ランサムウェア総合ガイド

Written By: Ontrack

Date Published: 2023/10/30 8:39:01

ランサムウェア総合ガイド

  • ransomware-1

    ランサムウェアとは何ですか?

    ランサムウェアは、コンピューターシステムへのアクセスをブロックするか、被害者の個人データをオンラインで公開するように設計された悪意のあるソフトウェアの一種です。攻撃者は被害者に身代金を要求し、支払い時にデータへのアクセスを復元することを約束しますが、必ずしも誠実であるとは限りません。

    1980年代頃から過去10年間で、さまざまなトロイの木馬型ランサムウェアが出現しましたが、ビットコインの登場以来、攻撃者にとってチャンスが広がりました。この暗号通貨により、攻撃者は従来のチャネルを経由せずに被害者から簡単に金銭を収集することができるようになりました。

ランサムウェア攻撃は、悪意のあるソフトウェアがデバイスにダウンロードされたときに開始されます。デバイスとは、ノートパソコン、スマートフォン、デスクトップなどです。悪意のあるソフトウェアは通常、ユーザーエラーまたは不十分なセキュリティプロトコルが原因でダウンロードされます。

過去数年間で、ランサムウェアによるフィッシング攻撃の被害が増大しています。フィッシング攻撃とは、サイバー犯罪者がウイルスに感染させたドキュメントまたはURLをメールに添付し、それを正当なメールに見せかけて、受信者をだまして開封させようとする攻撃のことです。これを開くと、ランサムウェアがデバイスにインストールされます。

他によく見られる攻撃の手口としては「トロイの木馬」があります。これは、オンラインでランサムウェアを正規のソフトウェアに見せかけて、ユーザーがそのソフトウェアをインストールした後、デバイスに感染させるものです。

ランサムウェアがシステムに感染すると、デバイス上の重要なプロセスを乗っ取ります。暗号化するファイルを検索したとき、ウイルスはデバイス上のすべてのデータをスクランブルします。または、暗号化できないファイルを削除してしまいます。ホストマシンに接続されている外部デバイスにも感染します。ウイルスはまた、感染したネットワーク上の他のデバイスにも信号を送信して、それらに感染しようとします。

ランサムウェアにはさまざまな種類があり、常に新しいものが作られています。以下は、よくある有名なランサムウェアの種類です。

 

フィッシング

ランサムウェアが感染する一般的な経路は、フィッシングスパムを介したものです。添付ファイルが被害者のメールに届き、それが信頼できるファイルであるかのように偽装されています。セキュリティソフトウェア会社のトレンドマイクロの調査によると、サイバー攻撃の91%と、その結果としてのデータ侵害は、スピアフィッシングメールから始まっています。

添付ファイルがダウンロードされ開かれると、マルウェアが被害者のコンピューターを乗っ取り、ユーザーのファイルの一部を暗号化します。そうなった場合、データは、攻撃者だけが知っている数学的キーを使用することでしか復号化できません。

また、マルウェアにより、ユーザーが使っているコンピューターの「Windows」をロックしたというメッセージが表示されるケースもあります。すると、ユーザーは「Microsoft」の電話番号に電話をかけ、システムを再アクティブ化するために6桁のコードを入力するよう促されます。メッセージには、通話は無料と書かれていますが、これは本当ではありません。電話で偽の「Microsoft」を呼び出している間、長距離通話料金が発生します。

 

ドクスウェア

別のマルウェアとして、リークウェアまたはドクスウェアというものがあります。これは、身代金を支払わないと、ハードディスクの機密データを公開する、と脅迫するマルウェアです。多くの場合、メールやWord文書がターゲットになりますが、ユーザーの電話からプライベートメッセージや写真、連絡先リストを公開するという、モバイルを標的にしたケースもあります。

ドクスウェアは、被害者から金銭を得るという点で、ランサムウェアよりも効果的であることがわかっています。ランサムウェアでは、アクセスできなくなったデータのバックアップを個別にとっておくことができますが、ドクスウェアでは、被害者は、公開されたくない情報を盗まれてしまうと、攻撃者に金銭を支払う以外に打つ手がありません。

 

アナトバ

アナトバは2019年に発見されたランサムウェアです。この新しい系統のランサムウェアは、ゲームまたはアプリケーションのアイコンになりすまし、ユーザーにダウンロードさせようとします。非常に巧妙なマルウェアであり、適応が素早く、見つからないようにする回避と拡散の技術に長けています。モジュール式の設計により、追加の機能を組み込むことができるため、ランサムウェア対策をかいくぐります。幸い、McAfee Advanced Threat Researchチームは、重大な脅威になる前の2019年初頭に、この新しい系統のランサムウェアを発見しました。

 

ダルマ

CrySiSの亜種であるランサムウェア、ダルマは、2018年から存在していますが、サイバー犯罪者は、解読が不可能な新しい亜種をリリースし続けています。

 

GandCrab

これは、AES暗号化を使用し、「GandCrab.exe」というファイルをシステムにドロップする悪意のあるランサムウェアです。GandCrabは、Microsoft Windowsが動作しているPCを使っている消費者と企業をターゲットにしています。2019年5月31日、GandCrabの背後にいるサイバー犯罪者は 2000億円を超える身代金を手にしたため、これで「安心してリタイアできる」と主張し、GandCrabのランサムウェア攻撃をすべて停止すると発表しました。

 

エモテット

エモテットは元々、銀行を標的としたマルウェアでした。コンピューターに侵入し、機密情報や個人情報を盗みます。まず、2014年にエモテットはさまざまなバージョンを経て、一部のマルウェア対策製品では検出されないランサムウェアに進化しました。エモテットは登場以来、ヨーロッパと米国の個人、企業、政府機関から、銀行のログイン情報、財務データ、ビットコインウォレットを盗んでいます。

ハッカーは通常、ワームのような機能を使用して他のコンピューターに感染させ、通常は、スパムメールによって入り込みます。これは、正当なメールのように見えますが、言葉巧みに被害者をだましてリンクをクリックさせるものです。

エモテットは、最もコストのかかる、破壊的なマルウェアの1つです。国土安全保障省によると、エモテットの駆除にかかるコストは平均で1億円を超えています。

 

リューク

リュークは特に、高額な経済的利益を得るために大規模な組織を標的にしています。 CrowdStrike, によると、2018年8月から2019年1月の間に、リュークは52のトランザクションで705.80を超えるビットコインを獲得し、合計値は3億7千万円になりました。2018年のクリスマス期間に トリビューン・パブリッシングの業務を攻撃し、最初にその名が知られるようになりました。当初、同社は、攻撃は単にサーバーが停止しただけだと考えていましたが、すぐにそれがランサムウェアのリュークであることがわかりました。

大金をだまし取れる大企業をターゲットにするリュークなど、こうしたランサムウェアはまた別の言葉で呼ばれています。「大物ハンティング」です。これらの大規模な攻撃は、個々のターゲットに合わせて詳細なカスタマイズで展開されるため、攻撃の効果が高まります。それ故に、「大物ハンティング」では、ハッカーの作業量が非常に多く必要で、通常は段階的に開始されます。たとえば、第1段階は、企業ネットワークをマルウェアに感染させ、システムをマッピングしてターゲットとする重要な資産を特定することを目的とした、フィッシング攻撃です。第2段階と第3段階は、一連の恐喝と身代金の攻撃/要求になります。

 

私はランサムウェアの標的になっていますか?

ランサムウェアの標的にならない安全な業種はありません。残念ながら、攻撃が成功する可能性が高いものもあります。これには、展開するテクノロジーや導入されているセキュリティ、IDガバナンスと特権の成熟度、全体的なサイバーセキュリティプロトコルなど、さまざまな理由があります。

多様な部門の会社や業界がランサムウェア攻撃の犠牲になっています。ヘルスケアから航空会社に至るまで、攻撃者は無差別に標的に選んでいるように見えます…。それとも、意図的に選んでいるのでしょうか?

攻撃者は通常、次の2つ点に基づいて、攻撃する組織を選びます。

  1. チャンス
  2. 金銭面での大きな利益

チャンス

組織のセキュリティチームが小規模で、ITリソースが不足していて、多くのファイルを共有するユーザーベース、つまり大学などがある場合、攻撃者にとって絶好のターゲットとなります。

金銭面での大きな利益

法律事務所や政府機関など、ファイルにすぐにアクセスする必要がある組織は、身代金をすぐに支払ってしまう可能性が高いです。機密データを扱う組織は、データが侵害されたことをニュースにしたくないため、お金を払っても構わないと思うことがあります。

 

ランサムウェア攻撃を受けた場合の対処方法

ランサムウェアに感染していることに気付いた場合は、まず、ランサムウェアの種類を確認してください。画面上でランサムウェアのメモを確認できない場合は、画面をロックするランサムウェアに感染している可能性があります。アプリは閲覧できるが、ファイルや動画などが開けない場合は、暗号化するランサムウェアに攻撃されています。どちらも最悪です。システムのナビゲートが可能で、ファイルをすべて読み取ることができる場合は、おそらく、あなたを怖がらせてお金を払わせようとするランサムウェアに感染しています。

画面ロックとランサムウェアの暗号化の両方から攻撃を受けた場合に、何をすべきかについて詳しく説明しているすばらしいブログがあります。


ランサムウェア攻撃を受けた場合の対処方法

ただし、最善の予防策とポリシーが実施されていても、攻撃に苦しむ可能性はあります。データがランサムウェアの人質になってしまった場合、次のことをお勧めします。

  1. あわてないでください。早まった行動をすると、さらに多くのデータが失われる可能性があります。たとえば、染を発見してサーバーの電源を急に切った場合、あるいは適切に切ったとしても、感染したデータに加えて通常のデータも失う可能性があります。
  2. 身代金は絶対に支払わないでください。支払ったとしても攻撃者がデータのロックを解除する保証はありません。要求どおりに身代金を支払ったけれども、データが帰ってこなかったケースは多くあります。企業は、そうしたリスクを冒すのではなく、データ復旧の専門家と協力してマルウェアをリバースエンジニアリングすることでデータへのアクセスを回復する必要があります。
  3. 最新のバックアップをチェックしてください。バックアップが無傷で最新の場合、それらを別のシステムに復元すれば、データ復旧は簡単にできます。
  4. リカバリーオプションについて専門家に相談してください。専門のデータ復旧スペシャリストが状況を調査し、ソリューションがすでに導入されているかどうかを確認します。そうでなければ、スペシャリストは時間内に何らかのソリューションを開発することができるはずです。

身代金を払うべきですか?

データへのアクセスを取り戻すために身代金を支払うことは最悪だと思うかもしれませんが、攻撃に伴う実際の損害コストと比較すると、その方がましに見えることがあります。これには次のものが含まれます。

  • データの損傷と破壊(または損失)
  • 生産性の損失
  • 攻撃後の通常の業務の中断
  • 法医学調査
  • 人質になったデータとシステムの復元と削除
  • 風評被害
  • 攻撃に直接対応するための従業員トレーニング

上記を考慮すると、ランサムウェアの被害が今年、1兆50億円に達すると予測されているのも不思議ではありません。攻撃は、昨年の40秒おきから、今年の終わりまでには14秒おきになると予測されています。

サイバー犯罪の専門家に相談すると、ランサムウェアの攻撃者に資金を提供することは、さらなるランサムウェアの作成につながるだけなので、身代金を支払わないように強く勧められます。

しかし、多くの組織はこのアドバイスに否定的です。比較すると、要求される身代金に対し、暗号化されたデータのコストの方が高くつくことがあるからです。昨年、米国では、ランサムウェアの攻撃を受けた企業の45%が身代金を支払いました。いったい、なぜでしょうか?

ビジネス界ではランサムウェアの支払いを拒否するように勧められていますが、支払いの拒否は、ビジネス自体にとって最善の策ではない場合があります。特に、企業が重要なデータに永久にアクセスできなくなったり、規制当局から罰金が科せられたり、完全に廃業したりする可能性がある場合はなおさらです。比較的低額な身代金を支払ってビジネスを続けるか、それとも、幅広いビジネスコミュニティのために支払いを拒否するか?大半の人は身代金を支払うでしょう。

一部のランサムウェア事件では、身代金の要求は、攻撃者が得をする形になっていますが、多くの場合、これは失われたデータを再構築するために支払う金額よりも安く設定されています。また被害者が、たとえば3日以内など、一定の時間内に支払えば割引が適用されることもあります。

こうしたことを考え、一部の企業は実際に身代金の支払いのためにビットコインを準備金として蓄えています。これは特に、組織が身代金を支払う可能性が高いと思われる英国で見られます。Exeltek Consulting Groupのマネージングディレクターであるゴサム・シャルマによると、「中規模の英国企業の約3分の1が、他のオプションがすぐに用意できない場合に備え、ランサムウェアの緊急事態に対応するためのビットコインを手元に置いていると報告しています。」

 

ランサムウェア攻撃を防ぐ方法

ランサムウェアの亜種は、さまざまな業種をターゲットにしています。最もリスクの高いターゲットは、ヘルスケア、金融機関、政府機関です。リスクにさらされている人は、そのリスクを減らし、攻撃の影響を減らすための予防策を講じる必要があります。

  • manbymonitor

    推奨事項は次のとおりです:

    1. 最新のバックアップがあることを確認してください。そうすれば、何か起こったとしても、バックアップからファイルを復元することが、データへのアクセスを回復するための最速の方法となります。
    2. バックアップを定期的にテストして万一の場合に備えてください。組織は、バックアップアーカイブに何が保存されているのかをよく把握し、ランサムウェアがバックアップを狙った場合でも、最も重要なデータにアクセスできるようにしなければなりません。
    3. セキュリティポリシーを実装してください。最新のウイルス対策およびマルウェア対策ソフトウェアを使用し、感染を防ぐために一貫して監視します。
    4. 他のネットワークリソースへの感染を制限するITポリシーを作成してください。企業はセーフガードを導入する必要があります。そうすれば、1つのデバイスがランサムウェアに感染しても、ネットワーク全体に浸透することはありません。
    5. ユーザートレーニングを実施して、すべての従業員が潜在的な攻撃を発見できるようにしてください。誤ってランサムウェアをダウンロードしたり、ネットワークを部外者に公開したりしないように、従業員がベストプラクティスを認識していることを確認してください。
    6. メールサーバーでコンテンツのスキャンとフィルタリングが行われていることを確認してください。既知の脅威がないか、すべての受信メールをスキャンし、脅威をもたらす可能性のある添付ファイルの種類をブロックします。

オントラックによるランサムウェアに見舞われた組織への支援

オントラックでは、271種類のランサムウェアを常に追跡しています。ランサムウェアは常に変化し、発展しているため、私たちは最新の変化と進歩を監視して研究しています。ランサムウェアとその絶え間なく変化する形態を研究することにより、攻撃の結果として失われたデータを回復できる可能性が高まります。

私たちには、現在、138種類のランサムウェアの暗号化に関する知識があります。ほんの数年前、この数字はたったの6でした。私たちは長い道のりを歩んできました。

アクセスできないデータに関しては、常に専門家に連絡するのが最善です。ランサムウェアからの攻撃にさらされていることに気付いた場合は、データへのアクセスを支援する能力を潜在的に持っている、オントラックのような専門家にご連絡ください。

購読

KLDiscovery Ontrack株式会社 〒100-0011 東京都千代田区内幸町2-2-3 日比谷国際ビル3F (全国拠点一覧)