ランサムウェアは、2000 年代半ば以降、個人、大企業だけでなく、中小規模企業にとっても重大な脅威となっています。FBI によると、インターネット犯罪苦情センター (IC3) が 2017 年に受け付けた苦情の件数は 1,783 件に上り、総コストは 230 万ドルを超えています。しかし、この数字が表しているのは IC3 に報告された攻撃だけにすぎません。
多くの企業が世間や関係者からの反発を買って評判を損なうことがないように事態を内部で処理することを選んでおり、実際の攻撃数とそのコストははるかに上回っています。Statista によると、2017 年の攻撃数は 1 億 8,400 万件と推定されています。
当初、ランサムウェアは個人を標的としていました。今でも攻撃の大半を占めています。しかし、攻撃者は次第に、病院、大学、行政機関など、データを完全に利用できなければ業務の遂行に支障が生じる機関を標的にし始めました。この記事では、ランサムウェア、その防止方法、感染した場合の対処方法、そしてランサムウェアからのリカバリプロセスでのバックアップの重要性について説明します。
ランサムウェアはマルウェアの一種であり、ユーザーをコンピュータから締め出す、あるいはデータを暗号化してデータにアクセスできないようにすることを目的として、独自に設計されています。さらに、オペレーティングシステムの脆弱性を悪用し、他のネットワークまたはシステムに広がります。
コンピュータシステムへのランサムウェアの感染が成功すると、その背後にいる犯人により身代金 (ランサム) が要求され (そのため、ランサムウェアと呼ばれています)、システムに対するアクセスや制御を放棄するか、身代金を支払ってデータを復号するかの二択を迫られることになります。ランサムウェアの種類には、暗号化型マルウェア、ロッカー、スケアウェア、Doxware (リークウェア)、Ransom-as-a-service (RaaS) などがあります。
ランサムウェアを仕掛けるサイバー犯罪者は、通常、このような攻撃を遠方から開始し、追跡や払い戻しができないようビットコインなどの暗号通貨の形式で身代金を要求します。最近のランサムウェア攻撃では、さらに一歩進んで、Google Play や Apple iTunes などのギフトカードの形で支払いを要求し、後で商品や現金に交換するケースもあります。
ランサムウェア攻撃が成功した際にデジタル証拠が残ることは稀であり、攻撃者の追跡や支払い金の返還は難しいといえます。さらに、身代金を支払った場合でも、データが完全に復号される保証はありません。
ランサムウェアによる最初の攻撃は 1989 年に遡り、ハーバード出身の生物学者が WHO 内部の AIDS に関する会議において複数の出席者のコンピュータを感染させたとされています。2000 年代半ばから、サイバー犯罪者による攻撃が独創性を増し、2012 年以降、ランサムウェアは RSA による非対称暗号化を利用して世界中に蔓延しています。
現在、ランサムウェアの亜種では、ファイルの暗号化、検出回避、システム間での感染拡大、ユーザーへの身代金の強要など、機能がますます高度化しています。新しい攻撃には、クリプター (リバースエンジニアリングを困難にする) や、高度な配布方法 (事前に構築されたインフラにより、新しい亜種の配布を広範かつ容易に行うなど) を利用するような高度な開発手法が含まれています。
また、従来のフィッシングメール攻撃に代わり、スピアフィッシング攻撃が急増しています。従来の攻撃が現在ではスパムメールのフィルタリング機能によって除去されることが多いためです。巧妙な攻撃者により、技術スキルが低い初心者でも展開できるダウンロード可能なツールキットが開発されています。他にもランサムウェアを利用した収益化の手口として、CryptoLocker、Locky、CryptoWall、TeslaCrypt などを進化させた RaaS プログラムがあります。
さらに、正当なシステム機能 (Microsoft 社の CryptoAPI など) を利用するオフラインでの暗号化手法により、コマンドアンドコントロールによる通信が不要になっています。
ランサムウェアの感染の拡大方法はさまざまですが、悪質な添付ファイルを含むフィッシングメールが最も一般的です。信頼できる送信元からの正当なファイルを装ったファイルが電子メールに添付されており、感染ファイルをダウンロードして開くと、コンピュータが乗っ取られる可能性があります。たとえば、感染ファイルにソーシャルエンジニアリングツールが組み込まれており、巧みな誘導によりユーザーが管理機能へのアクセスを許可してしまいます。さらに攻撃的なランサムウェアファミリーの場合は、システムのセキュリティホールを悪用しますが、ユーザーを欺くことなくコンピュータに感染してデータを暗号化します。
また、ソーシャルメディアで偽のメッセージを使用して、被害者のコンピュータへのアクセス権限を取得する場合もあります。使用される最も一般的なチャネルの 1 つが Facebook Messenger です。攻撃者は、ユーザーの現在の友達を模倣するアカウントを作成し、添付ファイル付きのメッセージを送信します。ファイルが開かれると、攻撃者はデバイスにアクセスできるようになり、接続されているすべてのネットワークをロックダウンします。
ドライブバイダウンロードによってコンピュータが感染する場合もあります。これは、感染した Web サイトに知らずにアクセスし、秘密裏に悪質なソフトウェアがダウンロードされてインストールされる場合に発生します。この結果、攻撃者はコンピュータ上のデータを暗号化できるようになります。
暗号化型ランサムウェアと呼ばれる亜種は、ファイルの暗号化を目的とし、同様にソーシャルメディア (Web ベースのインスタントメッセンジャーアプリと考えてください) を通じて感染の拡大を図ります。その他の感染手法として、脆弱な Web サーバーを悪用して企業のネットワークにアクセスする、オンラインポップアップを利用する、などがあります。
コンピュータシステムを乗っ取った攻撃者が最初に行うのは、ファイルのロックまたは暗号化です。これが完了すると、キーがなければファイルを開いたり復号したりできなくなります。キーは攻撃者のみが把握しており、攻撃者のシステムに保存されている可能性が高いと考えられます。
この時点で、ファイルにアクセスできない状態について説明するメッセージが届き、暗号通貨などの追跡不可能な支払い方法による身代金を要求されます。場合によっては、攻撃者が巧妙な方法をとって、法執行機関を装い、海賊版ソフトウェアやアダルトサイトなどの違法コンテンツが存在するためにシステムをシャットダウンしたと欺くことがあります。この場合、罰金と称して支払いが要求されます。
リークウェア (doxware 攻撃) を仕掛ける攻撃者は、身代金を支払わなければデバイス上の機密データを公開すると脅迫します。ただし、該当するデータを見つけて抽出するには技術的な専門知識が必要なため、最も一般的といえるのは暗号化関連の攻撃です。
ランサムウェアは、シンプルなメールの添付ファイルから、Web サイト、モバイルアプリ、さらにはデジタル広告による感染へと長年にわたって進化を遂げてきました。その有効性から、ダークウェブを介して需要が高まり、Ransomware-as-a-service (RaaS) ポータルとして販売されています。対象となる標的は次のとおりです。
米国司法省によると、このサイバー犯罪は世界規模の影響をもたらす可能性があります。他のほとんどのマルウェアと同様、ランサムウェアも多くの場合、安全でないリンクのクリックや安全でないプログラムのダウンロードが原因でコンピュータシステムに感染します。
ただし、他のマルウェア攻撃とは異なり、BIOS の更新やドライブの消去を行ったり、OS を以前の復元ポイントに戻したりしても、ランサムウェアが削除されることはありません。ランサムウェアは、身代金要求の前にファイルをロックします。同時に、攻撃者は一意の復号キーを生成し、自身のサーバーに保存します。
身代金を期日までに支払わない、または暗号化プログラムを変更しようとすると、復号キーが完全に削除され、ロックされたすべてのファイルにアクセスできなくなります。同様の攻撃の場合、攻撃が終了するのは被害者が要求された金額を支払った場合のみであることが少なくありません。
感染したコンピュータを引き続き使用することはできますが、重要なデータを失うリスクによって生産性に大きな影響を及ぼす可能性があります。これ以外の影響には次のものがあります。
ランサムウェアが恐ろしいのは、被害者がその過程で重要な個人データやビジネスデータを失う立場にあり、結果的に身代金を支払ってもその他の短期的および長期的な影響が発生する可能性があるからです。ただし、自身とビジネスを保護するために使用できるランサムウェア対策戦略がいくつかあります。
すべてのデータを 1 つの場所に保存しないようにします。また、定期的なデータのバックアップが必要です。これにより、ランサムウェア攻撃やその他の災害の結果として失われたデータをリストアできます。CryptoLocker の場合、マッピングされたドライブ上のデータも見つけて暗号化します。このため、ドライブ文字が割り当てられていない、またはバックアップが進行中でないときには、ネットワークから切断されている外部のバックアップサービスまたはドライブへのバックアップを定期的にスケジュールする必要があります。
CryptoLocker の感染元となるファイルには、「.PDF.EXE」という拡張子が付けられている場合がよくあります。既知のファイル拡張子を非表示にするという Windows のデフォルトの動作を悪用しているためです。このため、ファイル拡張子を表示するよう設定することで、不審なファイルを容易に特定できるようになります。
CryptoLocker の動作のうち、特に注目すべき点として、Local AppData および AppData フォルダの実行可能ファイルを実行することが挙げられます。この対策として、Windows または侵入防止ソフトウェアを通じて、この動作を禁止するルールをシステム内で作成します。AppData 領域から実行される正当なプログラムファイルは常に除外することができます。
受信したファイルを拡張子によってフィルタリングする機能を備えたメールゲートウェイのスキャン機能を利用できる場合は、ファイル拡張子が「.exe」のファイルが格納されたメール、または複数のファイル拡張子 (1 つは実行可能ファイル拡張子) を付けて送信されたファイルを拒否することをお勧めします。
「.exe」拡張子を持つメールを拒否する設定を行った後に、自社の環境内で実行可能ファイルを送受信する正当な必要性がある場合は、パスワードで保護された ZIP ファイルを使用するか、クラウドサービス経由でメールをやり取りします。
Cryptolocker/Filecoder は、リモートデスクトッププロトコル (RDP) 経由で標的となるコンピュータにアクセスします。RDP は、他のユーザーがデスクトップにリモートアクセスできるようにする Windows ユーティリティです。RDP を無効にすると、コンピュータをリモート攻撃から保護するうえで非常に効果があります。
セキュリティは、常に従業員と責任を共有すべき問題です。このため、システム、ネットワークセキュリティ、脅威評価、サイバー犯罪に対抗し、ランサムウェアを防ぐうえでの従業員の役割について、従業員向けに最新のトレーニングを定期的に実施する必要があります。
マルウェアの作成者は、個人的または金銭的利益のために、既知の脆弱性を持つ古いソフトウェアを悪用することがよくあります。定期的にソフトウェアの更新を行うと、攻撃を受ける可能性が大幅に減少します。一部のベンダーは、定期的なセキュリティ更新プログラムおよび緊急の更新プログラムをリリースしているからです。
更新プログラムを入手するには、自動更新を有効にするか、手動でベンダーの Web サイトにアクセスします。攻撃者は攻撃で使用するソフトウェアを更新の通知として偽装することが多いため、注意が必要です。
ソフトウェアファイアウォールとマルウェア対策ソフトウェアの両方を導入すると、潜在的な脅威や不審な動作を特定するのに役立ちます。マルウェアの作成者はランサムウェア検出回避のために新しい亜種を送信することが多いため、両方の防御層が必要です。
ほとんどのマルウェアは、リモートからの指示によって実行されます。ランサムウェアの新しい亜種がセキュリティソフトウェアを通過した場合でも、その亜種はコマンドアンドコントロール (C&C) サーバーとリモート接続しようとするためファイアウォールを通過することはありません。
権限のないアクセスを回避するために実行できるランサムウェアの予防策がいくつかあります。これらのセキュリティ対策により、防御が大幅に強化され、あらゆる種類のサイバー攻撃から保護することができます。たとえば次のようなものです。
次のような契約社員または従業員に特定の制限を課す必要があります。
システムにアクセスできるユーザー、従業員、または契約社員は、攻撃者に狙われる脆弱性を作り出す可能性があります。離職、不適切な制限、パスワード更新の未実施により、ランサムウェア対策に脆弱性が生じ、攻撃のリスクが高まります。
多面的なランサムウェア検出システムを導入して包括的な保護を確保する必要があります。ユーザーシステム用のエンドポイント保護、侵入検出、サーバー用のエンタープライズウイルス対策、既知のマルウェアの検出、イベント相関のための集中化されたログ、ネットワークポートの監視、データパターンの検出を備えている必要があります。
悪質な活動を迅速に検出することで、感染が広がり被害が拡大する前に、迅速に封じ込めることができます。感染したシステムはすべて、隔離、修復、リストアする必要があります。場合によっては、成功したランサム攻撃をシステムが把握できず手遅れになり、データにアクセスできなくなることがあります。また、バックアップでさえ侵害され、使用できなくなる場合もあります。
このため、システム管理者は、検出段階の間は警戒を怠らず、攻撃を阻止して暗号化されたデータをリストアするための封じ込め対策を迅速に開始できるようにする必要があります。また、システム管理者は、攻撃の検出とランサムウェア対策に役立つ有効なサードパーティツールをインストールする必要があります。
サイバーセキュリティに関して、100% の保証はありません。IT 部門がランサムウェアの検出および防止でどれほど適切に対応しても、攻撃を受けることがあり、リカバリ段階に進まざるを得なくなります。
ランサムウェアからのリカバリに要する時間は、攻撃対象範囲と準備状況によって異なります。数ファイルの暗号化からサイト全体のデータの損失まで、規模に関係なく標的となるのは、最も重要なデータであることが一般的です。ディザスタリカバリの手順とツールは、プロセス全体をとおして使用し、テストする必要があります。
ランサムウェアに対する有効な保護対策は、最終的には教育にかかっています。ソフトウェアの更新やデータのバックアップの自動化に関する最適なオプションについて、時間をかけて詳しく把握する必要があります。詐称された Web サイト、ドライブバイダウンロード、フィッシング攻撃などの脅威または攻撃について、明らかな兆候や配布戦術を自身と従業員に教育することが最優先事項です。この知識は、ランサムウェアを一括して防止するのに役立ちます。
高度な脅威防止を可能にするセキュリティソリューションを導入する必要もあります。エンドポイントでの検出および対応を行う (EDR) ツールは、ネットワークとエンドポイントでのアクティビティを監視して脅威を特定、防止、軽減するのに最適です。NetBackup ツールも、ランサムウェアなどの攻撃を検出および防止するのに非常に役に立ちます。
ランサムウェアのクリーンアップおよび予防ツールには 3 つの種類があります。最初のカテゴリは、インシデント発生後にデータをリストアする前にクリーンな状態を証明する必要があるコンピュータ向けの除去ツールです。この機能は、多くの主流のウイルス対策プログラムに含まれています。
最初のカテゴリは、インシデント発生後にデータをリストアする前にクリーンな状態を証明する必要があるコンピュータ向けの除去ツールです。この機能は、多くの主流のウイルス対策プログラムに含まれています。
2 つ目のカテゴリには、攻撃が成功した後で起動される復号ツールが含まれます。こうしたツールには制約があり、攻撃者が見つかった後で個々のキーデータベースをリカバリする調査担当者に頼るところが大きくなっています。
3 つ目のカテゴリは、ふるまい分析を使用してシステムでのランサムウェアの存在を示唆するイベントを特定し、損害が及ぶ前に阻止するランサムウェア防止ツールです。
現在の最適なランサムウェアの防止およびリカバリツールには、Veritas NetBackup アプライアンス、Trend Micro ロック画面ツール、Avast ツール、BitDefender、Kaspersky ツールおよび Lab 復号ツール、AVG 復号ツール、Webroot SecureAnywhere ツール、Malwarebytes、McAfee Interceptor Review、No More Ransom、CryptoPrevent などがあります。
実際のサンプルに対してランサムウェア対策ツールの有効性をテストするには、注意が必要です。また、一部に関しては、現在は発生していない可能性がある過去の特定のインシデントに固有のツールです。
おそらく、これらのツールの有効性をテストするには、システム環境に合致し、実際にネットワークにアクセスできない仮想マシン (VM) をセットアップすることが重要です。この VM から、さまざまな攻撃状況をテストし、バックアップ (Veritas NetBackup アプライアンスなど) からのリストアポイントを使用して有効性を確認できます。
コンピュータシステムを標的とする暗号化ランサムウェアは、近年、広範囲に拡大しています。適切なランサムウェアからの保護ツールとトレーニングがない場合、身代金を要求される頃にはすでに手遅れであり、攻撃を阻止してさらなる侵害を防ぐことはできません。WannaCry/NotPetya などのさまざまな亜種の出現により、高度に分散された攻撃が広範囲の損害をもたらす可能性があることがわかっています。
ウイルス対策プログラムは一部の種類のランサムウェアを (通常は不審な行動を監視することで) 検出およびブロックするように適切に調整されています。しかし、適切な種類のバックアップを導入することが、このようなマルウェア攻撃に対する最大の防御であることに変わりはありません。Veritas NetBackup アプライアンスには、攻撃の防止と検出だけでなくデータのリカバリにも役立つさまざまな製品があります。
ベリタスのお客様には Fortune 100 企業の 95% が含まれています。また、NetBackup™ は大量のデータの保護を検討している大企業にとって第一の選択肢です。
仮想、物理、クラウド、およびレガシーの各ワークロードに対してベリタスの大企業向けデータ保護サービスがどのように完全なデータ保護を維持しているかをご確認ください。