1. HOME
  2. ブログ
  3. Blog
  4. ランサムウェア対策: 攻撃の手法と被害防止を全解説

Info.

お知らせ

Blog

ランサムウェア対策: 攻撃の手法と被害防止を全解説

ransomware blog

近年、ランサムウェアによる被害は世界的に増大しています。大規模な企業へのサイバー攻撃は、経済や消費者にも直接に影響を与えます。そして攻撃者は被害者に「身代金」支払うよう要求します。

ランサムウェアに対するセキュリティの意識を高めるために、ランサムウェアとは何か?ビジネスにどのような影響を与えるのか?- ランサムウェアの最新状況およびランサムウェア対策についてご紹介します。

ランサムウェアからの保護についての詳細はこちら

ランサムウェアからの保護の詳細はこちら

ランサムウェアとは

ランサムウェアはマルウェアの一つです。 「ランサム(Ransom=身代金)」と「ウェア(Software)」を繋げた造語であるランサムウェアとは、データを暗号化したり、自身のシステムにアクセスできないようにしたりする悪意あるソフトウェアを指します。犯罪者は、復号化キーと引き換えに身代金を要求しますが、もちろん、そのキーが機能してデータを取り戻せるという保証はありません。

ランサムウェア攻撃の流れ

ランサムウェア(Ransomware)の手段は様々ですが、一般的に攻撃者はフィッシングメールで受信者をだまして認証情報を盗用します。その認証情報やその他の手段を使用し、Webサイトやアプリケーションを攻撃してビジネスデータにアクセスします。そして、攻撃はデータを暗号化し、データにアクセスできないようにして、暗号化の解除とデータの公開を回避させるための身代金の支払いを要求します。

ランサムウェアが影響する範囲は、システム、業務、金銭的被害、そして情報流出による社会的信用の失墜にまで及びます。具体的な被害は下記のとおりです。

  • システム上の被害
    感染PCの有効な操作ができなくなる、さらにPC内のファイルやネットワーク上の共有ファイルが暗号化され(ランサムウェアの駆除を行っても暗号化されたまま残る)利用できなくなる、といったハードウェアやOSの被害
  • 業務上の被害
    システムがダウンし業務が停止する被害
  • 情報漏洩
    機密データが盗用されインターネット上で公開されるなどの情報流出、それに起因する社会的信用の失墜など、ランサムウェアの攻撃を受ける業種によっては人命に関わることもある
  • 金銭金被害
    要求された「身代金」を支払うことによる金銭的な被害

 

ランサムウェアはどのような影響を与えるのか

過去12ヶ月にバラクーダネットワークス(以下、バラクーダ)の調査担当者が確認・分析したランサムウェアのインシデントは121件で、前年比で64%増加しています。サイバー犯罪者は依然として自治体、医療、教育を重点的に狙っていますが、その他の企業、特にインフラ、旅行、金融サービスなどの企業への攻撃も急増しています。地域別の状況を見ると、ランサムウェア攻撃は世界中にも広がっています。米国をはじめ、EMEA(欧州・中東・アフリカ地域)、アジア太平洋地域、南米、カナダ・メキシコの組織を標的にした件数は増加しています。

ランサムウェアはどのような影響を与えるのか

感染事例

2021年5月、米国で最大の石油パイプラインを運営するColonial Pipelineに対する大規模なランサムウェア攻撃が発生しました。これにより同社は、6日間パイプラインの操業を停止し、米国南東部の多くの州で燃料不足が深刻化しました。また、原油価格は、1ガロン当たり3ドルを超え、2014年以降の最高値を記録しました。この攻撃は、FBI(米国連邦捜査局)により、東欧の攻撃者グループである「DarkSide(ダークサイド)」によるものだと特定されています。Colonialは、440万ドル相当のビットコインを身代金として支払ったほか、サービス復旧のために数千万ドルの費用がかかると想定しています。

また、2020年10月にはシオノギ製薬(塩野義製薬)の100%子会社の台湾塩野義製薬では、サーバおよびPCがランサムウェア攻撃を受け、従業員の情報がダークウェブ(サイバー犯罪者らが交流するウェブサイトなどの通称)上に流出しています。2020年11月~2021年1月には、カプコンの国内および米国拠点における一部の機器がランサムウェアに感染し、攻撃者によってシステムが乗っ取られ、各機器内のファイルが暗号化されました。攻撃者から身代金の要求額は提示されなかったものの、累計で1万5649人分の個人情報の流出が確認されています。

このように国内企業でも、海外や国内を問わず、ランサムウェア攻撃を受ける事例が確認されており、警察が「ランサムウェアによる被害の深刻化・手口の悪質化も世界的に問題となっている」として、警戒しています。

ハッカーが要求する身代金の増加と暗号通貨

ランサムウェア攻撃は、発生件数が増加しているだけではなく、攻撃者が要求する身代金額も増加しています。バラクーダの調査によると、2019年の身代金の要求額は、数千ドルから高いケースは200万ドルに達しました。その後、2021年半ばには、多くの要求が数百万ドルになり、2000万ドルを超えるケースも多数ありました。

このような身代金の要求額の増加には、暗号通貨の台頭も関連しています。暗号通貨は、その非中央集権的な性格とデジタルからリアルへの換金可能な特徴により、ランサムウェア、サイバー恐喝、なりすましなどの数十億円規模の経済活動を生み出しています。バラクーダの調査によると、暗号通貨関連のサイバー攻撃の量は、ビットコインの価格上昇に密接に関係しています。2020年10月~2021年4月に、ビットコインの価格は約400%上昇し、同期間になりすまし攻撃が192%増加しました。

一方で、先述の大規模なインフラ企業への攻撃により、ビットコインの規制に対する関心が高まり、犯罪者が身を隠すことが難しくなると考えられます。米国司法省は、既に攻撃者のデジタルウォレットを追跡し、Colonialが支払った身代金の大半を回収することに成功しています。

ハッカーが要求する身代金の増加と暗号通貨
ハッカーが要求する身代金の増加と暗号通貨

Office 365に対するランサムウェア攻撃の懸念

ビジネスドキュメントを中心としたOffice 365およびセキュリティなども含めたMicrosoft 365は、一般的な企業にとって日々の業務に必要なアプリケーションです。特に、新型コロナウイルス感染症の大規模流行が始まった2019年0月~2020年4月は、Microsoft 365ユーザ数の毎月の平均増加が4倍になりました。このように世界的なリモートワークへの大きなシフトに伴って、Microsoft 365の利用者数と利用時間が増加しています。

バラクーダの調査に回答した企業は、Office 365がランサムウェア攻撃を受ける可能性を十分に意識しています。次にランサムウェアから企業を守る対策をご紹介します。

ランサムウェアから企業を守る3つのステップ

このようなランサムウェア攻撃から企業を守るためには、どのような対策を考えたら良いでしょうか。攻撃の3つのステップに沿って紹介します。

ステップ1. 認証情報を狙うフィッシング攻撃からの保護

まず攻撃者は、信頼できる個人または企業からのメールを偽装して、ユーザをだまして認証情報を提供させるフィッシング攻撃により、企業内の認証情報を得ようとします。これを防ぐためには、認証情報のセキュリティを意識する企業文化を作り、維持する必要があります。メールセキュリティについて社員を教育するプロセスを開発し、通常と異なるアクティビティを検出し、フラグを設定できるフィッシング対策テクノロジを導入します。攻撃者は、認証情報にアクセスできないと、攻撃プロセスをフィッシングからランサムウェアに展開させることが非常に困難になります。

ステップ2. ウェブアプリケーションからのデータ取得に対する保護

次に攻撃者は、ファイル共有サービス、ウェブフォーム、電子商取引サイトなどのウェブアプリケーションからデータを得ようとします。攻撃者は、ユーザインターフェースまたはAPIの脆弱性を利用して攻撃を行います。多くの場合、このような攻撃には、クレデンシャルスタッフィング、ブルートフォース攻撃、OWASP(Open Web Application Security Project)で紹介される脆弱性などが含まれます。

攻撃者はアプリケーションを侵害すると、さらにランサムウェアなどのマルウェアをシステムへ侵入させます。マルウェアは、アプリケーションのユーザだけでなく、ネットワークにも感染する可能性があります。これを防ぐためには、包括的で拡張性があり、導入しやすいプラットフォームを検討することが重要で、例えば、高度な脅威インテリジェンスを備えたWebアプリケーションファイアウォール(WAF)があります。これらの攻撃やボットを不正に使った攻撃、サプライチェーンを狙う攻撃からアプリケーションやAPIを保護するための最も管理しやすい方法です。

ステップ3. データの暗号化と身代金要求に対する保護

最後に、攻撃者はデータを盗み出し、ランサムウェアを使用してデータを暗号化し、暗号鍵の再暗号化や、ファイルごとの拡張子の変更などを行います、その後、暗号化したファイルのディレクトリごとに、ランサムノート(身代金を要求するメッセージを表示した画像やテキスト)を作成します。ランサムノートには、ユーザが身代金を支払うための手順が記載されています。ユーザが身代金を支払わない場合、攻撃者はインターネット上に盗み出した情報を暴露公開すると脅迫します。これらの攻撃に対応するためには、データのバックアップが欠かせません。

データバックアップに必要な2つの視点

身代金の支払い要求に対する保護として、データのバックアップを実施する場合、「包括性と3-2-1ルール」および「耐障害性」の2つの基準を満たすことが重要です。

包括性と3-2-1ルール

ネットワーク上における全てのデータの場所を意識する必要があります。バックアップしたデータがランサムウェア攻撃の影響を受けないように、ファイルを3つにコピー(オリジナルと2つのバックアップ)し、2タイプのメディアに保存して、バックアップの1つをオフサイトに保存するという「3-2-1ルール」に従うことが理想的です。

ランサムウェア攻撃が実行されても、ファイルが物理デバイス、仮想環境、パブリッククラウドのいずれに存在するかに関係なく、クラウドバックアップソリューションは、ダウンタイムを最小限に短縮し、データ損失を防止し、システムを迅速にリストアできます。バックアップすべきデータには、設定ファイル、ユーザドキュメントおよび従業員、顧客などに関するアーカイブデータが含まれ、現在使用されているデータを1日1回以上バックアップする必要があります。

耐障害性

ランサムウェアは、ネットワークを攻撃するとデータを暗号化し、バックアップシステムを無効にし、バックアップファイルを破壊しようとします。最も安全な方法は、無制限のストレージと強力な検索およびリストア機能を実装するクラウドにデータをレプリケーションするバックアップシステムを導入することです。

Office 365のユーザは、SharePoint、Teams、Exchange、 OneDriveのデータを保護するために、サードパーティーのクラウドバックアップを追加する必要があります。SaaSは責任共有モデルのため、Microsoft自身もOffice 365のデータ保護にサードパーティーのバックアップソリューションを使用することを推奨しています。

このように、ランサムウェアから企業を守るためには、現在の攻撃トレンドに関する的確な情報を収集しながら、攻撃者の3つのステップへの対策の実施と、特に包括性と耐障害性を備えたバックアップの実行が欠かせないものとなっています。

  

ランサムウェアからの保護についての詳細はこちら

ランサムウェアからの保護の詳細はこちら

ランサムウェア(Ransomware)によくある質問

Q:ランサムウェアとは何ですか?

A: ランサムウェアは、マルウェアの一種で、「ランサム(Ransom=身代金)」と「ソフトウェア(Software)」を繋げた造語であるランサムウェアは、文字通り、データ暗号化するなど人質にとり、身代金を要求するマルウェアです。

Q. ランサムウェアに感染するとどうなりますか?

A: ランサムウェアに感染すると多くが特定のファイルを暗号化され、画面上に身代金要求が表示されます。最近は標的型のランサムウェアが増加し、データの盗難、暗号化により複合化のための身代金要求、データ漏洩をほのめかす恐喝と二重の身代金を要求されることが増えています。

Q: ランサムウェアからの攻撃を防ぐためにはどうしたらよいですか?

A: ランサムウェア対策として、主にメールからの認証情報の漏洩の防止対策、アプリケーションやインフラへの安全なアクセス確保、データの安全なバックアップの3つのカテゴリを重点的に強化する必要があります。

参考:
2021年9月6日にZDNet Japanhttps://japan.zdnet.com/article/35175571/)にて掲載された記事
2021年9月13日にZDNet Japan(https://japan.zdnet.com/article/35175572/)にて掲載された記事

関連記事