ランサムウェアガイド

ランサムウェアの仕組み

ランサムウェアは、被害者に身代金を支払うように圧力をかけようとします。具体的には、ランサムウェア攻撃でマルウェアを展開し、このマルウェアが侵入して標的のデータを不正に暗号化し、企業や個人に対して身代金の支払いを迫るという攻撃手順になります。

上述のように、二重恐喝がより広く見られるようになっています。現代の攻撃者にとっては、企業が自社のデータにアクセスできなくするだけにとどまらず、データを盗み、それを取り戻したい企業に追加の支払いを要求することにも価値を見出していると考えられます。

ネットワークシステムにランサムウェアが及ぼす影響は、導入されている防御の種類と対応時間により異なります。データにアクセスできるようになると、攻撃者は悪用後のフレームワークで環境を検索し、より機密性の高い権限を取得する可能性があります。アクセス権限を掌握すると、ネットワーク全体が暗号化され、ビジネスサービスを完全に中断せざるを得なくなる場合もあります。

大規模なネットワークエコシステム内のエンドポイントが感染した場合、一定期間脅威が封じ込められる可能性はありますが、マルウェアが蔓延するまで時間との勝負となります。攻撃の爆発範囲を制限するには、感染した資産を迅速に削除することが不可欠です。

ランサムウェア攻撃の段階

ここで、ランサムウェア攻撃のさまざまな段階の詳細を見てみましょう。

• 初期アクセス：攻撃者はサーバーをスキャンして、悪用可能な脆弱性がないか確認します。
• 導入：ランサムウェアが実行中のプロセスに挿入されるか、ダイナミックリンクライブラリ（DLL）として実行されます。
• 悪用後：ランサムウェアの注入や実行に成功すると、インポートを構築し、ランサムウェアを停止できるプロセスを強制終了します。
• 水平展開:攻撃者は権限昇格を行うことで、システムからシステムへと攻撃を進めます。 こうして攻撃者は、望む データを見つけて暗号化することができます。
• データ収集：攻撃者が狙うデータは通常、ミッションクリティカルなタイプのものです。通常業務に求められるあらゆるデータが、侵害、ブロック、「人質」化、窃取の対象となり得るのです。
• 流出：攻撃者は、データ流出プロセスを自動化するためにカスタム化されたランサムウェアを利用し、標的とするデータを発見次第、外部に転送します。

ランサムウェアの例

今日、ランサムウェアは世界中に蔓延しています。最近の侵害事例を見てみましょう。

WannaCry ランサムウェア

2017年に端を発するWannaCry ランサムウェア攻撃は、最近のランサムウェアの中でも最も注目すべき悪名高い一例で、脆弱なシステムから迅速に拡散可能なコンポーネントが組み込まれている点で、従来のランサムウェアとは一線を画するものでした。その動作から、このランサムウェアはワームとして知られ、ネットワークをトンネリングして侵入し、甚大な被害を引き起こします。

従来のフィッシング手法とマルウェアのワーム形式の両方を取り入れた非常に厄介なランサムウェアで、世界中に影響を及ぼしました。ユーザーだけでなく、ソフトウェアアップデートがされていなかったり、権限やパスワードおよび認証情報の管理が不十分な組織も標的となり、ビットコインによる身代金支払いが要求されました。

Petya ランサムウェア

Petya ランサムウェアもWannaCryと同様、拡散しやすいもので、標的組織にある脆弱性を見つけ出す機能を備えていました。リブートをきっかけに発生するこのランサムウェア攻撃は、リブート後システムが使用不可になります。Petyaは当初、添付ファイルをクリックするとローカルにダウンロードされ、システムに感染する手法をとっていました。

当初のPetya攻撃は、ウクライナ全土に大規模な被害を与え、銀行インフラなどの国内の重要な分野に深刻な影響を及ぼしました。その後、被害は欧州中に広がりました。後続の亜種であるNotPetyaは、元のバージョンよりもさらに悪質な機能を備え、新たに数十億ドルの損害を引き起こしています。

CryptoLocker ランサムウェア

今回挙げた例で最も最も永続的と思われるCryptoLockerでは、主に悪意のある添付ファイルを含むフィッシングメールで被害者を誘惑する手法が使われました。セキュリティ意識向上トレーニングの利点を改めて思い起こさせる例と言えます。ほとんどの攻撃は、システムへのアクセスを得るためにユーザー側のアクションが必要です。したがって、従業員が取るべきアクションと取ってはいけないアクションを正しく認識しておくことが重要です。

CryptoLockerに関しては、とりわけ、悪意のある攻撃者がFedExやUPSなどの有名企業の行動を模倣したことで効果が高まりました。ユーザーをファイルからロックアウトするために、非対称暗号化（暗号化用と復号に異なる鍵が必要なもの）が使われました。

ランサムウェアの被害を防ぐ方法

ランサムウェアは、セキュリティプログラム全体に流れるべき主要なベストプラクティスの動作に従うことで防ぐことができます。 ランサムウェアの攻撃には2つの重要な段階があります。リスクを低減し、攻撃の最悪の影響を防ぐためには、その各段階での対策が重要です。

• 攻撃前：攻撃者がランサムウェアの展開に使用する手法を把握することで、攻撃対象領域を最小限に抑えるとともに、従業員のトレーニングを始め、さまざまな予防策を実施し、リスクを軽減します。また、ネットワークを意図的にセグメント化することで、重要なシステム隔離し、マルウェアの拡散を防ぐことができます。
• 攻撃中：攻撃が進行中の場合、ミッションクリティカルなデータへのアクセスを極限まで制限する必要があります。それらのデータが侵害された場合、最新のバックアップを使用してデータを復元するために、継続的にシステムのバックアップもをとっておくことも必要です。

最初の攻撃における初期アクセスと実行ベクトルを特定して修正し、攻撃者を完全に封じ込めることで、繰り返し被害を受けることを避けられます。

ランサムウェアを削除する方法

ランサムウェアは、マルウェア対策ソリューションでネットワークをスキャンすることで駆除できます。ランサムウェアやマルウェアによる実損害が発生する前に、自動で調査して封じ込められるツールが必要です。

調査の結果、対象となるユーザーを検出したら、そのドメインアカウントをローカル管理者グループから直ちに削除することをお勧めします。管理者権限を持つユーザーアカウントは、自動化された標的型攻撃によるシステムレベルの権限と連携して、ランサムウェアの展開を容易にします。

さらに、システム管理者は、セキュリティアナリストが感染したユーザーアカウントやマルウェアの通信をブロック判断を行ったり、マシンをネットワークから完全に隔離したりするもできます。自動化を活用して感染を遅らせ、セキュリティ対応担当者がランサムウェアの根絶までの時間を稼ぐこともできます。

ランサムウェアについてさらに読む

数字で見る2023年のランサムウェア:今後に向けたより良い計画のために

Rapid7のランサムウェア対策ソリューションの詳細情報

Ransomware-as-a-Service（RAS）チートシート

ランサムウェア：最新のRapid7ブログ記事

レポート：課題：ランサムウェアによるデータ開示の傾向