ランサムウェアの定義
ランサムウェアは悪意のあるソフトウェア (malicious software) つまりマルウェア (malware) の一種であり、身代金を支払わなければ被害者の重要なデータやシステムを破壊する、あるいはアクセスできなくすると脅迫するというものです。従来のほとんどのランサムウェアは個人を標的にしていましたが、最近では組織を標的とする "人間が操作するランサムウェア" の脅威が拡大し、防止と復旧が難しくなっています。人間が操作するランサムウェアでは、攻撃者のグループが集団的知性を利用して組織のエンタープライズ ネットワークにアクセスします。この種の攻撃は非常に巧妙な場合があり、攻撃者は発見した内部の財務ドキュメントを利用して身代金の金額を設定する場合があります。
ニュースになったランサムウェア攻撃
残念ながら、 ランサムウェアの脅威 がニュースで言及されることは珍しくなくなりました。最近の注目を集めたランサムウェア攻撃は、重要なインフラストラクチャ、医療、IT サービス プロバイダーに影響を与えています。これらの攻撃は、その規模が大きくなるにつれて、その影響も予測不可能になってきています。ここでは、実際のランサムウェア攻撃のいくつかを取り上げて、それがどのように組織に影響を及ぼしたかを見てみましょう。
- 2022 年 3 月、ギリシャの郵便事業がランサムウェアの被害に遭いました。この攻撃を受けて、郵便物の配達が一時できなくなり、金融取引処理に影響が及びました。
- 2022 年 5 月、インド最大の航空会社がランサムウェアの攻撃を受けました。この事件の影響でフライトの遅延やキャンセルが発生したほか、数百人の乗客が足止めを余儀なくされました。
- 2021 年 12 月、大手人材会社がランサムウェア攻撃を受け、このときは同社のクラウド サービスを利用するクライアント向けの給与休暇管理のシステムが影響を受けました。
- 2021 年 5 月、米国の燃料パイプラインが供給を停止しましたが、その理由はランサムウェア攻撃を受けて同社の従業員数千人の個人情報が漏洩し、さらなる侵害を防ぐためでした。その影響で、東海岸全域でガス料金が高騰しました。
- 2021 年 4 月、ドイツの化学薬品流通会社がランサムウェア攻撃に遭いました。6,000 人を超える個人の生年月日、社会保障番号、運転免許証番号と、医療データが盗まれました。
- 2021 年 5 月、世界最大の食肉業者がランサムウェア攻撃の標的になりました。一時的に Web サイトをオフラインにし、生産を停止しましたが、同社は 1,100 万米国ドルの身代金をビットコインで支払うに至りました。
ランサムウェアのしくみ
ランサムウェア攻撃の手法は、個人または組織が所有するデータやデバイスの支配を掌握し、これを金銭要求の手段とするというものです。かつてはソーシャル エンジニアリングによる攻撃が主流でしたが、最近では "人間が操作するランサムウェア" が多くの犯罪に利用されるようになりました。その理由は、巨額の支払いを期待できるからです。
ソーシャル エンジニアリングによるランサムウェア
この攻撃ではフィッシング(攻撃者が正当な会社や Web サイトになりすますという形態の詐欺) を使って被害者をだまし、リンクをクリックさせるか、メールの添付ファイルを開かせます。その結果として、被害者のデバイスにランサムウェアがインストールされます。この攻撃では人々の不安をあおるようなメッセージが使われることも多く、被害者は恐怖心から行動を取ってしまいます。たとえば、サイバー犯罪者が有名な銀行になりすまして "不審な行為によりあなたの口座が凍結されました" というメールを送信し、その問題を解決するために受信者がメールの中のリンクをクリックするよう仕向けます。そのリンクをクリックすると、ランサムウェアがインストールされます。
人間が操作するランサムウェア
人間が操作するランサムウェアの多くは、盗み出したアカウント資格情報を起点としています。攻撃者は、この方法で組織のネットワークにアクセスした後、盗まれたアカウントを使用して、より広範囲のアクセス権を持つアカウントの資格情報を特定し、高い金銭的見返りを得られる可能性のあるデータや Bus Critical システムを探します。その後、たとえば、機密ファイルを暗号化するなどして、これらの機密データや Bus Critical システムにランサムウェアをインストールし、組織が身代金を支払うまでアクセスできないようにします。サイバー犯罪者は暗号通貨での支払いを求める傾向がありますが、その理由は匿名性です。
このような攻撃者は、平均的な個人よりも高額の身代金を支払うことができる大規模な組織を標的とし、時には数百万ドルを要求します。この規模の侵害が発生すると、失うものも大きいため、多くの組織は、機密データを漏洩させたりサイバー犯罪者からのさらなる攻撃のリスクにさらされたりするよりも身代金を支払うことを選んでいます。支払ったからといってどちらも防止できる保証はないにもかかわらずです。
人間が操作するランサムウェア攻撃の拡大に合わせて、攻撃の背後にいる犯罪者の組織化も進んでいます。実際、多くのランサムウェア活動は、サービスとしてのランサムウェア モデルを採用するようになっています。つまり、犯罪者の開発者グループがランサムウェア自体を作成し、別のサイバー犯罪者団体を雇って組織のネットワークをハッキングしてランサムウェアをインストールし、その両者が合意した割合で利益を分配します。
さまざまな種類のランサムウェア攻撃
ランサムウェアの主な形態は、暗号化ランサムウェアとロッカー ランサムウェアの 2 つのがあります。
暗号化ランサムウェア
個人または組織が暗号化ランサムウェア攻撃の被害者となるとき、攻撃者は被害者の機密データまたはファイルを暗号化します。これで、要求された身代金が支払われない限りアクセスできなくなります。理論的には、犠牲者が支払いを行うと、暗号化キーが送信され、ファイルまたはデータにアクセスできるようになります。ただし、犠牲者が身代金を支払ったとしても、サイバー犯罪者が暗号化キーを送信したり、制御を放棄したりする保証はありません。Doxware は暗号化ランサムウェアの一形態であり、被害者の個人情報を暗号化して、公開すると脅迫するというものですが、そのゴールは一般的に、屈辱を与えたり恥をかかせたりして身代金支払いに追い込むことです。
ロッカー ランサムウェア
ロッカー ランサムウェア攻撃では、被害者はデバイスから閉め出されて (ロックアウト)、ログインできなくなります。犠牲者には、ロックアウトされたことを示す身代金メモが画面上に表示され、アクセスを回復するために身代金を支払う方法が示されます。この種のランサムウェアは通常、暗号化を伴わないため、犠牲者がデバイスへのアクセスを取り戻せば、機密ファイルやデータはすべて保持されています。
ランサムウェア攻撃への対応
ランサムウェア攻撃の被害者となった場合でも、被害回復と除去を行うために取れる選択肢はあります。
身代金の支払いには慎重に
問題が解消されることを期待して身代金を支払いたくなるかもしれませんが、サイバー犯罪者が約束どおりにあなたにデータへのアクセスを許可するという保証はありません。セキュリティ エキスパートや法執行機関は、ランサムウェア攻撃の犠牲者が、要求された身代金を支払わないように推奨しています。これは、身代金を支払うことにより今後も脅迫が続く可能性があり、犯罪産業を積極的に後押ししてしまうことになるためです。既に支払ってしまった場合は、すぐに銀行に連絡してください。クレジット カードでの支払いであれば、支払いを停止できる可能性があります。
感染したデータを隔離する
できるだけ早く、侵害されたデータを隔離してください。ランサムウェアがあなたのネットワークの他の領域に拡散するのを防ぐためです。
マルウェア対策プログラムを実行する
ランサムウェア攻撃の多くは、ランサムウェアを取り除くマルウェア対策プログラムをインストールすることによって対処できます。信頼できるマルウェア対策ソリューション、たとえば Microsoft Defender を選択したら、ソフトウェアを常に最新に保つとともに常時稼働させてください。これで、最新の攻撃に対する防御が整います。
攻撃を報告する
最寄りの警察署などの相談窓口に攻撃を通報します。米国では FBI 地方局または IC3 または Secret Service です。この手続きを行っても、あなたの当面の懸念事項は何も解決されないかもしれませんが、このことが重要であるのは、これらの機関がさまざまな攻撃を積極的に追跡し監視しているからです。あなたの体験を詳しく伝えることは、サイバー犯罪者やサイバー犯罪者グループを見つけて起訴するという大局的な目的のための有益な情報になる可能性があります。
ランサムウェアからの保護
ランサムウェア攻撃がかつてないほど増加し、人々の個人情報もかなりの部分がデジタル化されていることから、攻撃による潜在的な悪影響は計り知れないものになります。幸いにも、あなたのデジタル ライフを他人の手に渡すことなく、自分のもののままにしておく方法はたくさんあります。ここでは、安心を得られる先回り型のランサムウェア対策をご紹介します。
マルウェア対策プログラムをインストールする
最高の形態の保護とは、防ぐことです。Microsoft Defender for Endpoint、 Microsoft Defender XDR、Microsoft Defender for Cloud など、信頼できるマルウェア対策サービスを使用して、多くのランサムウェア攻撃を検出してブロックできます。マルウェア対策プログラムを使用する場合、デバイスは最初に開こうとしたすべてのファイルまたはリンクをスキャンして、安全であることを確認します。ファイルまたは Web サイトが悪意のあるものである場合、マルウェア対策プログラムは警告を表示し、開かないように提案します。これらのプログラムでは、既に感染しているデバイスからランサムウェアを取り除くこともできます。
定期的なトレーニングを開催する
定期的なトレーニングを実施して、従業員にフィッシングやその他のランサムウェア攻撃の兆候の特定方法についての情報を随時提供します。仕事の安全な進め方だけでなく、個人のデバイスを使用する際の安全対策も教えることができます。
クラウドに移行する
データをクラウドベースのサービスに、たとえば Azure クラウド バックアップ サービスや Azure ブロック BLOB ストレージ バックアップに移すと、データをより安全に保管するためのバックアップが簡単になります。 データが実際にランサムウェアによって侵害された場合でも、このようなサービスを利用していれば、回復をただちに、しかも包括的に行うことができます。
ゼロ トラスト モデルを導入する
ゼロ トラスト モデル では、すべてのデバイスとユーザーの評価を行い、リスクを調べてからアプリケーション、ファイル、データベース、およびその他のデバイスへのアクセスを許可します。これで、悪意のある人物またはデバイスがリソースにアクセスしてマルウェアをインストールする可能性は低下します。 たとえば、ゼロ トラスト モデルのコンポーネントの 1 つである多要素認証を実装すると、ID 攻撃の有効性が 99% 以上縮小することが明らかになっています。組織のゼロ トラスト成熟度を評価するには、Microsoft のゼロ トラスト成熟度評価をご利用ください。
情報共有グループに参加する
情報共有グループは、業種や地理的な場所に基づいて組織化されることが多く、類似の構造を持つ組織どうしが サイバーセキュリティ ソリューションに向けて協力する場となっています。このようなグループは、組織のためのさまざまな利点も提供しています。たとえば、インシデント応答とデジタル フォレンジクスのサービスや、最新の脅威に関するニュース、パブリック IP 範囲やドメインの監視などです。
オフライン バックアップを維持する
ランサムウェアの中には、あなたがオンライン バックアップを所有しているかどうかを見つけ出して削除しようとするものもあることから、機密データの最新のオフライン バックアップを保管しておくことと、そのバックアップを定期的にテストして、万が一ランサムウェア攻撃を受けた場合でも復元可能かどうかを確認することをおすすめします。残念ながら、オフライン バックアップを維持していても、暗号化ランサムウェア攻撃を受けた場合の問題解決にはなりませんが、ロッカー ランサムウェア攻撃には有効なツールになる可能性があります。
ソフトウェアを最新の状態に保つ
マルウェア対策ソリューションを最新の状態に保つことに加えて (自動更新の選択を検討してください)、他のシステム更新プログラムやソフトウェア パッチも必ず、公開と同時にダウンロードしてインストールしてください。このことは、サイバー犯罪者があなたのネットワークやデバイスへのアクセス獲得のために悪用するおそれのあるセキュリティの脆弱性を最小限に抑えるのに役立ちます。
インシデント応答計画を作成する
火災発生時に備えて、安全のために自宅からの緊急脱出計画を立てておくのと同様に、ランサムウェア攻撃を受けた場合にどうするかをインシデント対応計画として決めておくと、さまざまな攻撃シナリオにおける実践的なステップが明確になり、可能な限り早く通常の安全な運用に戻ることができます。
すべてを保護するために Microsoft Security をお役立てください
Microsoft Sentinel
お客様のエンタープライズ全体の状況を把握することができる、クラウドネイティブのセキュリティ インシデント イベント管理ソリューション (SIEM) です。
ランサムウェア対策プログラムを作る
ランサムウェアを排除するために、Microsoft がどのように Optimal Ransomware Resiliency State を作成したかをご紹介します。
よく寄せられる質問
-
残念ながら、オンライン上に存在する人はほぼ誰でもランサムウェア攻撃の被害者となる可能性があります。個人用デバイスとエンタープライズ ネットワークはどちらも頻繁に、サイバー犯罪者の標的となっています。
ただし、脅威対策サービスなどの先回り型のソリューションを導入することは、自分のネットワークやデバイスへのランサムウェア侵入を防止する有効な手段です。 したがって、マルウェア対策プログラムやその他のセキュリティ プロトコル (たとえばゼロ トラスト モデル) を攻撃発生前に導入している個人や組織は、ランサムウェア攻撃の被害者となる可能性が非常に低くなります。
-
従来のランサムウェア攻撃は、個人がだまされて悪意のあるコンテンツを操作してしまったときに発生します。たとえば、感染したメールを開いたときや有害な Web サイトにアクセスしたときに、ランサムウェアがその人のデバイスにインストールされます。
人間が操作するランサムウェア攻撃では、攻撃者グループが組織の機密データを標的として侵害し、通常は盗んだ資格情報がこれに使用されます。
一般的に、ソーシャル エンジニアリングによるランサムウェアと人間が操作するランサムウェアのどちらの場合も、被害者となった個人または組織には身代金要求の通知が送られ、盗まれたデータの詳細と、それを取り戻すための費用が記されています。しかし、身代金を支払っても、データが実際に返されるという保証はなく、それ以降の侵害が防止されることも保証されません。
-
ランサムウェア攻撃の影響は、きわめて甚大となる可能性があります。個人レベルでも組織レベルでも、犠牲者は、データが返される保証も、それ以上の攻撃が発生しない保証もないまま、高い身代金を支払わなければならないと考える可能性があります。サイバー犯罪者が組織の機密情報を漏洩した場合、その組織の評判は損なわれ、信頼できないと見なされる可能性があります。また、漏洩する情報の種類や組織の規模によっては、数千人もの個人がなりすましやその他のサイバー犯罪の被害者となるおそれがあります。
-
被害者のデバイスをランサムウェアに感染させるサイバー犯罪者は、金銭を要求します。匿名性と追跡不可能な性質により、暗号通貨で身代金が設定される傾向があります。個人を標的とするソーシャル エンジニアリングによるランサムウェア攻撃では、身代金は数百ドルまたは数千ドルになる可能性があります。組織を標的とする、人間が操作するランサムウェア攻撃では、身代金は数百万ドルになる可能性があります。このような、組織に対する巧妙な攻撃では、サイバー犯罪者がネットワークに侵入したときに発見した秘密の財務情報を根拠として、その組織が支払えると思われる身代金の金額が設定されることがあります。
-
ランサムウェア攻撃の被害に遭ったときは、最寄りの警察署などの相談窓口に通報してください。米国では FBI 地方局 または IC3 または Secret Service です。セキュリティの専門家と担当当局は、被害者となっても身代金を支払わないよう忠告しています。既に支払ってしまった場合は、すぐに銀行と最寄りの警察署に連絡してください。クレジット カードで支払った場合は、銀行が支払いをブロックできる場合があります。
Microsoft をフォローする