ランサムウェアとは?

ランサムウェアは一種のマルウェアで、ユーザーデバイスやネットワーク・ストレージ・デバイスのファイルを暗号化します。暗号化されたファイルに再びアクセスできるようにするには、犯人に「ランサム(身代金)」を支払う必要があります。通常、支払いにはビットコインなど、追跡しにくい電子的手段が使われます。セキュリティ研究者らにより、ビットコイン取引のトラフィックフローを明らかにする方法はわかっていますが、ビットコインアカウントの所有者を特定することは非常に困難です。

ランサムウェアはどのように拡散するのか?

ランサムウェア拡散手段で最も一般的なのは、スパムメール攻撃です。スパムメールは、正当であるかのように見せかけたファイルが添付されていたり、メール本文に URL リンクが貼られていたりします。偽装ファイルが添付されている場合は、その添付ファイルを開くと数秒以内にランサムウェアプログラムが起動し、そのデバイス上のファイルの暗号化が開始されます。リンクを使用する攻撃ベクトルの場合は、ユーザーがリンクをクリックするとウェブページに接続し、気づかないうちにデバイスにランサムウェアが配布されます。多くの場合、悪意あるプログラムやサイトでは、デバイスのオペレーティングシステムやアプリケーション内に、ランサムウェアの配布や起動に悪用できるようなセキュリティの脆弱性がないかどうかを検出する攻撃キットが使用されます。さらに、最新の WannaCry 攻撃に見られるように、既存の脆弱性が悪用されることもあります。WannaCry では、EternalBlue として知られる Windows の脆弱性が悪用されました。

ランサムウェアの急増

ここ数年、組織に対して大規模なランサムウェア攻撃を仕掛けて成功するケースが急増しています。サイバーセキュリティのベンチャー企業は、ランサムウェア関連のコストが 2017 年には世界で 50 億ドルを超え、2015 年の 15 倍に達すると予測しています 1。同期間にランサムウェアの亜種は 30 倍に増えました 2

Ransomware Stats

組織に対するランサムウェア攻撃の影響は、ロック解除にかかるコストを大きく上回ります。企業は、データ喪失、生産性の低下や喪失、フォレンジック調査、データやシステムの回復、収益の喪失、信用の低下によるコストをすべて負担しなければなりません。たとえば、ある大手健康・消費財企業は、最近発生した Petya ランサムウェアにより、顧客への請求と商品出荷に影響が生じたため、当期の収益成長率が 2 %減少すると報告しました 3

CryptoLocker は広範囲に影響を及ぼした最初のランサムウェアの 1 つであり、2013 年に猛威をふるいました。このマルウェアは、多くの場合、難読化されたメール添付ファイルとして配布されたり、侵害済みのデバイスにインストールされたりして拡散しました。このマルウェアが起動されると、ローカルドライブやネットワークドライブ上の特定のデータファイルが暗号化されます。被害者は、指定期間内に身代金として 400 ドルまたはこれに相当するビットコインを支払わないと、復号化に必要なキーを削除すると脅されました。当然とも言えますが、身代金を支払っても復号化キーが提供されないケースも少なくありませんでした。このランサムウェアの配布に使用された Gameover Zeus ボットネットは、Operation Tovar と呼ばれる業界、法執行機関、政府機関の共同作戦によって壊滅されました。

当然とも言えますが、身代金を支払っても復号化キーが提供されないケースも少なくありませんでした。

主なランサムウェア攻撃

CryptoWall は、CryptoLocker の後期の亜種で、同様の振る舞いをします。最も深刻な影響を及ぼしたのは、2014 年後半にオーストラリアで発生した攻撃です。悪意あるリンクの記載されたフィッシングメールが政府機関から「送信され」、マルウェアの拡散に利用されました 4。攻撃者はセキュリティ製品によるブロックを回避するために、マルウェアがダウンロードされる前に Captcha フォームを使用しました。

Locky は 2016 年前半に初めて観察され、多くの場合、「請求書」ファイルが添付された E メールを通じて配布されました。Word や Excel のファイルを開くと、請求書を表示するためにマクロを有効にするよう求めるメッセージが表示されます。マクロを有効にすると、実行可能ファイルが起動され、実際のランサムウェアがダウンロードされます。ローカルファイルやネットワークファイルが暗号化され、.locky の拡張子を持つファイル名に変更されます。これらのファイルのロックを解除するには、ブラウザーをダウンロードするウェブサイトにアクセスし、そのブラウザーを使用して攻撃者の支払い用ウェブサイトにアクセスする必要があります。支払額は通常、0.5~1 ビットコインでした。Locky は、広くメディアの関心を集めた最初のランサムウェアです。ある米国の病院が患者のデータを暗号化され、ファイルを回復するために身代金が支払ったことで注目されました 5

2017 年 5 月にマスコミを賑わせた WannaCry は、全世界で 400,000 台のコンピューターに影響を及ぼしたと報告されています 6。英国の国民保険サービス(National Health Service)、スペインの情報通信企業、ドイツの大手銀行など、官民を問わずさまざまな組織に大きな被害を与えました。幸いにも、セキュリティ研究者がこのマルウェア内のキルスイッチを発見したことから、数日で攻撃は停止しました。この攻撃は、Windows の既知のセキュリティ脆弱性(EternalBlue)を通じて開始され、拡散しました。セキュリティパッチが利用可能になって数か月経ちますが、いまだにインストールしていない組織もたくさんあります。

2017 年 5 月にマスコミを賑わせた WannaCry は、全世界で 400,000 台のコンピューターに影響を及ぼしたと報告されています。

NotPetya は、Petya ランサムウェアの亜種であり、WannaCry に続いて 2017 年 6 月に、ウクライナで最初に確認されました。このマルウェアは、E メールに添付された PDF ファイルとして配布され、WannaCry と同じ EternalBlue 脆弱性を利用して拡散しました。はやり、官民を問わず世界のさまざまな組織に影響を及ぼし、米国の大手製薬会社、多国籍の法律事務所、英国最大の広告会社などが被害を受けています。Petya は他のランサムウェアとは異なり、コンピューターのマスター・ファイル・テーブルに感染します。この攻撃は、金目当てというよりも、ウクライナに混乱をもたらすことが目的だったのではないかという見方もあります 7

ビジネスに影響するランサムウェアリスクの軽減

最大の弱点について教育する。ほとんどのランサムウェアは、ペイロードの起動というアクションを誰かが実行することを必要とします。サイバー攻撃の見分け方や防御法を従業員に教育することが重要です。攻撃の多くは、E メールやソーシャルエンジニアリングのテクニックを使用して従業員をだまし、マルウェアをダウンロードさせたり、ユーザー名とパスワードを漏えいさせたりします。したがって、こうした一般的な攻撃ベクトルを重視したトレーニングを行う必要があります。本当のサプライヤーからのメールとフィッシングメールとの区別をユーザーに教えるには、「請求書添付 - 開いてください」といった件名の偽のフィッシングメールを送信する演習が効果的です。

パッチ、パッチ、パッチ、なおかつパッチ。最近の WannaCry や Petya の攻撃で明らかになったように、既知の脆弱性に厳密にパッチを適用しないと、リスクにさらされる可能性があります。WannaCry や NotPetya のランサムウェア攻撃に EternalBlue の脆弱性が悪用されてから何か月も経過していますが、まだパッチが適用されていない PC が 3,800 万台以上もあると推定されています 8。サイバー攻撃者にとって、エンタープライズ組織のネットワークでパッチが適用されていないデバイスやソフトウェアを特定することは比較的簡単です。特定されてしまえば、既知の脆弱性が悪用されます。

まだパッチが適用されていない PC が 3,800 万台以上もあると推定されています。

データをバックアップし、さらにそのバックアップもバックアップする。一部の人にとっては自明のことかもしれませんが、ランサムウェアはネットワークサーバーに保存されているバックアップを暗号化することもあります。したがって、バックアップに対する現在のアプローチを見直す必要があります。従業員は重要なファイルをネットワークドライブにバックアップしていますか?これらのデバイスやファイルサーバーのバックアップをさらにクラウド・バックアップ・サービスにバックアップしていますか?バックアップをリストアできることをテストで確認していますか?このようにすれば、ランサムウェアがローカルファイルとバックアップをすべて暗号化しても、すぐにリストアして、ビジネスへの影響を最小限に抑えることができます。

このように進化していく連続攻撃に、単層のセキュリティのみで対抗するのは最善の策ではありません。

多層防御で簡単に攻撃させない。サイバー犯罪者は、多大な時間と費用をかけて、最新のマルウェアをさらに洗練し、企業のセキュリティ防御を迂回するような亜種を開発しています。このように進化していく連続攻撃に、単層のセキュリティのみで対抗するのは最善の策ではありません。多層のセキュリティを用意すれば、1 つのセキュリティ層で攻撃をブロックできなくても、他の層で脅威を緩和できる可能性があります。現在あなたの会社ではどのようなセキュリティ防御層を用意していますか?攻撃のあらゆる段階のリスク緩和に役立つように、多様なセキュリティソリューションを導入していますか?セキュリティに、攻撃者が悪用できるような穴はありませんか?


1 http://cybersecurityventures.com/ransomware-damage-report-2017-5-billion/
2 https://www.proofpoint.com/sites/default/files/q4_threat-summary-final-cm-16217.pdf
3 http://www.zdnet.com/article/petya-ransomware-companies-count-the-cost-of-massive-cyber-attack/
4 https://www.communications.gov.au/what-we-do/internet/stay-smart-online/alert-service/fake-auspost-phishing-emails-lead-ransomware
5 http://www.bbc.com/news/technology-35880610
6 https://blog.barkly.com/wannacry-ransomware-statistics-2017
7 https://www.theverge.com/2017/6/28/15888632/petya-goldeneye-ransomware-cyberattack-ukraine-russia
8 http://www.ibtimes.com/eternalblue-exploit-thousands-machines-still-not-patched-against-wannacry-petya-2565606
9 https://securelist.com/kaspersky-security-bulletin-2016-story-of-the-year/76757/
10FBI、2016 年 6 月、https://www.justice.gov/criminal-ccips/file/872771/download
11PhishMe Q3 2016 Review
12https://securelist.com/it-threat-evolution-q1-2017-statistics/78475/13https://blog.barkly.com/ransomware-statistics-2017