ランサムウェアとは
ランサムウェアは、攻撃者が組織の業務を妨害するために展開する悪質なコードやアクションを指し、通常はデータを「人質」に取ります。その最終的な目標は、企業を通常業務に復旧させるための身代金を要求することにあります。
ランサムウェアの侵入を完全に不可能にする防御はほぼ不可能ですが、攻撃による影響を軽減したり、攻撃を受ける確率を減らすことは可能です。
ランサムウェアの種類
ランサムウェアは変化し続けているため、その種類をすべて挙げることは困難です。実際に、サイバーセキュリティ・社会基盤安全保障庁(CISA)では、ランサムウェアを「進化し続けるマルウェアの一形態」と称しています。よく見られるランサムウェアには、以下のような種類があります。
- 二重恐喝:攻撃者が初回の身代金を回収した後、追加の身代金を支払わないと窃取したデータを販売すると脅迫する攻撃手法です。
- Ransomware-as-a-Service(RaaS):組織化されたランサムウェアシンジケートでは、専門家でなくても高度な攻撃を開始できるよう、展開が簡単なランサムウェア「キット」を販売しています。
- 分散型サービス拒否攻撃(DDoS):この攻撃タイプでは、数百から数千にわたる多数のシステムが、1つのシステムに対して組織的な攻撃を実施します。
- スピアフィッシング:特定の受信者やグループに対して内容を巧妙に詐称したメールを送信して騙し、悪質なペイロードをクリック、ダウンロードさせたり、不正な送金を促す攻撃のことです。
- 窃取された認証情報:侵害されたエンドポイントから取得した認証情報を使用して、同一ネットワーク上の標的システムにアクセスするもので、それらのシステムへのアクセスを完全に遮断することもあります。
- アプリケーションの悪用:アプリケーションの脆弱性を悪用してアクセスし、データを窃取したり、サービス拒否を発生させます。
ランサムウェアの仕組み
ランサムウェアは、被害者に身代金を支払うように圧力をかけようとします。具体的には、ランサムウェア攻撃でマルウェアを展開し、このマルウェアが侵入して標的のデータを不正に暗号化し、企業や個人に対して身代金の支払いを迫るという攻撃手順になります。
上述のように、二重恐喝がより広く見られるようになっています。現代の攻撃者にとっては、企業が自社のデータにアクセスできなくするだけにとどまらず、データを盗み、それを取り戻したい企業に追加の支払いを要求することにも価値を見出していると考えられます。
ネットワークシステムにランサムウェアが及ぼす影響は、導入されている防御の種類と対応時間により異なります。データにアクセスできるようになると、攻撃者は悪用後のフレームワークで環境を検索し、より機密性の高い権限を取得する可能性があります。脅威アクターがアクセス権限を掌握すると、ネットワーク全体が暗号化され、ビジネスサービスを完全に中断せざるを得なくなる場合もあります。
大規模なネットワークエコシステム内のエンドポイントが感染した場合、一定期間脅威が封じ込められる可能性はありますが、マルウェアが蔓延するまで時間との勝負となります。攻撃の爆発範囲を制限するには、感染した資産を迅速に削除することが不可欠です。
ランサムウェア攻撃の段階
- 初期アクセスと永続性:ランサムウェア攻撃の第一段階は、組織のネットワークにアクセスすることです。攻撃者がここで利用する一般的な手法には、フィッシング、クレデンシャルスタッフィング、脆弱性の悪用などがあります。
- 偵察:この段階では、攻撃者は組織内のネットワークをマッピングし、取得したシステムやユーザー権限に関する初期状況を把握します。これは通常、攻撃者にとって最も複雑な段階です。
- 認証情報の窃取と水平展開:組織のネットワークにアクセスした後、攻撃者は管理者の認証情報を取得しようとします。この間、攻撃者はすでに導入されているセキュリティプロトコルを無効にする可能性があります。
- 漏えい:この段階では、攻撃者はネットワークから窃取するファイルを探します。これらの機密文書は恐喝に使用されます。例としては、財務文書、会計情報、顧客データ、プロジェクト情報などが挙げられます。
- 暗号化:最終段階が暗号化で、多くの場合、組織にとって最も影響が大きいものです。攻撃者はさまざまなターゲットファイルを暗号化し、その後、それらの復元と引き換えに身代金を要求します。
ランサムウェアの例
今日、ランサムウェアは世界中に蔓延しています。最近の侵害事例を見てみましょう。
WannaCry ランサムウェア
2017年に端を発するWannaCry ランサムウェア攻撃は、最近のランサムウェアの中でも最も注目すべき悪名高い一例で、脆弱なシステムから迅速に拡散可能なコンポーネントが組み込まれている点で、従来のランサムウェアとは一線を画するものでした。その動作から、このランサムウェアはワームとして知られ、ネットワークをトンネリングして侵入し、甚大な被害を引き起こします。
従来のフィッシング手法とマルウェアのワーム形式の両方を取り入れた非常に厄介なランサムウェアで、世界中に影響を及ぼしました。ユーザーだけでなく、ソフトウェアアップデートがされていなかったり、権限やパスワードおよび認証情報の管理が不十分な組織も標的となり、ビットコインによる身代金支払いが要求されました。
Petya ランサムウェア
Petya ランサムウェアもWannaCryと同様、拡散しやすいもので、標的組織にある脆弱性を見つけ出す機能を備えていました。リブートをきっかけに発生するこのランサムウェア攻撃は、リブート後システムが使用不可になります。Petyaは当初、添付ファイルをクリックするとローカルにダウンロードされ、システムに感染する手法をとっていました。
当初のPetya攻撃は、ウクライナ全土に大規模な被害を与え、銀行インフラなどの国内の重要な分野に深刻な影響を及ぼしました。その後、被害は欧州中に広がりました。後続の亜種であるNotPetyaは、元のバージョンよりもさらに悪質な機能を備え、新たに数十億ドルの損害を引き起こしています。
CryptoLocker ランサムウェア
今回挙げた例で最も最も永続的と思われるCryptoLockerでは、主に悪意のある添付ファイルを含むフィッシングメールで被害者を誘惑する手法が使われました。セキュリティ意識向上トレーニングの利点を改めて思い起こさせる例と言えます。ほとんどの攻撃は、システムへのアクセスを得るためにユーザー側のアクションが必要です。したがって、従業員が取るべきアクションと取ってはいけないアクションを正しく認識しておくことが重要です。
CryptoLockerに関しては、とりわけ、悪意のある攻撃者がFedExやUPSなどの有名企業の行動を模倣したことで効果が高まりました。ユーザーをファイルからロックアウトするために、非対称暗号化(暗号化用と復号に異なる鍵が必要なもの)が使われました。
ランサムウェアの被害を防ぐ方法
ランサムウェアは、セキュリティプログラム全体に流れるべき主要なベストプラクティスの動作に従うことで防ぐことができます。 ランサムウェアの攻撃には2つの重要な段階があります。リスクを低減し、攻撃の最悪の影響を防ぐためには、その各段階での対策が重要です。
- 攻撃前:攻撃者がランサムウェアの展開に使用する手法を把握することで、攻撃対象領域を最小限に抑えるとともに、従業員のトレーニングを始め、さまざまな予防策を実施し、リスクを軽減します。また、ネットワークを意図的にセグメント化することで、重要なシステム隔離し、マルウェアの拡散を防ぐことができます。
- 攻撃中:攻撃が進行中の場合、ミッションクリティカルなデータへのアクセスを極限まで制限する必要があります。それらのデータが侵害された場合、最新のバックアップを使用してデータを復元するために、継続的にシステムのバックアップもをとっておくことも必要です。
最初の攻撃における初期アクセスと実行ベクトルを特定して修正し、攻撃者を完全に封じ込めることで、繰り返し被害を受けることを避けられます。
ランサムウェアを削除する方法
ランサムウェアは、マルウェア対策ソリューションでネットワークをスキャンすることで駆除できます。ランサムウェアやマルウェアによる実損害が発生する前に、自動で調査して封じ込められるツールが必要です。
調査の結果、対象となるユーザーを検出したら、そのドメインアカウントをローカル管理者グループから直ちに削除することをお勧めします。管理者権限を持つユーザーアカウントは、自動化された標的型攻撃によるシステムレベルの権限と連携して、ランサムウェアの展開を容易にします。
さらに、システム管理者は、セキュリティアナリストが感染したユーザーアカウントやマルウェアの通信をブロック判断を行ったり、マシンをネットワークから完全に隔離したりするもできます。自動化を活用して感染を遅らせ、セキュリティ対応担当者がランサムウェアの根絶までの時間を稼ぐこともできます。
ランサムウェアについてさらに読む
数字で見る2023年のランサムウェア:今後に向けたより良い計画のために
Rapid7のランサムウェア防止ソリューションの詳細はこちら