Written By: Ontrack
Date Published: 2023/10/30 8:39:01
1980年代頃から過去10年間で、さまざまなトロイの木馬型ランサムウェアが出現しましたが、ビットコインの登場以来、攻撃者にとってチャンスが広がりました。この暗号通貨により、攻撃者は従来のチャネルを経由せずに被害者から簡単に金銭を収集することができるようになりました。
ランサムウェア攻撃は、悪意のあるソフトウェアがデバイスにダウンロードされたときに開始されます。デバイスとは、ノートパソコン、スマートフォン、デスクトップなどです。悪意のあるソフトウェアは通常、ユーザーエラーまたは不十分なセキュリティプロトコルが原因でダウンロードされます。
過去数年間で、ランサムウェアによるフィッシング攻撃の被害が増大しています。フィッシング攻撃とは、サイバー犯罪者がウイルスに感染させたドキュメントまたはURLをメールに添付し、それを正当なメールに見せかけて、受信者をだまして開封させようとする攻撃のことです。これを開くと、ランサムウェアがデバイスにインストールされます。
他によく見られる攻撃の手口としては「トロイの木馬」があります。これは、オンラインでランサムウェアを正規のソフトウェアに見せかけて、ユーザーがそのソフトウェアをインストールした後、デバイスに感染させるものです。
ランサムウェアがシステムに感染すると、デバイス上の重要なプロセスを乗っ取ります。暗号化するファイルを検索したとき、ウイルスはデバイス上のすべてのデータをスクランブルします。または、暗号化できないファイルを削除してしまいます。ホストマシンに接続されている外部デバイスにも感染します。ウイルスはまた、感染したネットワーク上の他のデバイスにも信号を送信して、それらに感染しようとします。
ランサムウェアにはさまざまな種類があり、常に新しいものが作られています。以下は、よくある有名なランサムウェアの種類です。
ランサムウェアが感染する一般的な経路は、フィッシングスパムを介したものです。添付ファイルが被害者のメールに届き、それが信頼できるファイルであるかのように偽装されています。セキュリティソフトウェア会社のトレンドマイクロの調査によると、サイバー攻撃の91%と、その結果としてのデータ侵害は、スピアフィッシングメールから始まっています。
添付ファイルがダウンロードされ開かれると、マルウェアが被害者のコンピューターを乗っ取り、ユーザーのファイルの一部を暗号化します。そうなった場合、データは、攻撃者だけが知っている数学的キーを使用することでしか復号化できません。
また、マルウェアにより、ユーザーが使っているコンピューターの「Windows」をロックしたというメッセージが表示されるケースもあります。すると、ユーザーは「Microsoft」の電話番号に電話をかけ、システムを再アクティブ化するために6桁のコードを入力するよう促されます。メッセージには、通話は無料と書かれていますが、これは本当ではありません。電話で偽の「Microsoft」を呼び出している間、長距離通話料金が発生します。
別のマルウェアとして、リークウェアまたはドクスウェアというものがあります。これは、身代金を支払わないと、ハードディスクの機密データを公開する、と脅迫するマルウェアです。多くの場合、メールやWord文書がターゲットになりますが、ユーザーの電話からプライベートメッセージや写真、連絡先リストを公開するという、モバイルを標的にしたケースもあります。
ドクスウェアは、被害者から金銭を得るという点で、ランサムウェアよりも効果的であることがわかっています。ランサムウェアでは、アクセスできなくなったデータのバックアップを個別にとっておくことができますが、ドクスウェアでは、被害者は、公開されたくない情報を盗まれてしまうと、攻撃者に金銭を支払う以外に打つ手がありません。
アナトバは2019年に発見されたランサムウェアです。この新しい系統のランサムウェアは、ゲームまたはアプリケーションのアイコンになりすまし、ユーザーにダウンロードさせようとします。非常に巧妙なマルウェアであり、適応が素早く、見つからないようにする回避と拡散の技術に長けています。モジュール式の設計により、追加の機能を組み込むことができるため、ランサムウェア対策をかいくぐります。幸い、McAfee Advanced Threat Researchチームは、重大な脅威になる前の2019年初頭に、この新しい系統のランサムウェアを発見しました。
CrySiSの亜種であるランサムウェア、ダルマは、2018年から存在していますが、サイバー犯罪者は、解読が不可能な新しい亜種をリリースし続けています。
これは、AES暗号化を使用し、「GandCrab.exe」というファイルをシステムにドロップする悪意のあるランサムウェアです。GandCrabは、Microsoft Windowsが動作しているPCを使っている消費者と企業をターゲットにしています。2019年5月31日、GandCrabの背後にいるサイバー犯罪者は 2000億円を超える身代金を手にしたため、これで「安心してリタイアできる」と主張し、GandCrabのランサムウェア攻撃をすべて停止すると発表しました。
エモテットは元々、銀行を標的としたマルウェアでした。コンピューターに侵入し、機密情報や個人情報を盗みます。まず、2014年にエモテットはさまざまなバージョンを経て、一部のマルウェア対策製品では検出されないランサムウェアに進化しました。エモテットは登場以来、ヨーロッパと米国の個人、企業、政府機関から、銀行のログイン情報、財務データ、ビットコインウォレットを盗んでいます。
ハッカーは通常、ワームのような機能を使用して他のコンピューターに感染させ、通常は、スパムメールによって入り込みます。これは、正当なメールのように見えますが、言葉巧みに被害者をだましてリンクをクリックさせるものです。
エモテットは、最もコストのかかる、破壊的なマルウェアの1つです。国土安全保障省によると、エモテットの駆除にかかるコストは平均で1億円を超えています。
リュークは特に、高額な経済的利益を得るために大規模な組織を標的にしています。 CrowdStrike, によると、2018年8月から2019年1月の間に、リュークは52のトランザクションで705.80を超えるビットコインを獲得し、合計値は3億7千万円になりました。2018年のクリスマス期間に トリビューン・パブリッシングの業務を攻撃し、最初にその名が知られるようになりました。当初、同社は、攻撃は単にサーバーが停止しただけだと考えていましたが、すぐにそれがランサムウェアのリュークであることがわかりました。
大金をだまし取れる大企業をターゲットにするリュークなど、こうしたランサムウェアはまた別の言葉で呼ばれています。「大物ハンティング」です。これらの大規模な攻撃は、個々のターゲットに合わせて詳細なカスタマイズで展開されるため、攻撃の効果が高まります。それ故に、「大物ハンティング」では、ハッカーの作業量が非常に多く必要で、通常は段階的に開始されます。たとえば、第1段階は、企業ネットワークをマルウェアに感染させ、システムをマッピングしてターゲットとする重要な資産を特定することを目的とした、フィッシング攻撃です。第2段階と第3段階は、一連の恐喝と身代金の攻撃/要求になります。
多様な部門の会社や業界がランサムウェア攻撃の犠牲になっています。ヘルスケアから航空会社に至るまで、攻撃者は無差別に標的に選んでいるように見えます…。それとも、意図的に選んでいるのでしょうか?
攻撃者は通常、次の2つ点に基づいて、攻撃する組織を選びます。
チャンス
組織のセキュリティチームが小規模で、ITリソースが不足していて、多くのファイルを共有するユーザーベース、つまり大学などがある場合、攻撃者にとって絶好のターゲットとなります。
金銭面での大きな利益
法律事務所や政府機関など、ファイルにすぐにアクセスする必要がある組織は、身代金をすぐに支払ってしまう可能性が高いです。機密データを扱う組織は、データが侵害されたことをニュースにしたくないため、お金を払っても構わないと思うことがあります。
ランサムウェアに感染していることに気付いた場合は、まず、ランサムウェアの種類を確認してください。画面上でランサムウェアのメモを確認できない場合は、画面をロックするランサムウェアに感染している可能性があります。アプリは閲覧できるが、ファイルや動画などが開けない場合は、暗号化するランサムウェアに攻撃されています。どちらも最悪です。システムのナビゲートが可能で、ファイルをすべて読み取ることができる場合は、おそらく、あなたを怖がらせてお金を払わせようとするランサムウェアに感染しています。
画面ロックとランサムウェアの暗号化の両方から攻撃を受けた場合に、何をすべきかについて詳しく説明しているすばらしいブログがあります。
ただし、最善の予防策とポリシーが実施されていても、攻撃に苦しむ可能性はあります。データがランサムウェアの人質になってしまった場合、次のことをお勧めします。
データへのアクセスを取り戻すために身代金を支払うことは最悪だと思うかもしれませんが、攻撃に伴う実際の損害コストと比較すると、その方がましに見えることがあります。これには次のものが含まれます。
上記を考慮すると、ランサムウェアの被害が今年、1兆50億円に達すると予測されているのも不思議ではありません。攻撃は、昨年の40秒おきから、今年の終わりまでには14秒おきになると予測されています。
サイバー犯罪の専門家に相談すると、ランサムウェアの攻撃者に資金を提供することは、さらなるランサムウェアの作成につながるだけなので、身代金を支払わないように強く勧められます。
しかし、多くの組織はこのアドバイスに否定的です。比較すると、要求される身代金に対し、暗号化されたデータのコストの方が高くつくことがあるからです。昨年、米国では、ランサムウェアの攻撃を受けた企業の45%が身代金を支払いました。いったい、なぜでしょうか?
ビジネス界ではランサムウェアの支払いを拒否するように勧められていますが、支払いの拒否は、ビジネス自体にとって最善の策ではない場合があります。特に、企業が重要なデータに永久にアクセスできなくなったり、規制当局から罰金が科せられたり、完全に廃業したりする可能性がある場合はなおさらです。比較的低額な身代金を支払ってビジネスを続けるか、それとも、幅広いビジネスコミュニティのために支払いを拒否するか?大半の人は身代金を支払うでしょう。
一部のランサムウェア事件では、身代金の要求は、攻撃者が得をする形になっていますが、多くの場合、これは失われたデータを再構築するために支払う金額よりも安く設定されています。また被害者が、たとえば3日以内など、一定の時間内に支払えば割引が適用されることもあります。
こうしたことを考え、一部の企業は実際に身代金の支払いのためにビットコインを準備金として蓄えています。これは特に、組織が身代金を支払う可能性が高いと思われる英国で見られます。Exeltek Consulting Groupのマネージングディレクターであるゴサム・シャルマによると、「中規模の英国企業の約3分の1が、他のオプションがすぐに用意できない場合に備え、ランサムウェアの緊急事態に対応するためのビットコインを手元に置いていると報告しています。」
私たちには、現在、138種類のランサムウェアの暗号化に関する知識があります。ほんの数年前、この数字はたったの6でした。私たちは長い道のりを歩んできました。
アクセスできないデータに関しては、常に専門家に連絡するのが最善です。ランサムウェアからの攻撃にさらされていることに気付いた場合は、データへのアクセスを支援する能力を潜在的に持っている、オントラックのような専門家にご連絡ください。
以下は、私たちが行ったランサムウェアのデータ復旧ケースの成功例です。
日本|日本語
オフィス一覧
検索
一覧に戻る