ランサムウェア入門

ランサムウェア攻撃の数が増え続けています。2019年から2020年の間に、ランサムウェアのインシデントは全世界で62%、北米では158%増加しており、政府関係機関や企業、個人がその標的になっています。2021年には米国最大手のパイプライン企業であるColonial Pipelineが攻撃を受け、大きな話題になりました。この攻撃はそれまでで最も世間の関心を集めたランサムウェア攻撃であったかもしれません。

この攻撃で、同社は、東海岸の半分の燃料供給を停止する事態に追い込まれました。この種の攻撃で予想される影響は甚大です。Colonial Pipelineの事件だけでも、米国のインフラと商取引の中核を成す要素が脅かされたのです。そして、規模がもっと小さい攻撃でも、ランサムウェアは国の安全を脅かし、一般の人々にも企業にもコストをもたらします。

ランサムウェアとは何か

基本的な定義では、ランサムウェア攻撃は、重要な情報を暗号化するための特殊なマルウェアを使う攻撃と定義されており、暗号化によって被害者は情報にアクセスできなくなり、ファイルやアプリケーション、データベースへのユーザーのアクセスをすべて遮断したことになります。そして攻撃者は、データの復元と引き替えに身代金を要求します。このような攻撃が危険であるのは、ランサムウェアは多くの場合、より多くの標的のシステムにダメージを拡散するための機能が備わっているからです。

ランサムウェアの振る舞い

ランサムウェアは、さまざまな手段でネットワークやシステムに侵入します。一般には、スパムメールを受け取ったユーザーが誤ってマルウェアを自分のマシンにダウンロードすることで、ランサムウェアが侵入します。ソーシャルエンジニアリングや不正なWebサイトのリンク、チャットメッセージ、USBメモリが侵入経路に使われることもあります。特定のデバイスに侵入したマルウェアは通常、実行ファイルやマクロへの組み込みを介して、ネットワークへと拡散します。この処理が行われるとすぐに、ランサムウェアの危険な側面が現れます。データの暗号化を始め、ファイルに拡張子を加え、ファイルにアクセスできなくするのです。

より手の込んだ比較的新しいバージョンのランサムウェアの中には、ブラウザーのプラグインの脆弱性を突き、自力でシステムに感染するものもあります。システムがランサムウェアに感染し、重要なデータが暗号化されると、組織や個人は大きな影響を受け、攻撃者はこれに乗じて身代金を要求します。

ランサムウェア攻撃を防ぐ方法

今日のコンピューティング環境ではサイバー攻撃を受けるのは避けられないとする考え方もあります。幸い、ランサムウェアの場合には、攻撃を防ぐ方法がいくつか存在します。これらの手法を導入すれば、攻撃者がネットワークへ侵入したり、ネットワークの機能が停止させられたりするのを回避でき、最悪の事態を避けることができます。

• データをバックアップする：ほとんどのランサムウェア攻撃では、データを利用不可能な状態にして組織に影響を与えます。定期的にデータをオフラインのロケーションにバックアップすれば、攻撃の影響や、組織の利益に生じるダメージのリスクを大幅に抑えられます。侵害を受けても、オフラインのバックアップにはアクセスできるからです。
• 強力なランサムウェア対策機能に投資する：ランサムウェア攻撃を防ぐ場合、従来のウイルススキャン機能やマルウェア検知機能では、必ずしも十分であるとは言えません。絶えず進化する状況と、ゼロデイ脆弱性を狙う巧妙さを増した攻撃に対処するには、ネットワーク内のすべてのエンドポイントを保護できる予測型の防御機能が必要です。
• ネットワークのセグメント化とファイアウォールの導入：ランサムウェアがネットワークに感染した場合、その拡散を抑え、ダメージを局所化することが不可欠になります。ネットワークをセグメント化し、強力なファイアウォールのルールを適用すれば、ランサムウェア攻撃を受けても、データが暗号化される範囲をネットワークの一部に制限することができます。
• トレーニング：トレーニングを実施し、セキュリティに対するユーザーの意識を高めることが、サイバーセキュリティの基盤になります。トレーニングを通じ、従業員がランサムウェアの意味を理解し、見知らぬ相手から届いたメールを開封しない、メールのリンクをクリックしないといったことが重要であると知れば、ランサムウェア攻撃を防ぐのに役立ちます。

ランサムウェア攻撃に備えるための準備

ランサムウェア攻撃に備える場合、まずは、実際に攻撃を受けたときの危機対応プランを策定します。企業がランサムウェア攻撃を受ける確率が高いのは週末や休日であることがサイバーリーズンの調査により明らかになっています。驚くことに、調査対象の36%の回答者が、ランサムウェア攻撃を受けたときに備えて特定の危機対応プランを準備していないと述べています。また、攻撃を受けた経験があっても危機対応プランをまだ準備していない組織が24%存在することも明らかになりました。そして、これらの49%の組織が、攻撃を受けた理由として、適切なセキュリティプランが準備されていなかったことや、適切なセキュリティソリューションを導入していなかったことを挙げています。

従来のシグネチャベースのアンチウイルスソリューションは、ランサムウェア攻撃を防ぐのには効果がありません。ランサムウェア攻撃では多くの場合、再パックされた多様な性質の、これまでにないマルウェアが使用されるためです。調査対象の46%もの組織がいまだに、このような従来型の手法に頼っていることが判明しています。Endpoint Detection and Response（EDR）システムを構築すれば、重要なシステムでサイバー攻撃の標的になる箇所の防御を大幅に強化でき、ランサムウェア攻撃を受けて最悪の事態に陥るのを防ぐことができます。

ランサムウェア攻撃を受けた場合の対処法

ランサムウェアを駆除するには、いくつかの不可欠なステップがあり、これらを順番に実行する必要があります。その手順では、まず、隔離します。次に、ランサムウェアに感染したシステムをネットワークから切り離し、データに対する接続やインターフェイスも無効にします。そして、セキュリティチームは、感染源を特定し、そのシステムをシャットダウンしなければなりません。一方、運用担当者は、バックアップの整合性を確認し、身代金を支払わないことで生じるダメージのリスクを評価する必要があります。

攻撃の首謀者であるサイバー犯罪者とやり取りをしないよう、また、身代金を支払わないようにと、FBIは勧告しています。それゆえ、ランサムウェア攻撃の影響を低減するうえでは、安全な場所に隔離されているストレージに定期的にバックアップを取る方法が、大きな威力を発揮します。

RAAS（サービスとしてのランサムウェア）とは何か

RaaS（サービスとしてのランサムウェア）は、サブスクリプションベースのモデルです。サービスの加入者は既成のランサムウェアツールでランサムウェア攻撃を仕掛けられるようになっています。攻撃を行った加入者は、支払われた身代金の額に応じて一定の割合の報酬を受け取ります。

ランサムウェアの開発者は開発したコードをブラックマーケットで公開しており、一般に、支払われた身代金や一定の手数料と引き換えに利用を許可しています。RaaSを通して容易にランサムウェア攻撃を実行できる状態になっているため、対策を行うことが不可欠です。