見出し画像

ランサムウェア攻撃への備え

Tech

今回は

  • ランサムウェアとは?

  • ランサムウェアの振る舞い

  • ランサムウェアによる攻撃を防ぐ方法

  • ランサムウェア攻撃への備え

  • 攻撃を受けた場合の対処法

  • RAASとは何か

について具体的に解説していきます。

 この記事を読むことで、ランサムウェア攻撃に対する理解を深められるだけでなく、攻撃への備えや対処法も理解できます。
 
 ランサムウェアは、2022年には減少傾向にあるものの、サイバー脅威のランキングでは依然として上位にランクインしており、世界中の組織が最も懸念しているサイバー攻撃としてもランサムウェアが1位となっています。

Source: 2022 SonicWall Threat Mindset Survey.

ランサムウェアとは何か

 ランサムウェア攻撃は、重要情報を暗号化するための特殊なマルウェアを使う攻撃と定義されています。暗号化によって被害者は情報にアクセスできなくなり、ファイルやアプリケーション、データベースへのユーザーのアクセスをすべて遮断されてしまいます。そして攻撃者は、データの復元と引き替えに身代金を要求します。このような攻撃が危険であるのは、ランサムウェアは多くの場合、より多くの標的のシステムにダメージを拡散するための機能が備わっているからです。

ランサムウェアの振る舞い

 ランサムウェアは、さまざまな手段でネットワークやシステムに侵入します。一般には、スパムメールを受け取ったユーザーが誤ってマルウェアを自分のマシンにダウンロードすることで、ランサムウェアが侵入します。ソーシャルエンジニアリングや不正なWebサイトのリンク、チャットメッセージ、USBメモリが侵入経路に使われることもあります。特定のデバイスに侵入したマルウェアは通常、実行ファイルやマクロへの組み込みを介して、ネットワークへと拡散します。この処理が行われるとすぐに、ランサムウェアの危険な側面が現れます。データの暗号化を始め、ファイルに拡張子を加え、ファイルにアクセスできなくするのです。

 手の込んだ新種のランサムウェアの中には、ブラウザーのプラグインの脆弱性を突き、自力でシステムに感染するものもあります。システムがランサムウェアに感染し、重要なデータが暗号化されると、組織や個人は大きな影響を受け、攻撃者はこれに乗じて身代金を要求します。

ランサムウェアによる攻撃を防ぐ方法

 今日のコンピューティング環境ではサイバー攻撃を受けるのは避けられないとする考え方もあります。幸い、ランサムウェアの場合には、攻撃を防ぐ方法がいくつか存在します。これらの手法を導入すれば、攻撃者がネットワークへ侵入したり、ネットワークの機能が停止させられたりするのを回避でき、最悪の事態を避けることができます。

データをバックアップする:ランサムウェア攻撃では、データを利用不可能な状態にして組織に影響を与えます。定期的にデータをオフラインのロケーションにバックアップすれば、攻撃の影響や、組織の利益に生じるダメージのリスクを大幅に抑えられます。侵害を受けても、オフラインのバックアップにはアクセスできるからです。

対策機能に投資する:ランサムウェア攻撃を防ぐ場合、従来のウイルススキャン機能やマルウェア検知機能では、必ずしも十分であるとは言えません。絶えず進化する状況と、ゼロデイ脆弱性を狙う巧妙さを増した攻撃に対処するには、ネットワーク内のすべてのエンドポイントを保護できる予測型の防御機能が必要です。

ネットワークのセグメント化:ランサムウェアがネットワークに感染した場合、その拡散を抑え、ダメージを局所化することが不可欠になります。ネットワークをセグメント化し、強力なファイアウォールのルールを適用すれば、ランサムウェア攻撃を受けても、データが暗号化される範囲をネットワークの一部に制限することができます。

トレーニング:トレーニングにより、セキュリティに対する意識を高めることが、サイバーセキュリティの基盤になります。トレーニングを通じ、ランサムウェアの意味を理解し、見知らぬ相手から届いたメールを開封しない、メールのリンクをクリックしないといったことが重要であることを知れば、ランサムウェア攻撃を防ぐのに役立ちます。

ランサムウェア攻撃への備え

  ランサムウェア攻撃に備える場合、まずは、実際に攻撃を受けたときの対応プランを策定します。企業がランサムウェア攻撃を受ける確率が高いのは週末や休日です。しかし、多くの企業は、ランサムウェア攻撃を受けたときに備えて特定の対応プランを準備していません。攻撃を受けた経験がある企業でさえ対応プランをまだ準備していないのです。これらの組織が、攻撃を受けた理由は、適切なセキュリティプランが準備されていなかったことや、適切なセキュリティソリューションを導入していなかったためなのです。

 従来のシグネチャベースのアンチウイルスソリューションは、ランサムウェア攻撃を防ぐのには効果がありません。ランサムウェア攻撃では多くの場合、再パックされた多様な性質の、これまでにないマルウェアが使用されるためです。多くの組織がいまだに、このような従来型の手法に頼っています。Endpoint Detection and Response(EDR)システムを構築すれば、重要なシステムでサイバー攻撃の標的になる箇所の防御を大幅に強化でき、ランサムウェア攻撃を受けて最悪の事態に陥るのを防ぐことができます。

攻撃を受けた場合の対処法

 ランサムウェアによる攻撃を受けてしまった場合の駆除には、いくつかの不可欠なステップがあります。これらを順番に実行することで復旧できます。まず、感染端末を隔離します。次に、ランサムウェアに感染したシステム全体をネットワークから切り離し、データに対する接続やインターフェイスもすべて無効にします。その後ようやく、セキュリティチームは、感染源の特定に取り掛かります。一方、運用担当者は、バックアップの整合性を確認します。場合によっては、身代金を支払わないことで経営ダメージが生じるため、経営はそのリスクを評価します。

 攻撃者であるサイバー犯罪者とやり取りをしない、身代金を支払わないよう、日本警察や米国FBIは勧告しています。それゆえ、ランサムウェア攻撃の影響を低減するため、隔離されたストレージに定期的にバックアップを取る方法が、大きな威力を発揮します。

RAASとは何か

 RaaS(サービスとしてのランサムウェア)は、サブスクリプションベースのモデルです。サービスの加入者は既成のランサムウェアツールでランサムウェア攻撃を仕掛けられるようになっています。攻撃を行った加入者は、支払われた身代金の額に応じて一定の割合の報酬を受け取ります。

 ランサムウェアの開発者は開発したコードをブラックマーケットで公開しており、一般に、支払われた身代金や一定の手数料と引き換えに利用を許可しています。RaaSを通して容易にランサムウェア攻撃を実行できる状態になっているため、対策を行うことが不可欠です。

まとめ

今回は、

  • ランサムウェアとは?

  • ランサムウェアの振る舞い

  • ランサムウェアによる攻撃を防ぐ方法

  • ランサムウェア攻撃への備え

  • 攻撃を受けた場合の対処法

  • RAASとは何か

についてご紹介してきました。

 攻撃者であるサイバー犯罪者とやり取りをしない、身代金を支払わないためにも、隔離されたストレージに定期的にバックアップを取る備えが大きな威力を発揮することをご紹介しました。

 組織のセキュリティ対策のレベルを適切かつ効率的に向上させていくためには、適切なセキュリティプランを準備し、適切なセキュリティソリューションを導入していくことが必要です。