ランサムウェアによるハッカーの攻撃内容

ランサムウェア攻撃では、ハッカーは、マルウェアを使用して、データ、知的財産、個人情報などを暗号化、削除、または操作します。これにより、攻撃者は、被害者がサイバー犯罪者の身代金要求に応じるまで、情報、デバイス、またはシステムをデジタル的に人質にすることができます。

ランサムウェアは依然としてサイバー犯罪者にとって最も収益性の高い戦術の1つであり、身代金の要求額はますます高額になり、100万米ドルから1,000万米ドルに及ぶことがよくあります。ハッカーに身代金を支払っても、システムが復元されることや、盗まれたデータがダークウェブ上で共有も販売もされないことが保証されるわけではない点に注意することが重要です。

ランサムウェアハッカーの手法

ハッカーは、ランサムウェアを使用して、次の2つの方法で被害者に金銭の支払いを迫ります。

1. データの暗号化
2. データの窃盗

1. データの暗号化

ランサムウェア攻撃は、ハッカーが被害者のファイルを暗号化して、そのようなファイルを暗号化解除するための身代金の支払いを迫ることを軸としています。ファイルの暗号化方法は、ランサムウェアの亜種によって異なりますが、一般に、ランサムウェアは、システムに侵入した後、特定の種類のファイルを検索します。ファイルを回復するには、被害者が身代金を支払って暗号化解除キーを手に入れる必要があります。ただし、このキーが必ずしも機能するとは限りません。

現在、ランサムウェアの多くの亜種が自己拡散機能を備えています。つまり、ランサムウェアがネットワーク内の他のデバイスに、その脆弱性を悪用して侵入する恐れがあるということです。

2. データの窃盗

ランサムウェアハッカーが利益を上げるには、もうデータの暗号化だけでは十分ではありません。ランサムウェア攻撃の被害者は、身代金を支払わず、攻撃を当局に報告し、損失を受け入れるように指示されます。そのため、ハッカーは、データの暗号化に加えてデータの窃盗を取り入れるようになりました。

ハッカーは、被害者のデータを暗号化する前に、感染したデバイス内で価値のある機密のドキュメント/データを探し、自分自身にそのコピーを送信します。次に、ハッカーは、データの内容によっては被害者のビジネスや顧客に悪影響を与えかねない盗み出したデータを、被害者から身代金の支払いを得るための追加の材料として使用します。

ランサムウェアの種類とその機能

前述のとおり、ランサムウェアにはさまざまな形態の亜種があります。ここでは、いくつかの最も一般的な種類のランサムウェアと、それらがデータを暗号化または窃盗する際のさまざまな方法について説明します。

1. 暗号ランサムウェアまたは暗号化ツールは、システム内のファイルとデータを暗号化して、暗号化解除キーなしではその内容にアクセスできないようにします。
2. ロッカーは、ユーザーをシステムから完全に締め出して、ファイルやアプリケーションにアクセスできないようにします。ロック画面に身代金の要求が表示されます。
3. スケアウェアは、コンピューターまたはモバイルデバイスでウイルスまたはその他の問題を検知したと主張して、問題を解決するためにユーザーに料金の支払いを迫る偽のソフトウェアです。スケアウェアは、実際にファイルに損傷を与えることなく、コンピューターをロックしたり、ポップアップアラートで画面を埋め尽くしたりすることもできます。
4. ドクスウェアまたはリークウェアは、機密性の高い個人情報や企業情報をオンラインで公開すると脅して、秘密のデータが悪意のある人間の手に渡ったり、パブリックドメインになったりするのを防ぐために身代金を支払うように被害者に迫ります。1つのバリエーションとして警察を装ったランサムウェアがあります。このランサムウェアでは、サイバー犯罪者は法執行機関になりすまして、違法なオンライン活動が検知されたと警告し、罰金を支払うことで懲役を回避するようユーザーに迫ります。
5. RaaS（サービスとしてのランサムウェア）は、「プロ」のハッカーが匿名でホストするマルウェアのことで、ランサムウェアの配信から身代金の回収、アクセスの復元まで、攻撃のあらゆる側面をハッカーが受け持ちます。
6. ファイルレス攻撃またはファイルレスランサムウェアは、初期の戦術で実行可能ファイルがディスクに書き込まれることのない攻撃です。ファイルレスランサムウェアは、OSにプリインストールされているPowerShellやWMIなどのツールを使用するため、ハッカーは、侵害したシステム上で悪意のある実行可能ファイルを実行することなくタスクを遂行できます。

ランサムウェア攻撃から保護する方法

ランサムウェアによって暗号化が行われると、たいていの場合、データを復元するにはすでに手遅れです。そのため、最善のランサムウェア防御はプロアクティブな防御に依存しています。

ランサムウェアは絶えず進化してるため、多くの組織にとって保護が課題となっています。業務の安全を確保するには、以下のベストプラクティスに従ってください。

1. サイバーセキュリティのベストプラクティスに関してすべての従業員をトレーニングする
2. オペレーティングシステムと他のソフトウェアにパッチを適用して最新の状態に保つ
3. Eメールセキュリティを実装し強化する
4. 悪意のあるアクティビティや攻撃の痕跡（IOA）がないか環境を継続的に監視する
5. 脅威インテリジェンスをセキュリティ戦略に組み込む
6. ランサムウェア対策としてのオフラインバックアップを開発する
7. アイデンティティおよびアクセス管理（IAM）プログラムを実装する

クラウドストライクによるランサムウェア攻撃の防御

CrowdStrike Falcon®は、ランサムウェアに対する保護を提供します。ランサムウェアの普及が進み続けるにつれて、この機能はますます価値が高まっています。この機能を使用した当社のアプローチでは、ランサムウェアがシステムに感染してファイルを暗号化するのを実際に阻止します。当社は、防御アプローチが絶対的に必要であると考えています。この理由は、暗号化解除は不可能であることが多く、身代金を支払ったりバックアップから復元したりすることは誰も望んでいないためです。

クラウドストライクでは、エンドポイントセンサーを使用してランサムウェアの振る舞いを検知し、問題のあるプロセスがファイルを暗号化するという目標を達成する前にそのプロセスを終了させます。これは、エンドポイント上のクラウドストライクの攻撃の痕跡（IOA）パターンを使用して行われます。これらはオンラインとオフラインの両方で機能し、従来のアンチウイルスシグネチャをバイパスすることが多いランサムウェアの新しい亜種やポリモーフィック型亜種に対して効果的です。