ランサムウェアとは?

ランサムウェアは、ユーザーデータと引き換えに身代金を要求し、要求に応じない場合はデータアクセスをブロックするか、データを公開すると脅迫する悪意のあるソフトウェアです。

デジタルシステムとのやり取りやデジタルシステムへの依存度が高まるにつれて、機密データの価値も高まっています。また、サイバー犯罪者の中には、データを密かに盗み出して仲間うちで販売したり使用したりすることに関心を持っている人もいれば、人質に取ることで満足している人もいます。外部の攻撃者がシステム、データ、アプリケーションなどを掌握し、奪還したければ身代金を支払うようユーザーを脅迫する行為はランサムウェア攻撃と呼ばれます。

残念ながら、この種のサイバー犯罪は数多く見られ、2020 年だけでも、FBI のインターネット犯罪苦情センターには、ランサムウェア攻撃の報告が 2,500 件近く寄せられ、調整済み損失は 2,910 万ドルを超えました。リスクは増加の一途をたどり、世界におけるランサムウェアの報告は、2019 年から 2020 年にかけて 700% 以上増加しています。米国の市民、企業、政府機関に対する危険の高まりをうけ、バイデン大統領は 2021 年 5 月に大統領令 (国家のサイバーセキュリティ強化) を発出しました。この大統領令では、ランサムウェアの危険から守る態勢を強化するために設計された詳細、連邦政府の方針、ベストプラクティスを提供しています。

残念ながら、ランサムウェアの脅威から企業や機関を保護することは、簡単なことではありません。ランサムウェア攻撃はますます巧妙化し、表面的なデータを標的にすることに留まりません。新たなランサムウェアは、バックアップデータをキャプチャして保持し、最上位の管理機能を制御するように設計されています。このような攻撃は、多くの場合、重要なシステム全体を危険にさらすことを目的として、より大規模な戦略で単一のコンポーネントとして展開されます。

同様に、攻撃者自体も巧妙化しています。今日の脅威には、限られたリソースで活動する個々のサイバー犯罪者だけではなく、資金が潤沢で組織化されたグループ、企業が支援する産業スパイチーム、さらには敵対的な外国政府の機関も含まれます。

このようなサイバー攻撃の遍在性と多様性を考えると、世界中の企業がデジタル時代における恐喝詐欺の餌食になるという重大な危険にさらされています。

他の悪意のあるソフトウェアと同様、ランサムウェアもスパムメールの添付ファイル、盗み出した資格情報の悪用、セキュリティ保護されていないインターネットリンク、侵害された Web サイト、ダウンロード可能なソフトウェアバンドルの一部に忍ばせるなど、さまざまな方法でネットワークに侵入できます。ランサムウェアには、ビルトインのソーシャルエンジニアリングツールを使用して、管理アクセスを許可するように仕向けるものや、既存のセキュリティの弱点を悪用して、許可を完全に回避しようとするものもあります。

ネットワークに侵入すると、ソフトウェアが展開され、裏で一連のコマンドが実行されます。これには多くの場合、バックアップ、Active Directory (AD) ドメインネームシステム (DNS)、ストレージ管理コンソールなど、システムを制御する重要な管理アカウントを破壊することが含まれます。次に、マルウェアはバックアップ管理コンソールを攻撃し、攻撃者がバックアップジョブをオフにするか変更して、保存ポリシーを変更し、人質に取る価値があると思われる機密データの場所をより簡単に特定できるようにします。

この時点で、マルウェアは通常、ファイルの一部またはすべての暗号化を始めます。ファイルへのアクセスがセキュリティ保護されていると、マルウェアは、データが身代金目的で掌握されていることと、アクセスを取り戻すためにはどのような要求を満たす必要があるかを通知することで、正体を明かします。他の種類のマルウェア (リークウェアとも呼ばれる) では、身代金が支払われない場合、攻撃者は特定タイプの機密データを公開すると脅迫することがあります。多くの場合、データは暗号化されるだけでなく、将来の犯罪活動で使用されるためにコピーされて盗み出されます。

前述のように、サイバー攻撃におけるランサムウェアの使用は増加しています。この爆発的な拡大の原因には、次のような多くのさまざまな要因が考えられます。

可用性の向上

サイバー犯罪者が独自のマルウェアプログラムを構築するために技術的な理解が必要だった時代は過ぎ去りました。現在、オンラインランサムウェアマーケットプレイスでは、マルウェアのキット、プログラム、変異種を取引しており、将来の犯罪者はマルウェアによる攻撃を開始するのに必要なリソースに簡単にアクセスできます。

クロスプラットフォームのアクセシビリティ

ランサムウェアの作成者は、これまで、ターゲットにするプラットフォームが制限されていたため、追加のプラットフォームごとに特定のランサムウェアバージョンを構築する必要がありました。ところが今では、汎用のインタープリター (プログラミング言語間でコードを簡単に変換できるプログラム) により、ランサムウェアは実質的にあらゆる数のさまざまなプラットフォームを確実に狙うことができるようになりました。

技術の向上

新しい技術により、攻撃者はマルウェアをシステムに忍び込ませやすくなるだけでなく、内部に侵入することで、より多くのダメージを及ぼすこともできます。たとえば、最新のランサムウェアプログラムは、個々のファイルだけでなく、ディスク全体を暗号化して、ユーザーをシステムから完全に締め出すこともできます。

残念ながら、あらゆる種類のランサムウェア攻撃から企業を完全に保護できるネットワークセキュリティを構築するためのアプローチは 1 つだけではありません。効果的なランサムウェア対策戦略には、既存の IT インフラストラクチャと固有の弱点を十分に考慮し、適切なバックアップと認証手順を確立し、セキュリティ意識の向上に向けた組織内の文化的転換を促進することも含まれます。

対策に着手するには、以下のステップを検討します。

図 - 企業はいかにしてランサムウェアから身を守ることができるか

効果的なデータバックアップ手法の使用

データをバックアップする場合は、単純なネットワーク共有プロトコルを排除し、実行可能なセキュリティ機能を実装して、バックアップデータと管理コンソールを攻撃から保護します。これにより、必要なときに破損していないデータのコピーを確実に利用できるようになります。

最新のセキュリティソフトウェアの採用

新しいマルウェアが特定されると、セキュリティソフトウェアプロバイダーや他のベンダーは、新しい脅威に対抗するために製品やシステムを更新します。ただ残念ながら、企業は最新のセキュリティパッチで更新することを怠り、既知の脅威に対して脆弱なままになることがあります。新しいアップデートを定期的に確認し、利用可能になり次第、すみやかにインストールすることが重要です。

安全なインターネット利用の実践

全社を対象にインターネットポリシーを策定して配布し、従業員がオンラインの利用で従うべきベストプラクティスと安全対策を詳しく定めます。たとえば、従業員が公共の Wi-Fi を利用する場合、業務の遂行や機密性の高いシステムへのアクセスを禁止します。ポリシーに従い、関連するすべての担当者を対象にトレーニングを実施し、悪意のあるソフトウェアにさらされた場合の対応計画を確立します。

マルチファクター認証ツールのインストール

2 要素 (または 3 要素以上) の認証を使用して、管理者アカウントを不正なアクセスや制御から保護します。デフォルトで必要最小限のシステム権限のみを提供するようアカウントを構成します。

孤立型復旧環境の構築

ランサムウェア復旧を全体的な災害復旧戦略に組み込みます。データコピーを外部アクセスから保護する、独立した閉鎖型データセンターである、孤立型復旧環境 (IRE) を構築します。この IRE をすべての災害復旧テストに含めます。

最新情報の入手

ランサムウェア対策の中で最も効果的な要素としては、知識と認識があります。ソーシャルメディアでセキュリティ担当者や専門家をフォローし、リスクアドバイザリーフィードやアドバイザリーサイトを定期的に確認し、最新ニュースを常に把握することで、知識を深め、認識を高めます。

万が一、ランサムウェア攻撃のターゲットになってしまっても、犯罪者の要求には応じないでください。要求に応じてしまうと、自分や所属組織が自ら進んで餌食になる対象として特定され、再び犯罪者に狙われやすくなります。ほとんどの場合、データやファイルを返却してもらうために身代金を支払う企業には、有効な暗号化キーが実際に提供されることはまずありません。代わりに、攻撃者は、ターゲットの企業が支払いを停止するまで、要求額を増やし続けます。さらに、身代金を支払うことで、犯罪活動に資金を提供し、他の企業や個人を同じリスクにさらすことになります。

ランサムウェアのターゲットであることがわかった場合は、次の手順に従って迅速に行動してください。

感染したデバイスやシステムを隔離する

ランサムウェアは、単一のデバイスまたはシステムを感染させることでネットワークに侵入しますが、必ずしも 1 か所にとどまるわけではありません。ランサムウェアは、ネットワーク全体に簡単に拡散することがあります。そのため、ランサムウェアが検出された場合、最初に行うべきことは、感染したシステムをネットワークから切り離して、ネットワークの他の部分との接続から遮断することです。このような対応を迅速に行えば、わずかながらマルウェアを 1 か所に封じ込められる可能性があり、残りの作業がはるかに簡単になります。

不審なデバイスやシステムをネットワークから除外する

激しい山火事の現場で消防士が道沿いの灌木や立木を伐採するのと同じように、感染が疑われる他のシステムの接続を遮断して隔離することで、ランサムウェアの拡散を防ぐための措置を講じる必要があります。オンプレミスで作動していないデバイスを含め、異常な動作が疑われるデバイスも対象にする必要があります。また、ワイヤレス接続オプションをシャットダウンすることで、拡散をさらに防ぐことができます。

被害アセスメントを実施する

不審なファイルをネットワークから切り離してから、被害の程度を評価する必要があります。暗号化された最新のファイル (見慣れない拡張子が付いていることが多い) を見つけ出して、実際に影響を受けたシステムを特定します。デバイスごとに、暗号化された共有ファイルを詳しく調べ、他のデバイスと比べて共有ファイルの数が多いデバイスがあれば、そのデバイスはネットワークへ侵入するランサムウェアの最初のエントリポイントである可能性があります。該当するシステムとデバイスをシャットダウンして、影響を受けたと思われるすべてのもの (外付けハードディスク、ネットワークストレージデバイス、クラウドベースのシステム、デスクトップ、ラップトップ、モバイルデバイスなど、ランサムウェアの実行や引き渡しができるあらゆるものを含む) を網羅したリストを作成します。

発生源を見つける

前述のように、影響を受けたデバイスのうち、暗号化された共有ファイルの数が多いデバイスを確認することは、「最初に感染したデバイス」を見つけるのに役立ちます。ランサムウェアの発生源を特定する方法には、感染の直前に出されたウイルス対策アラートの確認や、不審なユーザーアクション (見知らぬリンクのクリックやスパムメールの開封など) の確認なども含まれます。発生源が見つかれば、その後の修復がはるかに簡単になります。

ランサムウェアを特定する

ランサムウェア攻撃に効果的に対抗できるかどうかは、多くの場合、対象となるランサムウェアの種類を正確に特定できるかどうかによります。ランサムウェアの特定には、いくつかの方法があります。攻撃で示されるメモ (ファイルのロックを解除するために送金を指示するメモ) は、実はランサムウェアを直接特定できる可能性があります。また、メモに記載されたメールアドレスを検索して、この攻撃者が使用しているランサムウェアや、感染後に他社が講じた対応策が見つかることもあります。最後に、ランサムウェアの種類を特定するための、オンラインで利用できるサイトやツールもありますが、利用する前に、必ずオプションを十分に調査してください。信頼できないツールをダウンロードして、すでに損傷を受けているシステムにマルウェアがさらに追加されることがないよう、注意が必要です。

警察に通報する

ランサムウェアを封じ込めたら、警察に通報するのは各自の責任です。ただし、多くの場合、警察への通報は単純な手続きではすみません。特定のデータプライバシー法の条件に基づき、企業でデータ侵害が発生した場合は、所定の時間内に届けを出す必要があります。義務を怠ると、罰金やその他の罰則が科されることがあります。ただし、警察に通報する法的義務がない場合でも、届け出は最優先で行う必要があります。その理由の 1 つとして、通報により、サイバー犯罪対策機関は、ランサムウェアの問題解決により適した機関やリソース、知識にアクセスできるため、業務の平常復帰を迅速化するのに役立ちます。

バックアップデータを調べる

騒動が収まったら、次はシステムを修理します。理想的には、破損していないバックアップデータがあれば、さほど問題なく、システムを復元できるはずです。すべてのデバイスをチェックして、ランサムウェアやそれ以外のマルウェアに感染していないことを再度確認してから、データを復元します。最近のランサムウェア攻撃では、バックアップデータをターゲットにすることが多いため、データを復元する前に、正常なデータであることを必ず確認してください。

復号化のオプションを調べる

利用できるデータバックアップがない場合やデータ自体も破損している場合、次善策は復号化ソリューションを見つけることです。前述のように、調査を実施する中で、アクセスや制御を復元できる復号化キーがオンラインで見つかる場合があります。

再構築する

デバイスを復元する、復号化ソリューションを見つける、あるいは機密データが完全に失われたことを受け入れるなど、いずれの場合も、最終的な手順は常に同じです。それは、再構築して次に進むことです。最良のシナリオであっても、生産性を攻撃前の水準にまで戻すことは、コストと時間のかかるプロセスです。所属組織が直面している脅威について理解を深め、脅威から身を守る方法を明確にする経験を忘れないでください。

ランサムウェア攻撃の防御と対応において、時間は最も貴重なリソースになります。IT 管理とワークフロー自動化のリーダーである ServiceNow は、わかりやすい一元管理と監視機能により、必要な時間を確保できます。セキュリティの弱点を悪用される前に取り除き、不審なネットワークアクティビティを特定して、セキュリティ侵害に即座に対応し、自動化されたセキュリティ応答ソリューションを使用して、ランサムウェアやその他の攻撃からの復旧を迅速化します。ServiceNow は、そのすべてを可能にします。

継続的な監視と自動応答により、ランサムウェアやその他の攻撃要素から所属組織を保護します。ランサムウェアの詳細をご確認いただき、厄介なランサムウェア対策を ServiceNow がどのように支援できるのかをご覧ください。

ServiceNow Governance, Risk, and Compliance を始める

ServiceNow でリスクとレジリエンスをリアルタイムで管理

連絡先
Demo