インフォメーションセンター

ランサムウェアとは

中規模企業の営業担当責任者、Simon を例に挙げてみましょう。2 カ月連続で営業の月間トップを獲得し、1,000 ドルのボーナスを獲得しようとしているところです。

有望な見込み客との電話中、メール通知があったのでこれを確認します。送信者は知らない人のようですが、以前の見込み客が改めて関心を寄せているようです。Simon は喜び、思わずメールと添付ファイルを開いてしまいます。

これにより、ランサムウェアに企業のネットワークへの侵入を許してしまい、多額の身代金を支払わない限り、データにアクセスできなくなりました。

残念なことに、企業がランサムウェアを知る経緯はたいていはこのようなものです。しかしほとんどの場合、その時点では遅すぎるのです。ランサムウェア攻撃は日々増加しており、必要な措置を講じて企業を保護しなければなりません。

もし、自分の会社が標的になるほどの規模ではない、または漏えいはほとんどないと考えているなら、考え直してください。米国のオフィスワーカーは平均して、毎日 121 通のメールを受信しています。データによると、送信されたすべてのメールの約半数がスパムと見なされています

スパムメールがランサムウェアやその他のマルウェアの主なベクトルであることを考えれば、企業の規模に関係なく、懸念の理由となるはずです。

この記事では、以下について説明します。

  • ランサムウェアとは
  • ランサムウェアの種類
  • ランサムウェア攻撃の影響
  • ランサムウェア攻撃を防御する方法
  • ランサムウェア攻撃の防御に関して支援を得るには
  • ランサムウェア攻撃の発生後に実行すべき手順

ランサムウェアとは

ランサムウェアとは、データを人質にして企業をリスクにさらすマルウェア (悪質なソフトウェア) です。サイバー犯罪者は、企業のネットワークにアクセスし、重要なファイルを暗号化して、ファイルをアクセス不可能にします。

データへのアクセスを取り戻すには、犯罪者に身代金 (通常は暗号通貨) を支払わなければなりません。そして、たとえ身代金を支払ったとしても、データを取り戻せる保証はありません。実際、一部のランサムウェアは、一定の時間内に支払われない場合、データを削除してしまいます。

ランサムウェアは、あらゆる規模の企業にとって深刻な問題です。以下に知っておくべきランサムウェア攻撃の統計情報をいくつか紹介します。

  • ランサムウェアのグローバルコストは、今後 10 年間で大幅に増加し、2021 年の 200 億ドルから 2031 年には 2,650 億ドルに増えると予想されています。
  • 2021 年、すべての企業および組織の 37% がランサムウェアに侵入されました。
  • ランサムウェア攻撃からの回復の平均コストは、2021 年で 185 万ドルでした。
  • ランサムウェア被害者の 32% が身代金を支払い、そのうちデータを取り戻したのはわずか 65% でした。
  • ランサムウェア攻撃の発生後、57% の企業では、バックアップからのみデータを回復できています。

ランサムウェアの種類

ランサムウェアにはいくつかの種類があり、それぞれに、システムに感染する方法やデータを人質にする方法があります。最も一般的な種類のランサムウェアは次のとおりです。

  • スクリーンロッカー: 名前のとおり、スクリーンロッカーはデバイスまたはアカウントをロックしてユーザーを締め出します。ロックを解除するには、身代金を支払う必要があります。この種類のランサムウェアは、以前ほど一般的ではありません。
  • 暗号化ランサムウェア: この種類のランサムウェアは、最も一般的であり、危険です。データを暗号化して、キーがなければアクセスできないようにします。キーはサイバー犯罪者からのみ入手でき、そのために身代金を支払う必要があります。
  • MBR ランサムウェア: MBR ランサムウェアは、コンピュータが起動方法に関する情報を格納するマスターブートレコードを標的にします。この種類のランサムウェアに感染すると、コンピュータを使用できなくなる可能性があります。修復するには、身代金を支払い、サイバー犯罪者が復号キーを受け取ることを願うしかありません。
  • ハイブリッドランサムウェア: ハイブリッドランサムウェアは、暗号化ランサムウェアとスクリーンロッカーランサムウェアを組み合わせたものです。デバイスまたはアカウントをロックしてユーザーを締め出し、データを暗号化します。デバイスまたはデータにアクセスするには、身代金を支払うしかありません。

ランサムウェア攻撃の影響

ランサムウェア攻撃は、金銭と評判の両方の面で企業に大きな影響を及ぼす可能性があります。

ランサムウェアは企業に多額のコストをもたらすことがあります。ランサムウェア攻撃からの回復の平均コストは 185 万ドルです。データのバックアップがなければ、取り戻すために身代金を支払わなければならない場合があります。

ランサムウェア攻撃は企業の評判を傷つけることもあります。顧客からの信頼がなくなり、ビジネスチャンスを失う可能性があります。また、機密データが暗号化された場合は、インシデントの開示が必要になる可能性があり、評判がさらに傷つきます。

これまでの最大規模のランサムウェア脅威

近年、大きな被害をもたらすいくつかの大規模なランサムウェア攻撃が発生しています。最大規模の攻撃を 3 つ紹介します。

1.  WannaCry

WannaCry は、ファイルを暗号化し、復号するための身代金を要求する悪質なソフトウェアです。Windows SMB プロトコルのセキュリティ上の欠陥を悪用します。WannaCry は、コンピュータからコンピュータへと広がり、接触する他のマシンを感染させることができます。

WannaCry は、ドロッパーを装った自己完結型のプログラムです。このプログラムは、暗号化キーを含むファイル、復号ソフトウェア、Tor 通信プログラムを抽出できます。攻撃者が WannaCry の特定を難しくしていないため、あまり苦労せずに検出して削除することができます。

2017 年だけで、このウイルスは 150 カ国で 230,000 台のマシンに到達し、推定 40 億ドル相当の被害を引き起こしました。WannaCry 攻撃は、セキュリティの脆弱性にパッチを適用し、適切なバックアップを確保することの重要性について多くの企業が考えるきっかけとなりました。

2.  Petya と NotPetya

Petya は、Windows を実行しているコンピュータにのみ影響するウイルスです。そのアクセスプロセスでは、管理者レベルのアクセスのためにユーザーから許可を取得する必要があります。その後、コンピュータを再起動し、偽のクラッシュ画面を表示して、バックグラウンドでマスターファイルテーブル (MFT) 全体を暗号化します。

Patyal ウイルスを変更して、攻撃者は NotPetya を作成しました。助けなしで広がることができるため、より危険です。NotPetya ランサムウェアは、Windows SMB ファイル転送プロトコルの既知の脆弱性 (EternalRomance と EternalBlue) を利用します。

そこから、最初に感染したデバイスに接続されているすべての Windows マシンを感染させます。NotPetya は、ハードディスク全体を暗号化するだけでなく、ハードディスクを回復できないようにします。身代金が支払われた場合であってもです。

3.  Maze ランサムウェア

Maze ランサムウェアは、ファイルを暗号化し、復号するための身代金を要求する悪質なソフトウェアです。Windows SMB プロトコルのセキュリティ上の欠陥を悪用します。Maze ランサムウェアは、コンピュータからコンピュータへと広がり、接触する他のマシンを感染させることができます。

標的、特に医療機関から機密情報を漏えいさせることで広く知られるようになりました。その間に、攻撃者は 100 GB 以上のファイルを盗むことができました。最近では Xerox Corporation が被害に遭いました。

4.  Cerber ランサムウェア

Cerber は、攻撃を実行し、貴重な情報をマルウェア開発者と共に拡散するためにサイバー犯罪者が利用できる ransomware-as-a-service (RaaS) です。

Cerber は、ファイルを暗号化し、Windows のセキュリティ機能の実行を停止し、システムの復元を困難にするウイルスです。マシンにあるファイルが暗号化された後、デスクトップ背景に身代金要求のメモがポップアップ表示されます。

5.  CryptoLocker

2013 年に、CryptoLocker の悪評が広がりました。サイバー犯罪者が被害者から 300 万ドル近くを巻き上げた後、ベンダーと IT スペシャリストは 2014 年 5 月にオリジナルの CryptoLocker ボットネットを根絶することができました。

CryptoLocker は、ファイルを暗号化し、Windows のセキュリティ機能の実行を停止し、システムの復元を困難にするウイルスです。マシンにあるファイルが暗号化された後、デスクトップ背景に身代金要求のメモがポップアップ表示されます。

多くの犯罪者が CryptoLocker アプローチを採用しています。ただし、現在のバージョンはオリジナルと同じではありません。新しいバージョンは、同じまたは同様のファイル暗号化アルゴリズムを使用している可能性がありますが、CryptoLocker を非常に効率的に拡散させるためのネットワークインフラは備えていません。

ランサムウェア攻撃に対する主な防御戦略

間違いなく、ランサムウェア攻撃に対する防御は、今日のすべての企業にとって重要です。これは金銭と評判だけでなく、コンプライアンスの観点からも重要です。

企業をランサムウェア攻撃から防御するために実行できることは数多くありますが、ここでは主な 10 の戦略を紹介します。

1.  データをバックアップする

データのバックアップとリカバリは企業にとって不可欠です。リスクを軽減するための最も簡単な方法の 1 つは、データを外部のハードドライブまたはクラウドサーバーにバックアップすることです。ランサムウェア攻撃に直面した場合、最善の対策は、コンピュータをワイプしてクリーンにし、バックアップファイルをインストールすることであるからです。したがって、データのバックアップは重要であり、少なくとも 1 日に 1 回は実行することを目指す必要があります。

検討すべき一般的な方法が 3-2-1 ルールです。データのコピーを 3 つ作成し、2 つはオンラインの異なる種類のストレージに、1 つはオフラインで保管します。

このプロセスにステップをさらに追加すると、データストレージのセキュリティをさらに高めることができます。データを改ざん不可能で消去不可能なクラウドサーバーにコピーします。これにより、バックアップが変更または削除されることがなくなります。ランサムウェア攻撃を受けた場合、バックアップが変更または削除されていないことが重要です。

2.  最新のパッチでシステムを常に最新状態に保つ (または自動化を使用する)

軽視されがちですが、デバイスに常にパッチを適用することがサイバーセキュリティにおいては重要です。当然のことながら、手動での更新の展開は面倒で時間がかかるため、注意を必要とする他の重要なタスクから引き離されてしまうことがあります。しかし、パッチを適用しないと、アプリケーション、デバイス、データがサイバー犯罪者から攻撃されるリスクが高まります。

そこで役に立つのが自動化です。手動での更新やパッチ適用といった楽しくないタスクのために時間を犠牲にする必要はなくなります。自動的な更新と適用に仕事をさせておくだけでよいのです。問題を防止するには自身で更新するほうが適している場合もあるため、このオプションは賢く使用してください。

3.  ウイルス対策ソフトウェアとファイアウォールをインストールする

ランサムウェア攻撃から身を守る方法は数種類あります。しかし、最も一般的で効果的な方法は、包括的なウイルス対策およびマルウェア対策ソフトウェアをインストールすることです。このようなソリューションは、デバイスやネットワークでマルウェアをスキャンし、検出された悪質なコードを削除するように設計されています。

ウイルス対策ソフトウェアに加えて、ファイアウォールのインストールも検討する必要があります。ファイアウォールは、ネットワークに出入りするトラフィックをフィルタリングできるハードウェアまたはソフトウェアです。これにより、ランサムウェア (およびその他のマルウェア) がデバイスに侵入するのを最初の段階で防ぐことができます。

ボーナスヒント: 偽のウイルス検出アラートに注意してください。サイバー犯罪者が偽のアラートを作成して、ユーザーを怖がらせ、悪質なリンクや添付ファイルをクリックさせようとすることがあります。不確かな場合は、アクションを実行する前に必ず IT 部門に確認してください。

4.  ユーザーのアクセスと権限を制限する

ランサムウェア攻撃の可能性を減らしたい場合、ユーザーのアクセスと権限の制限は不可欠です。このような対策を講じることで、攻撃者がネットワークへの侵入に成功した場合にマルウェアの拡散を制限できます。

特定のデータやシステムへのアクセスを必要とするユーザーのみがアクセス権を持つようにします。また、ユーザーがアカウントを使って何を実行しているかを監視します。不審なアクティビティがある場合は、直ちに調査します。

5.  従業員を教育する

企業をランサムウェア (およびその他のサイバー脅威) から保護するための最善の方法の 1 つは、従業員の教育です。ランサムウェアとは何か、どのような仕組みかを、従業員が理解するようにします。さらに、不明な送信者からのリンクや添付ファイルをクリックすることの危険性やパスワードを共有しないことの重要性を周知します。

サイバーセキュリティポリシーを実施することも必要です。従業員がネットワークの安全性を維持するために実施する必要がある手順を記述します。最後に、定期的なトレーニングセッションを提供して、最新の脅威とベストプラクティスを全員が把握するようにします。

6.  アプリケーションホワイトリスト機能

アプリケーションホワイトリスト機能は、承認済みのアプリケーションにのみデバイスまたはネットワークでの実行を許可するセキュリティ対策です。不明なコードや悪質なコードの実行が基本的に阻止されるため、ランサムウェア攻撃の防御に非常に役に立ちます。

もちろん、アプリケーションホワイトリスト機能は完ぺきではありません。新たなマルウェアが隙間をくぐり抜ける可能性は常にあります。ただし、他のセキュリティ対策と併用することで、企業をランサムウェア攻撃から保護するための効果的なツールになります。

7.  事業継続および緊急時対応計画を策定する

最善のセキュリティ対策を講じても、企業がランサムウェアの標的となり侵害される可能性はあります。そのため、事業継続および緊急時対応計画を策定することが重要になります。

これらの計画には、システムが停止した場合の運用の継続方法とランサムウェア攻撃を受けた場合に実行する必要がある手順を記述する必要があります。このような計画により、損害を最小限に抑え、できる限り迅速に業務を再稼働することができます。

8.  ビジネス向けのサイバー賠償責任保険に投資する

サイバー賠償責任保険は、データ侵害またはサイバー攻撃による金銭的損失から企業を守ります。この種類のポリシーは、失われたデータの復元コストや発生する可能性がある法的料金をカバーするのに役立ちます。

適切なセキュリティ対策の代わりとなるものではありませんが、サイバー賠償責任保険により、非常に必要である安心が得られます。また、ランサムウェアに攻撃された場合、金銭的損失を最小限に抑えることができます。

9.  定期的なセキュリティテストおよび監査を実施する

セキュリティ対策を定期的にテストして、効果的であることを確認することが重要です。これは、侵入テストや脆弱性スキャンなど、さまざまな方法を通じて行うことができます。

テストに加え、定期的なセキュリティ監査も実施する必要があります。これらの監査により、システムの弱点を特定し、悪用される前に対処することができます。

ランサムウェア攻撃の発生後に実行すべき手順

ランサムウェア攻撃を防御することが理想的です。しかし、最善のセキュリティ対策であっても、意を決した攻撃者を常に阻止できるとは限りません。ランサムウェア攻撃を受けた場合は、いくつかの手順を実行する必要があります。

1.  影響を受けたシステムを分離する

まず最初に行う必要があるのは、影響を受けたシステムの分離です。これにより、ランサムウェアがネットワークの他の部分へ拡散するのを防ぎます。

バックアップシステムがあるなら、今こそ使用しましょう。バックアップは、失われるデータの量を最小限に抑えるのに役立ちます。

2.  攻撃元を特定する

影響を受けたシステムを隔離したら、攻撃元を特定する必要があります。この情報は、将来の攻撃を防ぐのに役立ちます。

インシデントを法執行機関に報告することもお勧めします。攻撃者を追跡し、お金を取り戻すのを助けてくれる可能性があります。

3.  当局と顧客に通知する

ランサムウェア攻撃が個人データに影響する場合は、該当する当局に通知する必要があります。米国では、連邦取引委員会と FBI が該当します。また、顧客に通知して、顧客が身を守るための対策を実行できるようにする必要があります。

身代金を支払うべきか?

この質問への簡単な答えはありません。要求される金額、暗号化されたデータの種類、バックアップの有無など、複数の要因によって決まります。

一般には、他に選択肢がなければ、身代金を支払うしかないと言われますが、支払ってもデータを取り戻せる保証はありません。実際、取り戻せない可能性は十分にあります。

また、倫理的に考慮すべき点もいくつかあります。身代金を支払うことで、事実上、犯罪者に金銭を供与することになり、それによって犯罪者に攻撃を続ける自信を持たせてしまいます。

ベリタスから必要な支援を受ける

ランサムウェア攻撃への対処は、困難な作業となる可能性があります。ただし、1 人で何とかしようとする必要はありません。ベリタスのエキスパートが、攻撃からリカバリし、業務を再稼働できるよう支援します。

ベリタスが提供するサービスには次のものがあります。

  • データリカバリ: 失ったデータをリカバリして業務を再稼働できるよう支援します。
  • セキュリティ評価: セキュリティ対策を評価して、弱点を特定できます。その後、セキュリティを改善するために必要な変更の実装を支援できます。
  • 事業継続計画: ランサムウェア攻撃を受けた場合に業務を継続するための計画を作成できるよう支援します。

ランサムウェア攻撃に対処している場合、またはセキュリティ対策を改善してこのような攻撃を防御したいとお考えの場合は、今すぐお問い合わせください。この困難な時代を切り抜け、将来の攻撃から企業を保護できるようお手伝いします。

結論

ランサムウェア攻撃は、あらゆる規模の企業にとって深刻な脅威です。データの損失、サービスの中断、評判の低下、規制コンプライアンスの問題につながる可能性があります。

防御するには、効果的なセキュリティ対策を実装しなければなりません。攻撃に対処するための計画を策定する必要もあります。

ランサムウェア攻撃の被害に遭った場合の最善のアクションは、法執行機関に連絡し、専門家の支援を求めることです。ベリタスは、攻撃からのリカバリ、およびセキュリティ対策の改善を支援します。詳細については、今すぐお問い合わせください

 

ベリタスのお客様は Fortune 100 企業の 95% を占めています。また、NetBackup™大量のデータの保護を検討している大企業にとって第一の選択肢です。

 

完全なデータ保護が仮想、物理、クラウド、およびレガシーの各ワークロードに対してベリタスの大企業向けデータ保護サービスでどのように維持されているかをご確認ください。