ランサムウェア

『2021 Unit 42 ランサムウェア脅威レポート』からの注目ポイント

Clock Icon < 1 min read

This post is also available in: English (英語)

はじめに

ランサムウェアは、サイバーセキュリティにおける最大の脅威の1つで、パロアルトネットワークスでも注目している分野です。グローバル脅威インテリジェンスチーム(Unit 42)とインシデントレスポンスチーム(Crypsisグループ)とが提携し、『2021 Unit 42 ランサムウェア脅威レポート』を作成しました。本レポートでは、上位のランサムウェア亜種、ランサムウェアにおける支払い傾向、セキュリティベストプラクティスに関する最新の洞察を提供し、脅威についての理解を深め、脅威に対応していけるようにします。

ランサムウェアの脅威動向評価のため、Unit 42の脅威インテリジェンスチームとCrypsisインシデントレスポンスチームとが協力し、Unit 42のグローバルデータとCrypsisの米国、カナダ、ヨーロッパのデータを出しあい、2020年のランサムウェアの脅威の状況を分析しました。

本調査で得られた主な知見

サイバー犯罪者はこれまで以上に多くを稼ぎ、かつ要求している

注: 以下のデータは、米国、カナダ、ヨーロッパからのものです。

組織が支払った身代金の平均額は2019年の115,123ドル(日本円で1250万円)から2020年には312,493ドル(3400万円)へと増加し、前年比で171%増加していました。さらに、組織が支払った身代金の最高額は、2019年から2020年にかけて2倍になり、500万ドル(5億4500万円)から1000万ドル(10億9100万円)になりました。一方でサイバー犯罪者たちは貪欲になっています。2015年から2019年までのランサムウェアの最大要求額は1,500万ドル(16億3650万円)でしたが、2020年には3,000万ドル(32億7300万円)に増加しました。

注目すべきは、Mazeの2020年の身代金要求額が平均480万ドル(5億2370万円)だったことで、2020年のすべてのランサムウェアファミリの平均847,344ドル(9240万円)と比べ、大幅に増加していました。サイバー犯罪者はランサムウェアが儲かることを知っており、要求金額はますます大胆なものになっています。

ヘルスケア関連組織を照準に

COVID-19で世界は一変しました。ランサムウェアのオペレータはこのパンデミックに乗じ、組織、とくに2020年にランサムウェアで最も標的とされた業種であるヘルスケアのセクタを食い物にしました。ランサムウェアのオペレータは「COVID-19患者を治療し命を救う活動を続けねばならない医療機関はシステムをロックさせておけない、したがって身代金を支払う可能性が高い」と知っており、恥知らずにもそこからできるだけ多くを儲けようと攻撃をしかけました。

Ryukランサムウェアは際立った存在でした。2020年10月、Cybersecurity and Infrastructure Security Agency(CISA)、連邦捜査局(FBI)、および保健社会福祉省(HHS)により、共同サイバーセキュリティアドバイザリが発行され、ヘルスケア関連組織にRyukの攻撃について警告しています。

二重恐喝の台頭

一般的なランサムウェア攻撃はランサムウェアオペレータがデータを暗号化し、被害者が身代金を支払ってロックを解除してもらうという流れになっています。ところが二重恐喝の場合、ランサムウェアオペレータはデータを暗号化して窃取し、さらに被害者に身代金の支払いを要求します。被害者が身代金支払いに応じない場合、ランサムウェアオペレータはリークサイトやダークウェブドメインにデータをリークします。リークサイトの大部分はダークウェブでホストされています。これらのホスティングロケーションは、ランサムウェアオペレータが作成・管理しています。現時点で少なくとも16の異なるランサムウェア亜種がデータ公開をちらつかせて恐喝するかリークサイトを利用しており、今後さらに多くの亜種がこの傾向にならう可能性があります。

この戦術を最も活用したランサムウェアファミリがNetWalkerです。2020年1月から2021年1月まで、NetWalkerは世界中の113の被害者組織からデータを漏えいしましたが、これは他のランサムウェアファミリをはるかに凌駕していました。RagnarLockerが2番手で、全世界26の被害組織からのデータをリークしていました。米国司法省が2021年1月にNetWalkerランサムウェア犯罪グループのオペレーションを壊滅させるべく国際的な法執行措置を講じたことを発表したことは注目に値するでしょう。漏えいしたデータをホストしていたNetWalkerオペレータ管理下のダークウェブドメインにはもうアクセスできなくなっています。

ランサムウェアによる被害を減らす手順

ランサムウェア攻撃に対する防御は他のマルウェアからの防御とかわりありません。ただしランサムウェアは組織にとって他のマルウェアよりはるかに高いリスクとなっています。

初期アクセス

初期アクセスはすべてのランサムウェアの亜種にわたり比較的一貫しています。組織は、電子メールのセキュリティに関するユーザー啓発とトレーニングを継続的に行い、悪意のある電子メールが従業員のメールボックスに入ったらただちにそれを識別して修復する方法を検討する必要があります。組織はまた、適切なパッチ管理を実施し、インターネットへの公開を許可してよいサービスはどれかを確認する必要があります。リモートデスクトップサービスは、ブルートフォース攻撃に関連するパターンを検出するためのポリシーを設定し、可能な限り最小特権の原則を使用して、正しく構成・保護する必要があります。

バックアップと復旧のプロセス

組織は引き続きデータをバックアップし、適切な復旧プロセスを維持する必要があります。ランサムウェアのオペレータは暗号化のさいオンサイトバックアップも対象とするので、組織はすべてのバックアップがオフラインで安全に維持されるようにする必要があります。ランサムウェア攻撃が発生した場合のダウンタイムと組織のコストを最小限に抑えるためには、復旧手順を組み込み、重要なステークホルダとリハーサルを行う必要があります。

セキュリティ管理

ランサムウェアからの保護の最も効果的な形式は、エンドポイントセキュリティ、URLフィルタリングまたはWeb保護、高度な脅威防止(未知の脅威/サンドボックス)、すべてのエンタープライズ環境とデバイスに展開されるフィッシング対策ソリューションです。これらは完全な予防を保証するものではありませんが、一般的な亜種からの感染のリスクを大幅に減らし、当座の対策をほどこし、あるテクノロジが効果的でない場合に別のテクノロジによるエンフォースメントを提供できるようにします。

こちらから2021 Unit 42 ランサムウェア脅威レポート完全版をダウンロードして、組織に実施可能なさらに多くのリサーチ結果やベストプラクティスについて学ぶことをおすすめします。

追加資料

Enlarged Image