感染したファイルやリンクが含まれており、それを開くとマルウェアが被害者のデバイスにドロップされ、攻撃が開始されます。
ラテラル ムーブメント
マルウェアがデバイスに感染すると攻撃が拡散されます。感染したデバイスがネットワーク上にある場合、マルウェアはドメイン コントローラーを侵害するか、認証情報を盗み出すことで、ネットワーク全体を移動して他のデバイスに感染します。
実行
マルウェアは十分なアクセス権を取得すると実行され、被害者のデータを持ち出したり、盗んだりします。そして最終的に被害者に身代金が要求されますが、支払期限を過ぎるとそのデータは販売されたり、リークされたり、消失したりする場合がほとんどです。暗号化の攻撃手法を用いる攻撃者は通常、被害者が身代金を支払えばデータのロックを解除する復号キーを提供することを約束します。ただし、必ずしも復号キーが提供されるわけではなく、提供されたとしても機能しない場合もあります。
ランサムウェア攻撃の歴史
ランサムウェアを使った最初の攻撃は1989年に発生しました。世界保健機関(WHO)の国際エイズ会議の後、参加者にトロイの木馬ウイルスが仕込まれた「エイズ関連情報」のフロッピー ディスクが配布されました。このトロイの木馬は感染したシステム上のファイルを暗号化し、アクセスを復元するにはパナマの住所に189ドルを送金するよう要求するものでした。
1990年代初頭には、恐怖心を逆手に取るソーシャル エンジニアリング技術、通称「スケアウェア」が登場しました。これは、感染したコンピューターにリンク付きのエラー メッセージを表示させ、問題を解決するにはソフトウェアを購入してダウンロードするよう指示するものでした(当然ながら、このソフトウェアにはさらに多くのマルウェアが組み込まれており、データを盗むように設計されたものがほとんどでした)。スケアウェアは現在もマルスパムやブラウザーのポップアップなど、さまざまな形で存続しています。
ファイル共有の増加により、スクリーン ロッカーと呼ばれるランサムウェアのカテゴリーが普及しました。この脅威はファイルを暗号化する代わりに、ユーザーのシステムをロックし、身代金または「罰金」(警察やFBIなどになりすますケースが多いため)を要求します。ほとんどのロッカーはマウス可動域を制限するのみで、システムを再起動すれば元通りになるものでした。それにもかかわらず、恐怖心から多くの被害者が罰金を支払いました。
ランサムウェアと暗号通貨のつながり
ランサムウェアは当初、個人ユーザーに対してのみ身代金を要求し、その額も最大数百ドル程度というものでした。また、身代金は一般的な支払いカードで行われていたため、取り引きの追跡が非常に簡単で脅威アクターの逮捕にもつながりやすい状況でした。
現在、サイバー犯罪と暗号技術の進化により、ランサムウェアは爆発的に増加しています。特に、ビットコインやその他の暗号通貨(匿名性と暗号化に基づくデジタル通貨)で行われた取り引きはほぼ追跡できないため、悪意のあるアクターは自分の素性を完全に隠すことができます。
Ransomware as a Service (RaaS)
ランサムウェアの人気の高まりやその成功の副産物として生まれたRaaSツールは、合法的なSaaS製品と同様にサブスクリプションをベースとして手頃な価格で提供されています。ダークWebで簡単に入手でき、プログラミング スキルがなくてもサイバー攻撃を仕掛けられ、利益を部分的に得ることも可能です。一部のRaaSプロバイダーは、技術サポートやバグ バウンティー(報奨金制度)も提供しています。
二重脅迫型ランサムウェア
データのバックアップと復号の技術が向上し、事態は被害者に有利な方向に動き始めました。それに対して2019年、TA2102と呼ばれる犯罪グループが被害者のデータを暗号化して盗み出し、ビットコインで230万ドルを支払わなければリークすると脅迫する、初の二重脅迫型ランサムウェア攻撃を実行しました。こういった二重脅迫型の場合、被害者がデータを復元できたとしても、身代金を支払わない限り深刻なデータ侵害の影響を被ることになります。
暗号化しないランサムウェア
2022年と2023年には、ランサムウェアの定義を根本的に覆すスタイルが現れました。進化形でありながら、一種の退行ともいえる暗号化しないランサムウェア攻撃では、被害者のファイルを暗号化する代わりに、機密データを盗み出すことだけに焦点が当てられています。
この種の攻撃は、特に法律や医療など機密性の高いPIIを扱う業界に狙いを定めています。これは、こうした業界が機密データの漏洩を防ぐことを何よりも重視しており、暗号化に関係なく身代金を支払うケースが多いためと考えられます。さらに、暗号化されていないデータはスピーディーかつ簡単に復元できるため、被害者が身代金を支払うまでの時間が短い傾向にあります。
ランサムウェア攻撃の種類と実例
ランサムウェアやランサムウェア グループの種類は数多くありますが、ここではその中でも最も一般的なものをいくつか紹介します。
- CryptoLocker:強力な暗号化と大規模なボットネットを特徴とし、2013年と2014年に大きな成功を収めており、現在もそのスタイルを模倣した攻撃が確認されています。
- WannaCry: Windowsのオペレーティング システムを標的とするクリプトワームで、2017年の登場以来、世界中で300,000以上のシステムに被害を及ぼし続けています。その規模と世界的影響により、史上最大のランサムウェア攻撃の一つとなっています。
- NotPetya: WannaCryの直後に出現したNotPetyaは当初、2016年のPetyaランサムウェアの亜種とみられていましたが、暗号化されたデータを復元する方法はなく、実際にはロシアのハッカー グループ「Sandworm」による悪質な「破壊ウェア」であることがわかりました。
- Ryuk:このランサムウェアは、医療業界、公共機関、教育、特に米国の学校システムに影響を与えた多くのランサムウェア グループと関係があります。
- REvil: REvilは法律関係、エンターテインメント、公共機関への侵害で知られており、2020年5月から2021年10月にかけて、Kaseya VSA攻撃を含む集中攻撃を行いました。
- DarkSide:このランサムウェアの亜種は、最も有名な二重脅迫型攻撃の一つである2021年のColonial Pipeline攻撃に関与しています。通常はサービスとして提供し、利用者が得た利益の一部を受け取るという形態をとっています。
- GandCrab: VirusTotalの2021年版Ransomware in a Global Contexレポートでは、GandCrabがその年で最も一般的なランサムウェア攻撃として挙げられており、レポートのために採取されたサンプルの78.5%を占めていたことが確認されています。
- LockBit: 2022年後半にLockBitの作成ツールが流出し、無数の新たな攻撃者によって悪用されたため、2023年で最も増殖した亜種となりました。このランサムウェアによって800人以上がデータ流出の被害を受けたことがわかっています。
ランサムウェアが配信される仕組み
攻撃者はランサムウェアを配信する新たな手口を開発し続けていますが、すでに一般的で効果的な手法が確立されています。ランサムウェアの主な攻撃ベクトルとして、次の7つが挙げられます。
- フィッシング:感染したリンクや添付ファイルを含む詐欺メールなどでユーザーをだまし、ランサムウェアをシステム内に侵入させます。
- ドライブバイ ダウンロード:攻撃者はソフトウェア、OS、またはブラウザーの脆弱性を悪用して、被害者が侵害されたWebサイトまたはリンクにアクセスすると、気づかないうちにランサムウェアがダウンロードされます。
- ソフトウェアの脆弱性:攻撃者はアプリケーションまたはシステムの弱点を悪用してネットワークに侵入し、そこからランサムウェアを直接展開します。
- 悪意のあるWebサイト:攻撃者はランサムウェアをホストする不正なサイトを作成し、訪問者にランサムウェアをダウンロードさせるよう仕向けます。
- 水飲み場型攻撃:攻撃者は狙った被害者がアクセスする正規のWebサイトを侵害し、ソーシャル エンジニアリングを使用して訪問者を誘導しながらランサムウェアをダウンロードさせます。
- リモート デスクトップ プロトコル(RDP)攻撃:ハッカーは、一般的にログイン認証情報をクラッキングまたは窃取してRDP接続に不正にアクセスし、標的とするネットワークに直接ランサムウェアを展開します。
- マルバタイジング(悪意のある広告):攻撃者は感染した広告を正規のWebサイトに掲載し、被害者が広告にアクセスするとシステムがランサムウェアに感染します。
身代金を支払うべきか否か
多くのランサムウェア被害者にとって「身代金を支払うべきか否か」は非常に難しい問題です。
データを守るためであれば、身代金の支払いはやむを得ないと考える組織も少なくありませんが、果たしてそれは正しい対処法なのでしょうか?2021年以降に発表された複数のレポートによると、身代金を支払った組織の約80%が攻撃を繰り返し受けていることが明らかになっています。CISOであるBrad Moldenhauerは、「デジタル通貨による身代金の支払いがサイバー犯罪を助長しているのは確かで、テロ行為を深刻化させている可能性もある」と述べています。
次のような観点からもこの問題を考える必要があります。
- 攻撃者にデータを返す意図があったとしても、データの復元は保証されていない(NotPetyaの詳細はこちら)。
- 状況や地域によっては身代金の支払いは違法である(詳細はこちら)。
- 二重脅迫型の場合、データを復元できたとしても、攻撃者はコピーを保持しており、金銭を支払わなければデータが公開される可能性がある。
支払うか否かの選択は、組織の状況によって変わるといえるでしょう。侵害やデータ損失の可能性が業務、ユーザー、顧客にどのような影響を与えるかを考慮することが重要です。
ランサムウェアがビジネスに与える影響
ランサムウェアは世界中のあらゆる組織に影響を与えており、攻撃件数は年々増加しています。また、収益や評判などに悪影響を及ぼす恐れもあります。
資本やデータの損失
データの損失か金銭の損失かを選択することは非常に難しく、特に機密情報を扱う業界にとっては大きな課題となっています。身代金の要求を無視すればデータが漏洩するリスクを抱えることになり、仮に身代金を支払ったとしても、データを取り戻せる保証はありません。
企業イメージの低下
身代金の支払いの有無にかかわらず、犯罪行為の発生は報告する義務があるため、公に報じられる可能性があります。そうなれば、たとえ組織自体に過失がない場合でも、ビジネスまたは顧客の信頼、あるいはそのどちらも失うリスクがあります。
法的影響
米国では、身代金の支払いをほとんどの場合に違法とする州が増えています。世界の他の地域でも同様の措置が検討されています。さらに、侵害が発生すると規制当局による監視が強化され、罰金やその他の法的費用が課せられる可能性があります。
ランサムウェアを削除する方法
ランサムウェアへの感染が疑われる場合は、感染の拡大を防ぐために次のようなステップを実行する必要があります。これらをすぐに行うことで、ランサムウェアを削除できる場合があります。
ステップ1:感染したデバイスを隔離します。有線と無線の接続からすべて切断します。必要な場合にはAC電源からも切断して、ランサムウェアの拡散を防ぎます。実行前のランサムウェアを発見した場合、攻撃者が身代金を要求する前にシステムからランサムウェアを削除できる可能性があります。
ステップ2:現在の状況を確認します。IT部門またはセキュリティ部門に感染状況の確認を依頼し、自分が次に何をすべきか指示を求めます。一部の亜種に対応する復号ツールもありますが、期待どおりの結果にならない場合があります。復号ツールは高度なランサムウェアに対しては機能しないケースもあり、二重脅迫型の場合にはほぼ効果を発揮しません。
ステップ3:失われたデータを復元します。通常はバックアップから復元します。定期的なバックアップは、すべてのデータを確実に復元するための唯一の方法です。データを復元できない場合は、身代金を支払う前に、生じる可能性のある法的および経済的影響を慎重に検討してください。
ステップ4:ランサムウェアを削除します。ここでは通常、セキュリティ専門家のサポートが必要になります。場合によっては、FBIなどの法執行機関にも相談することをお勧めします。サポート担当者は感染の根本原因を調査して、攻撃のきっかけとなった脆弱性を特定します。
ステップ5:感染原因への対策を講じます。バックドアの悪用、メール フィルタリングの不備、ユーザーのトレーニング不足など、十分な対策が講じられていなかった場所を強化します。攻撃を繰り返し受ける可能性は常にあり、実際に起こっているため、準備を整えておくことが重要です。
鍵となるランサムウェア対策
攻撃者がデータを暗号化したり、持ち出したりすると、何らかの形で損失を被ることになります。だからこそ、ランサムウェアの感染を予防することが、ランサムウェア対策の真骨頂となるのです。
押し寄せる攻撃をすべて阻止することはできません。しかし、デュー デリジェンスやサイバーセキュリティ意識向上トレーニング、適切な技術などでリスクを最小限に抑えることは可能です。そして、次のような原則とツールを備えた効果的なランサムウェア対策戦略が大きな効果を発揮します。
- AI活用型サンドボックスで不審なコンテンツを隔離、検査する
- すべてのTLS/SSLで暗号化されたトラフィックを検査する
- ネットワーク外の接続を考慮した常時オンの保護を実装する
最新のソリューションと事前予防的な防御アプローチとの組み合わせは、現在のサイバーセキュリティ対策の中で最も効果的なランサムウェア対策モデルです。
Zscalerのソリューション
Zscalerは、攻撃ライフ サイクル全体にわたってデータを防御するクラウド ネイティブなランサムウェア対策を提供します。世界的に実証されたクラウド型のゼロトラスト アーキテクチャーにより、次のことが可能になります。
攻撃対象領域を排除
すべての侵入口を攻撃者から見えなくします。ゼロトラスト アーキテクチャーでは、ユーザー、ネットワーク、またはアプリケーションがインターネットに公開されることはありません。
初期侵入を防止
アウトバウンドとインバウンドの接続を100%検査し、被害が発生する前に脅威をブロックします。
ラテラル ムーブメントを阻止
ユーザー、ワークロード、アプリケーション間に1対1の直接接続を確立するため、ネットワークは攻撃者から見えなくなります。
データの持ち出しをブロック
すべてのトラフィックをクラウドならではの規模でリアルタイムに検査します。信頼できない接続を介して機密データがネットワークから流出することはありません。