This post is also available in: English (英語)
ランサムウェア攻撃を受けた被害者は無力感にさいなまれることがあります。ここ数年は恐喝要求金額が激増してきていることも確認されています。その額はいまでは数百万ドル、場合によっては数千万ドルに設定されることも普通です。ですがランサムウェア攻撃への対応全体にかかるコストはこの要求金額をはるかに上回ります。
たとえばオペレーション停止や信用毀損、データディスカバリにかかる費用や訴訟、データプライバシーへの懸念などがこの副次的コストに含まれます。ランサムウェア攻撃は被害組織にとって事業運営の大きな障害となり、従業員や顧客、さらには商品価格にさえ影響するケースが増えています。
事業への影響がきわめて深刻であることから、企業はランサムウェア攻撃の被害に遭うリスクを減らし、サイバー恐喝者がネットワーク侵害に成功した場合の影響を最小限に抑えるために準備しておくことが重要です。
本稿はランサムウェアとは何か、ランサムウェア攻撃はどのように行われるのかについて解説します。そして本稿の最も重要な目的は、組織がこうした攻撃を防ぐための実践的なヒントを提供することにあります。そのために、Unit 42のコンサルタントが政府機関をはじめ、あらゆる業界・あらゆる規模の企業を含む、何百ものランサムウェアの事例から学んだ教訓をひもときます。最後にランサムウェアに対抗するための12のヒントをご紹介します。
ランサムウェアの定義
ランサムウェアは金銭的利益のためにサイバー犯罪者が使用するマルウェアの一種です。ランサムウェアは被害者のファイルやシステムを乗っ取たうえで、復号化キーと引き換えに身代金の支払いを要求し、応じればファイルが元の状態に戻るものとされています。2019年の終わりから、ランサムウェアの定義が拡張され、データ恐喝もこの定義に含まれるようになりました。「情報をリークサイトに投稿する」あるいは「情報を販売する」などといって脅迫者が被害者を脅し、身代金を支払わせることを目的にランサムウェア攻撃中にデータを漏出させ始めたことがその理由です。これは一般に「二重恐喝」と呼ばれています。また被害者に支払いを迫る第三の手段として、外部向けのウェブサイトを停止させるDDoS攻撃を仕掛けてくる攻撃者も増えてきています。
ランサムウェア攻撃による隠れたコストとは
ランサムウェア攻撃への対応にかかる潜在的コストは無視できないほど高いものです。
- 2020年に支払われた身代金平均額は31万2,000ドル以上で2019年から171%増加しています(『2021 Unit 42ランサムウェア脅威レポート』より)。
- 今年はこれまでに2020年の約3倍の約85万ドルに達しています。これが大企業の場合平均は300万ドル近くになっています。
- 組織が支払った身代金の最高額 は2019年から2020年にかけて500万ドルから1,000万ドルへと倍増しています。
- 昨年の最大身代金要求額は1,500万ドルから3,000万ドルへと倍増しました。今年は5,000万ドルという高額なものも見られます。
- 2020年第2四半期、ランサムウェアの攻撃に伴うダウンタイムは平均16日間でした。
ランサムウェアの経済的影響について詳しくはこちらのビデオをご覧ください。
ランサムウェア攻撃のしくみ
今日流通している最も一般的なタイプのランサムウェアは、ファイルの中身を暗号化するものです。通常、非常に強力な(場合によっては事実上解読不可能な)暗号化プロトコルを使用し、所有者がファイルにアクセスできないようにします。攻撃者はファイル返却と引き換えに身代金を要求します。2019年終盤以降はMazeやLockBitなどのランサムウェア亜種の背後にいる攻撃者が、攻撃中に被害者からデータを盗み、盗んだデータを公開することで被害者に恥をかかせ、身代金支払いに追い込む傾向も高まっています。公開データに機微な情報が含まれていれば、対応コストやブランド毀損に拍車がかかりかねず、被害者はさらに大きな負担を強いられることになります。
身代金の要求は多くの場合、要求金額や希望する支払方法、支払期限を記載したポップアップ画面を表示するかたちを取ります。昨今は犯罪者が支払い方法として暗号通貨を好む傾向があり、特定種類の暗号通貨(通常Bitcoinで、DashやMoneroの場合もある)を要求されることもよくあります。
攻撃者は身代金さえ支払えばファイルやシステムが正常に戻ると約束します。通常であれば、ファイルに適用された暗号化を元に戻せるようにする復号キーを攻撃者が被害者に送信します。データを持ち出していた場合、攻撃者が窃取データを公開しないことに同意したり、漏出データを破棄したことを示す証拠を見せることを追加で約束する場合もあります。
ただし身代金を支払ったところで サイバー犯罪者が交渉での取り決めに最後まで従ってくれる保証は何もありません。たとえファイルが元の状態に復元されても、攻撃者が窃取したデータのコピーを持っていて、それをダークウェブで販売したり、将来被害者を攻撃するのに使う可能性は残ります。また、攻撃者が機能しない、あるいは部分的にしか機能しない復号キーを送信するケースも確認されています。場合によっては、将来被害者の環境に戻ってこられるように、脅威攻撃者が追加の悪意のあるファイルやバックドアを復号キーに含めていることもあります。そのため私たちはお客様の安全を第一に、復号キーをリバースエンジニアリングするようつねに注意を払っています。
ランサムウェアがネットワークに感染する方法
ランサムウェアによる攻撃は主に2つのステージから成り立っています。最初がデバイスへの侵入口を見つけるステージ、次に暗号化を行うステージです。ランサムウェアはファイルを見つけて暗号化し、身代金の条件を被害者に伝える必要があります。一部の種類のランサムウェアはそれだけでなく、デバイスからデバイスへと拡散し、ネットワーク内のすべてのコンピュータに影響を与える可能性があります。
では、そもそもランサムウェアはどのようにしてネットワークに侵入するのでしょうか。
以下の3つが私たちインシデントレスポンダが過去1年間に手がけた数百件のケースで観測した主な侵入手口です。
- 電子メールのリンクまたは添付ファイル: ユーザーに悪意のあるリンクまたは添付ファイルを含むフィッシングメールが送信され、これがランサムウェアのダウンロードにつながります。注意すべきファイル拡張子は .exe と .zip で、これらはランサムウェアの配布によく使用されています。
- リモートデスクプロトコル(「RDP」)攻撃: その使いやすさと攻撃者が得られるアクセスレベルの高さからこの配布方法は伸びてきています。サイバー犯罪者は、ランサムウェアをリモートで展開して実行する前に、RDPプロトコルを介して、公開されているないし脆弱な資格情報やブルートフォース攻撃により被害者の環境にアクセスします。ランサムウェアギャングであるCrySIS/Dharma は、RDP攻撃を介してランサムウェアをプッシュすることが知られています。
- 仮想プライベートネットワーク(VPN)攻撃: サイバー犯罪者はセキュリティが甘くパッチが適用されていないリモートアクセスVPNサーバーを見つけ、それらをネットワークへのアクセスに使い、マルウェアを配布します。ランサムウェアの1種、Sodinokibiの背後にいる脅威攻撃者はこの手口を利用することで知られています。
通常、デバイスに到達したランサムウェアは、特定の種類のファイルを探してそれらを暗号化します。さらにシャドウファイルやバックアップ、ファイル名も暗号化して、復旧をより困難にすることもあります。
さらに詳細について学ぶには、ランサムウェア攻撃で観測された手法に関するこちらの短いビデオをご確認ください。
ランサムウェアと戦う12のヒント
- ソフトウェアを最新の状態に保つ。最新バージョンのアップデートは、セキュリティ脆弱性にパッチが適用されていることが多くなっています。対象としてVPNサーバーのパッチ適用や、SMBのバージョンを1からアップグレードすることも忘れないようにしましょう。これにより攻撃者はファイル共有プロトコルを使ってシステム内を横展開しにくくなります。
- 定期的にバックアップを行う。ファイルとシステムのバックアップをとり、それらをネットワーク外にも保存しておくようにします。脅威攻撃者がバックアップにアクセスできなくなるので、バックアップを無効化したり、削除したりして復旧を妨害できなくなります。
- 包括的・徹底的なエンドユーザートレーニングを実施する。標準的なものから高度なものまで、フィッシングやソーシャルエンジニアリングのテクニックに関するトレーニングを行います。このさい組織や従業員の役割に合わせ、教育内容をカスタマイズすることが重要です。
- ログ集約システムを活用する。ログの保持、整合性、可用性を向上させます。
- 機微なデータが存在する場所を把握しておく。そのうえで、それらのデータを保護するための強力なアクセス制御を実装します。また、定期的に監視・監査を行います。
- 信頼できるエンドポイント検出対応用ソフトウェアに投資する。これによりランサムウェア検出をサポートします。またファイアウォールを導入して悪意のあるトラフィックをブロックします。
- 仕事関連活動のための従業員所有デバイス使用に厳格なポリシーを実装する。このほか、ユーザーに与える特権は最低限必要なものだけにします。
- 多要素認証(MFA)組み込む。すべてのリモートアクセス、インターネットアクセス、ビジネス用電子メールアカウントにMFAを組み込みます。
- 外部直接のRDPアクセス無効にする。すべての外部リモート管理は、エンタープライズレベルのMFAを使うVPNを介して実行されるようにします。
- 組織全体でアカウント管理のベストプラクティスを採用する。これには、一意で複雑なパスワード( 最低15文字以上 )を要求することで簡単にブルートフォース攻撃を受けないようにすることも含みます。
- 特権アカウントの使用を制限する。ローカル管理者アカウントのパスワードは使い回さず、攻撃者による初期アクセス、特権昇格、ネットワーク全体での横展開ができないようにします。
- 資産インベントリを作成して維持管理する。
その他のヒントについては、私たちが学んできた教訓に関するこちらのビデオをご覧ください。
結論
ランサムウェアの蔓延はつづいており、組織にとっては危険な脅威です。ランサムウェア攻撃への総対応コストは上昇し続けているので、組織は自分自身を保護し、ランサムウェアの脅威状況を十分に把握するためのベストプラクティスを採用する必要があります。
さらに、攻撃に備えてインシデントレスポンスプランを用意しておくことも必要です。Unit 42では、企業による防御力強化の着手に役立つRansomware Readiness Assessment(ランサムウェア対策準備の評価)を提供しています。
パロアルトネットワークスのお客様は、以下の方法で多くのランサムウェアの脅威から保護されています。
- WildFire: 既知のサンプルはすべてマルウェアと識別されます。
- Cortex XDRには次の機能が含まれます。
- 既知のランサムウェア指標
- Anti-Ransomwareモジュール
- ローカル分析による検出
- Cortex XSOAR: Cortex XSOARの ランサムウェアコンテンツパックは、インシデント対応、脅威インテリジェンス、SecOpsチームの侵入後対応プロセスを標準化・高速化する上で直接的に役立ちます。このコンテンツパックは、ランサムウェア対応のほとんどのステップを自動化しますが、そこにインシデント対応チームやSecOpsチームが直接ガイダンスやフィードバックを加えることもできます。
- 次世代ファイアウォール: DNSシグネチャがURLフィルタリングによりマルウェアに分類されている既知のコマンド&コントロール(C2)ドメインを検出します。
- AutoFocus: 関連タグを使い関連アクティビティを追跡します。
ランサムウェアの詳細 を確認して、攻撃を受けたさいに自社がただちにとるべき手順を確認しておきましょう。