X

Our website uses cookies to enhance your browsing experience.

CONTINUE TO SITE >
< Back to EPP 101

ランサムウェアとその防御方法について

2月 3, 2020

ランサムウェアの定義

コンピューター画面上の赤いランサムウェアポップアップメッセージ

ランサムウェアはマルウェアの一種で、システムや個人ファイルへのアクセスをブロックしてファイルの返却と引き換えに支払い(身代金)を要求します。支払い期限を過ぎると、一定期間ごとに身代金の増額を要求することもよくあります。

支払いには暗号通貨やクレジットカード、追跡不可能なギフト券などを指定されることがあり、支払ったとしてもコンピュータやファイルに再びアクセスできるようになるとは限りません。さらにひどいことに、支払った被害者は以後も頻繁に標的にされます。また、ただ一度の感染でランサムウェアが組織全体に広がり、業務不能になる可能性もあります。腹立たしく、パニックを誘発し、効果絶大なのがランサムウェアです。

身代金は数百ドルから数万ドルまでさまざまで、この数年であらゆる業界の被害者がサイバー犯罪者に支払った額は数十億ドルに達します。それどころか、Cybersecurity Ventures社は、2019年のランサムウェアの損害額は110億ドルを超えると予測しています。これほどまでに効果を出す理由の1つは、偽装方法が数多くあり、データやネットワーク全体を有効に保護するにはそのすべてに気を配らなければならないことです。

Learn More

ランサムウェアの歴史に関する詳細な分析や、攻撃者が利益を最大にするためにどのように攻撃手口(TTP)を進化させ続けているかについては、次のホワイトペーパーをダウンロードしてご覧ください: A Deep Dive into Ransomware's Evolution

ランサムウェアがデバイスを感染させる方法

ランサムウェアがコンピュータやシステムに侵入する方法はいくつかあります。最も一般的なのは、フィッシングメールとスパムを利用する方法です。こうしたメッセージには、悪質な添付ファイルや、悪質なウェブサイトまたは侵害されたウェブサイトへのリンクが含まれています。無防備なユーザーが添付ファイルを開けたりリンクをクリックしたりすると、被害者のコンピュータがランサムウェアに感染してネットワーク全体に広がります。

別の方法としては、システムやプログラムのセキュリティホールを悪用するエクスプロイトキットを使うものがあります。悪名高きWannaCryワームも、Microsoftのエクスプロイトを悪用して、世界中で何十万ものシステムを感染させるというものでした。偽のソフトウェアの更新という形を取り、管理機能を有効にして、悪意のあるコードをインストールするように、ユーザーに促す場合もあります。

ビットコインを要求するハッカーからの身代金の手紙

ビットコインでの支払いを要求する身代金の手紙

システムがランサムウェアに感染すると、通常はハードドライブへのアクセスがブロックされるか、コンピュータ上のファイルの一部または全部が暗号化されます。マルウェアを削除してシステムを元の状態に復元できる場合もありますが、ファイルはすでに読み取り不可能になっているため暗号化されたままで、攻撃者のキーがないと解読は数学的に不可能です。

身代金自体は支払い可能な低い額に設定されていますが、攻撃者にとっては十分割に合う額であり、企業はシステムを解除して通常業務を再開するために支払ってもよいと考える金額であるかの費用対効果を分析することになるのです。サイバー犯罪者は特定の組織や業界を標的にして、その組織や業界特有の脆弱性を悪用し、身代金が支払われる機会を最大限に活用することもあります。

たとえば大学の場合、たいていはセキュリティチームが小規模で多数のファイル共有を行う大規模なユーザーベースがあるため、簡単に防御を破られてしまいます。医療機関もデータに即座にアクセスしなければならないことが多く、命が危険にさらされることもあり、すぐに支払いが行われるため、標的となる可能性があります。また、金融機関や法律事務所は、データに機密性があるため支払う傾向が強く、評判の悪化を避けるために黙って支払いがちです。

Learn More

ランサムウェアの実際の例、さまざまな攻撃者グループが使用している高度な戦術、およびそれらを検知するためにできることについては、こちらをご覧ください:Learn More

さまざまな種類のランサムウェア

WannaCry身代金メッセージはビットコインで600ドルを要求します

WannaCry身代金メッセージ

以下は最も一般的なタイプです。

1. 暗号マルウェアまたは暗号化プログラムは、最もよく知られた有害な亜種です。このタイプはシステム内のファイルやデータを暗号化して、復号キーがなければコンテンツにアクセスできないようにします。

2. Lockers(ロッカー)は、システムを完全にロックしてファイルやアプリケーションにアクセスできないようにします。ロック画面に身代金の要求が表示され、場合によっては秒読み時計つきで切迫感を煽り、被害者を支払いに駆り立てます。

3. Scareware(スケアウェア)は、コンピュータ上にウィルスやその他の問題を検知したと脅かし、問題解決のために支払いを指示する偽ソフトウェアです。コンピュータをロックするスケアウェアもあれば、実際にはファイルに損傷を与えずに警告をポップアップ表示するだけのものもあります。

4. Doxware(ドクスウェア)やleakware(リークウェア)は、個人や会社の機密情報をオンラインで公開すると脅します。多くの人はパニックになり、プライベートデータが悪人の手に渡ったり公の目にさらされたりするのを防ぐために身代金を支払います。警察を装ったランサムウェアもあり、法執行機関であると主張して、違法なオンライン活動が検知されたが罰金を払えば懲役は回避できると警告します。

5. RaaS(サービスとしてのランサムウェア)は、「プロ」のハッカーが匿名でホストするマルウェアのことで、ハッカーは奪い取った金の分け前をもらう代わりに、ランサムウェアの配信から身代金の回収、アクセスの復元まで、攻撃のあらゆる側面を担当します。

ランサムウェアを回避し防ぐ方法

ランサムウェアによって暗号化されると、たいていの場合データを復元するにはすでに手遅れになっています。だからこそ最も優れた防御は事前に備えるプロアクティブな予防にあるのです。堅牢なバックアップは当然、攻撃に備えて用意すべき基本的なベストプラクティスですが、最新のマルウェアの亜種はバックアップに対しても削除を行ったり損傷を与えたりできます。

Learn More

最も効果的なランサムウェア防御アプローチについて詳しくは、次のホワイトペーパーをダウンロードしてご覧ください: Read: Ransomware Defense The Do's and Dont's

ランサムウェアは絶えず進化しており、多くの組織にとって保護は課題となっています。業務の安全を保つために、次のベストプラクティスをご紹介します:

1. 全社員にサイバーセキュリティのベストプラクティスについての教育を行う

社員はセキュリティの最前線にいます。すべてのデバイスで、強力なパスワード保護を使用する、安全なWi-Fiにのみ接続する、絶えずフィッシングに警戒する、など、社員に適切な習慣を実践させましょう。

2. オペレーティングシステムなどのソフトウェアにパッチを適用し、常に最新の状態に保つ

ハッカーは悪用できる穴やバックドアを常に探しています。用心を怠らずにシステムを更新することにより、既知の脆弱性への露出を最小限に抑えることができます。

3. 未知の脅威を防ぐことができるソフトウェアを使用する

従来のアンチウィルスソリューションでは既知のランサムウェアは防げるかもしれませんが、未知のマルウェアの検知には役立ちません。CrowdStrike Falcon®プラットフォームは、既知、未知を問わずマルウェアに対して、AIによる機械学習を使用した次世代アンチウイルス機能を提供します。Falconは、繰り返し利用される既知のマルウェアを検知するのではなく、ランサムウェアが実行されて損害を受ける前に攻撃の痕跡(IOA)を探し、阻止します。

4. 悪質なアクティビティやIOAがないか環境を常時監視する

CrowdStrike® Falcon Insight™、「エンドポイントでの検知と対応(EDR)」はすべてのエンドポイントに対して監視カメラのような働きをし、未加工のイベント情報を収集して、防御方法では見つけられない悪意のあるアクティビティを自動検出し、プロアクティブな脅威ハンティングを行う可視性を提供します。

すぐには脅威検知の自動アラートを発するトリガーにならない、密かに進行している攻撃の可能性を見つけ出す、Falcon OverWatch™マネージド脅威ハンティングをCrowdStrikeでは提供しています。これは経験豊富な精鋭ハンターで構成されたチームであり、このチームがお客様に代わって24時間365日体制でプロアクティブに脅威を見つけ出します。

5. セキュリティ戦略に脅威インテリジェンスを取り入れる

攻撃を迅速に検知し、最適な対応が何かを理解して攻撃の拡散を防ぐためには、システムをリアルタイムで監視し、脅威インテリジェンスを最新の状態に保つことが重要です。CrowdStrike Falcon Xは脅威分析とインシデント調査を自動化して、すべての脅威を調べ、数分以内にプロアクティブな対策を講じます。

ランサムウェアの実例

過去数年間に実際に検知された悪名高きランサムウェアを、数例ご紹介します。

NotPetya

NotPetyaは2017年に最初に見つかり、複数の国のシステムに急速に侵入しました。このランサムウェアファミリが特にたちが悪いのは、密かに増殖する技術を使用している点です。これにより、組織内で水平展開して他のシステムも暗号化します。NotPetyaの身代金要求文では、感染したマシンごとに300ドルを要求しています。このランサムウェアファミリの詳細については、NotPetyaの詳細な技術的分析をご確認いただくか、NotPetyaの事後対処ウェブキャストをご覧ください。

SamSam

サイバー攻撃者グループ BOSS SPIDERが開発し利用しているSamSamは、パッチを当てていないサーバー上のソフトウェアを使用して環境に侵入することが確認されています。なかでも注目すべきは、2018年のジョージア州アトランタ市に対するランサムウェア攻撃でSamSamが使われていたということです。この攻撃で8,000人もの市職員がコンピュータを使えない状況に置かれ、市民は支払いを行うことができませんでした。ジョージア州アトランタに対するSamSam攻撃の詳細については、SamSamから学んだ教訓に関するブログ記事をご覧ください。

WannaCry

WCry、WanaCrypt、Wannaとも呼ばれるWannaCryは、2017年5月に起きた大規模なサイバー攻撃で確認され、世界中の組織に影響を与えました。WannaCryは、EternalBlueというMicrosoft Windowsのエクスプロイトを利用して医療機関や公益事業者を標的とし、このエクスプロイトによってファイル共有が可能になり、ランサムウェアが拡散することとなりました。攻撃の拡散方法についての詳細は、WannaCryの技術的分析をご確認ください。

CrowdStrikeがWannaCryランサムウェアを阻止する方法の詳細については、以下のビデオをご覧ください。

次のステップ

CrowdStrikeは、次世代エンドポイントセキュリティ脅威インテリジェンスインシデント対応における業界リーダーです。CrowdStrikeのコアテクノロジーであるCrowdStrike Falconプラットフォームが、あらゆる種類の攻撃から防御し、対応して侵害を阻止します。

CrowdStrikeがランサムウェアを防ぐ方法の詳細については、下のボタンをクリックしてください。

CrowdStrikeとランサムウェア