ランサムウェアとは

ランサムウェアの定義

ランサムウェアとは、悪意のあるペイロードの1つの形態ですが、この用語は、被害者のデータやシステムを制御下に置くことに成功したために被害者から金銭をゆすりとろうとする脅威アクターの悪意を最もよく表しています。身代金として、通常、暗号通過が要求されます。


攻撃者が複数の攻撃ベクトルを使用する場合があり、支払いに応じなかった場合、次のような脅威が発生することがあります。

  • 被害者のデータの抽出および公開
  • 情報漏えいにつながった被害者の脆弱性や運用プラクティスの公開
  • 被害者のデータの暗号化およびアクセスの永久的なブロック
  • 管理またはルート制御の奪取および感染したシステムの永久的な無効化

一般的に、悪意のあるアクターは、自分の行動によってITシステムが損なわれたり、犠牲者の通常業務に悪影響が出たりする可能性があるために金銭を得ようとします。マルウェアが主要な攻撃方法の1つですが、マルウェアを使用しないランサムウェアの事例もいくつか発生しています。たとえば、DoS(Denial of Service)攻撃やWebサイト改ざんを行うなどと脅してサイバー恐喝を行うランサムウェアの事例があります。RWaaS(Ransomware as a service)も登場しています。そこでは、脅威アクターが個人または企業に対してターゲットを絞った攻撃を開始するためのビジネスモデルを有料で作成しています。

ランサムウェアの仕組み

ランサムウェアは、通常、フィッシング電子メールや「ドライブバイ」ダウンロードによって提供されます。フィッシング電子メールは、正真正銘の信頼できるメールのように見えますが、悪意のあるリンクをクリックしたり、添付ファイルを開いたりするように被害者を誘惑します。ドライブバイ・ダウンロードとは、ユーザーの同意なしに、ユーザーが知らないうちに、インターネットから自動的にダウンロードされるプログラムのことです。ダウンロード後、ユーザーの操作なしに、悪意のあるコードが実行されることがあります。悪意のあるコードが実行された後に、ユーザーのコンピュータがランサムウェアに感染します。

その後、ランサムウェアが感染したシステムのドライブを識別し、各ドライブ内のファイルを暗号化し始めます。暗号化されると、通常、暗号化されたファイルには、.aaa、.micro、.encrypted、.ttt、.xyz、.zzz、.locky、.crypt、.cryptolocker、.vault、.petyaなどの一意の拡張子が付けられます。暗号化が完了すると、ランサムウェアがランサムウェア攻撃の条件に関する情報および指示が含まれた1つまたは複数のファイルを作成および表示します。たとえば、被害者がランサムウェアの条件を履行すると、脅威アクターが暗号化されたファイルのロックを解除するための暗号キーを被害者に提供するかもしれません。

どうすれば組織はランサムウェア攻撃に対するレジリエンスを向上させることができるか

基本的なセキュリティ衛生と健全な運用プラクティスは、ランサムウェアの発生を防止し、財務上の損失、ダウンタイム、および中断を限定的にするのに役立ちます。

いくつかの脆弱性ポイントは、組織自身のユーザーに存在します。組織にとって、安全な電子メールやインターネットの閲覧方法について個々のユーザーを教育することにはメリットがあります。悪意のある脅威アクターが自分または組織の他の人をターゲットにするために自分について公開されている情報を使用する可能性があることをユーザーが認識できるように、ソーシャル・メディア・プラットフォームの安全な使用方法を教育することも重要です。

組織は、安全対策を強化するために、効果的なマルウェアを伝播するために攻撃者により使用されるさまざまなシステムに技術的な制御を実装することができます。技術的な制御の例には、次のようなものがあります。

  • 電子メールおよび通信プラットフォームにフィルタリングツールおよび技術を実装し、ユーザーにマルウェアが配信されないようにする
  • 電子メールサーバーおよびインターネット・ゲートウェイにマルウェア対策スキャン、リンク検証サービス、およびサンドボックス技術を実装する
  • 組織の環境での外部の信頼できないコードのダウンロードおよび使用についてポリシーを定義および適用し、悪意のあるソフトウェアのインストールや悪意のあるスクリプトの実行によってシステムが損なわれないようにする

組織は、最新のエンドポイント保護製品を実行することに加えて、ゼロトラスト・セキュリティ・アプローチを採用したアイデンティティおよびアクセス管理(IAM)システムを導入している必要があります。強力な認証と最小権限の原則を組織的に適用することで、重要なシステムや機密性の高いデータストアに対して厳重な制御を維持することができます。

組織は、厳重なアクセス制御を実施するとともに、コラボレーション・ツール、ファイル共有リソース、およびその他の一般にアクセスできるシステムについて制限を設ける必要があります。組織は、必要に応じて、追加の認証チャレンジを義務付けることができます。特権アカウント(rootアカウント、管理者オペレーティング・システム・アカウント、DBAアカウントなど)を厳重に管理することに加えて、匿名ログイン、一般アカウント、安全性の低い資格証明を使用しないようにすることは、強力なセキュリティ体制を維持するうえで非常に重要です。

組織は、セキュリティ構成ガイドラインに従って、既知のセキュリティ構成ベースラインを定義および保守し、システムをデプロイする必要があります。悪意のあるペイロードは既知のソフトウェアの脆弱性をターゲットとすることが多いため、セキュリティパッチを迅速に適用することが重要です。

最後に、組織がランサムウェアから回復する際に役立つ別のベスト・プラクティスは、攻撃者がネットワークからアクセスできないように、バックアップを個別に異なるOSに保存することです。

組織がランサムウェア攻撃のターゲットとなった場合はどうすべきか

組織はランサムウェアを発見したら、次の方法で悪意のあるペイロードの伝播を制限しようと試みる必要があります。

  • 感染したシステムを隔離し、それらをすべてのネットワークから削除して無効化する
  • すべてのファイル共有の脆弱性にタイムリーに対応し、サポートされていないオペレーティング・システムをオフラインにする
  • ITシステム間に存在する信頼チェーンを確認し、マルウェアの発生による連鎖的な影響を防ぐ
  • ネットワークとデータベースを遮断し、マルウェアの発生を分離し、漏えいによる業務への影響を制限する

ランサムウェア攻撃の影響を制限するために、組織の修復計画に、効果的かつ検証済みのリカバリ手順による頻繁で安全なバックアップに関する規定を含める必要があります。システムを復元する前に、組織は合理的な信頼度の範囲で、最初の感染が発生した時期と方法を判断する必要があります。デューデリジェンスを怠ると、被害を受けた組織が最初のリカバリを実行するときに、うかつにも感染を復元してしまい、再び感染が広がることがあります。そのことを念頭に置きながら、古いが安全であることがわかっている状態に復元するか、ビジネスの中断を最小限に抑えるために感染している可能性はあるがもっと新しい状態に復元するかを選択する前に、コスト利益分析を行う必要があるかもしれません。一部のマルウェアはバックアップファイルやリソースをターゲットとすることがわかっているため、組織はそれらについても効果的な制御を確保する必要があります。