English -> Visit original BeyondTrust page
ランサムウェアとは何ですか?
ランサムウェアは、コンピューター、サーバー、その他のデバイスを破壊する悪意のあるソフトウェアの一種です。ランサムウェア ソフトウェアは、インストール後、正規のデータやアプリケーションへのアクセスをブロックしたり、削除したり、侵害したりします。
人間が操作するランサムウェアとは、人間の脅威アクターが積極的なハッキング手法とマルウェアの展開を利用してランサムウェア攻撃を進める攻撃を指します。ほとんどのランサムウェアは、コンピュータの「ロックを解除」し、デバイスや関連データ、アプリケーションへの完全なアクセスを許可するために、支払い、つまり身代金を要求します。
ランサムウェアには次のようないくつかの異なる種類があります。
- 暗号化マルウェアまたは暗号化ツール
ファイルとデバイスを暗号化することで、データやアプリケーションへのアクセスをブロックします。 - ロッカー
コンピュータ システムへのアクセスを完全にブロックします。 - スケアウェア Scareware
コンピュータ上のウイルスなどの他のマルウェアを特定すると主張し、それらを削除するために金銭を要求します。 - ドックスウェア Doxware
コンピュータから機密情報を盗み、オンラインで公開すると脅迫します。 - 人間が操作するランサムウェア
「ハンズオン キーボード」とも呼ばれるのは、サイバー犯罪者が標的のインフラストラクチャを積極的に移動する場合です。 - • サービスとしてのランサムウェア (Ransomware-as a-Service – RaaS)
ますます一般的になるランサムウェアのビジネス モデル。これは、攻撃者がランサムウェア サービス オペレーターに、既成のパッケージ化されたランサムウェア ツールキット/マルウェアを使用するためのサブスクリプション料金を支払う行為を指します。RaaS では、身代金の支払いはランサムウェア所有者とその関連会社の間で分配されます。アフィリエイトはランサムウェア ペイロードを実行するエンティティであり、所有者は RaaS マルウェアの提供者です。
最も一般的なランサムウェアのターゲットは何ですか?
ランサムウェアのオペレーターは通常、セキュリティで保護されていない開いているポート ( BeyondTrust サイト 英語 ) をスキャンして攻撃を開始します。インターネットに公開されたリモート デスクトップ プロトコル (RDP) エンドポイント ( BeyondTrust サイト 英語 ) は、ランサムウェアの最大の侵入ポイントとして脅威レポートに引用され続けています。
VPN などの一部のリモート アクセス テクノロジは、攻撃者に組織のネットワークへの広範なアクセスを取得し、ランサムウェア ペイロードを配布するためのバックドアを提供する可能性があります。感染した添付ファイルや悪意のあるリンクを含むフィッシングメールも、ランサムウェア攻撃チェーンにおいて引き続き重要な役割を果たしています。
2020 年から 2021 年にかけて、ランサムウェアの脅威が大規模に復活しました。2020 年には、ランサムウェアが 150% 急増しました ( Group-IB: ransomware empire prospers in pandemic-hit world. Attacks grow by 150% | Group-IB )。さらに、 2020 年には全業界の侵害の 35% ( 2020 Threat Landscape Retrospective | Tenable® ) がランサムウェア関連でした。2021 年、ランサムウェアは常にニュースに登場し、日常の消費者に目に見える影響を与えました。DarkSide ハッカー グループによるコロニアル パイプライン攻撃 ( BeyondTrust サイト 英語 ) など、広範な混乱の新たな事例が数週間にわたり見出しを飾りました。この攻撃により、米国東海岸の燃料供給の 45% が停止されました。これにより急速にパニック買いが発生し、燃料不足が生じ、価格が高騰しました。病院やその他の医療提供者、仮想通貨取引所やマイナー、小規模でニッチな企業は、引き続きランサムウェア攻撃の格好の標的となっています。
犯罪者がランサムウェアを使用する方法も変化しています。サービスとしてのランサムウェア モデルの人気が高まっています。BeyondTrust Labs がマルウェア脅威レポート ( BeyondTrust サイト 英語 )で報告したように、最新世代の RaaS は、侵入したネットワーク内に隠れ続けることに優れています。多くの場合、オペレーターは、Cobalt Strike や PowerShell Empire などの一般的な侵入テスト ツールを利用して、ネットワークの偵察と拡散を実行します。その後、ランサムウェアは特権昇格技術 ( BeyondTrust サイト 英語 ) を利用して重要なシステムを制御し、セキュリティ制御を無効にしてから、最終的に主要なシステムを暗号化し、データを窃取します。
国家主体が国際的なサイバー戦争の一環としてランサムウェア攻撃を仕掛けるという、もう一つの不穏な傾向が見られます。
最も注目すべきランサムウェア攻撃の例は何ですか?
暗黒面 (DarkSide)
DarkSide は、RaaS モデルを利用するハッカー グループです。このグループは、金融、法律、製造、その他の機密性の高い業界にランサムウェア攻撃を展開しました。
有名な話として、DarkSide ランサムウェア グループは、2021 年 5 月の Colonial Pipeline Company 事件 ( BeyondTrust サイト 英語 ) を起こしました。サイバー犯罪グループは、休眠中の Colonial Pipeline VPN アカウントへのアクセスを提供する盗まれた認証情報を発見しました。残念ながら、この VPN アカウントはまだネットワークに接続されていました。おそらく、DarkSide によって発見された認証情報が複数のシステム間で再利用されたと考えられます。ペイロードが実行された後、重要なパイプライン システムとインフラストラクチャは強制的にオフラインになりました。この結果、米国東海岸の燃料供給のほぼ45%が停止した。
少し異例の動きで、ダークサイドは攻撃によって引き起こされた混乱について謝罪し、次のように述べた。私たちは地政学には参加しません。私たちの目標はお金を稼ぐことであり、社会に問題を起こさないことです。」
Lapsus$
DEV-0537 としても知られる Lapsus$ は、NVIDIA、Microsoft、Ubisoft、Okta などの著名なテクノロジー企業に侵入したことで悪名を馳せた国際的なハッカー グループです。
Lapsus$ グループの手口 ( BeyondTrust サイト 英語 ) は、採用またはソーシャル エンジニアリングを通じて、特権を持つ従業員から資格情報を取得するかどうかにかかっています。Okta の場合、一部の Okta システムにアクセスできるサードパーティのテクニカル サポート エンジニアがターゲットになりました。他の例では、サイバー犯罪グループはヘルプデスクを標的にし、パスワードをリセットしたり、SIM スワップを実行して多要素認証プロトコルをバイパスしたりしました。このグループのより大胆な戦術の 1 つは、リモート アクセス ツールを実行したり、資格情報を引き渡したりするために大企業の従業員に報酬を支払うというものです。Lapsus$ は、メッセージング アプリ Telegram のチャネルを使用してターゲットを特定し、情報を共有し、最終的に共犯者を募集します。
WannaCry
WannaCry は、NSA によって発見され、シャドウ ブローカーによって漏洩された脆弱性に移植されたランサムウェア ペイロードです。WannaCry ランサムウェア暗号ワームは、2017 年 5 月に世界規模の攻撃を開始しました。( BeyondTrust サイト 英語 ) Microsoft による緊急パッチとキル スイッチの発見により、数日以内に拡散を阻止することができました。
しかし、依然として 150 か国の推定 20 万台のコンピュータが影響を受けており、被害額は数億ドルから数十億ドルに及びます。ハッカーはこの脆弱性 (愛称は EternalBlue および DoublePulsar) を利用し、WannaCry (本名は WanaCrypt0r) をペイロードとして移植しました。WannaCry はホストに感染するためにユーザーの操作を必要としません。ペイロードには、新しいホストを検出して自己伝播できる独自のネットワーク スキャナーが含まれています。アナリストらは、これは、誰もリンクをクリックしたり、悪意のある Web サイトを閲覧したりすることなく、ペイロードが急速に拡散する能力によるものであると考えています。
Petya
WannaCry と同様、Petya 攻撃 ( BeyondTrust サイト 英語 ) にはEternalBlue の脆弱性の悪用が含まれていました。Petya とその亜種 (NotPetya など) は、悪意のある Office 添付ファイルや電子メールを通じて増殖します。マルウェアがインストールされると、悪用する他のシステムを探します。
2017 年 6 月 27 日、多くのウクライナ企業が Petya ランサムウェア攻撃の矢面にさらされました。送電網、原子力施設、その他の主要インフラ企業が標的となった。ウクライナのチェルノブイリ原子力発電所の放射線監視システムが停止した。NotPetya の亜種は「史上最も高額なサイバー攻撃」と呼ばれています。被害は数十億ドルに膨れ上がり、世界中の大企業や政府機関に影響を及ぼした。
CryptoLocker
最初のランサムウェアではありませんが、CryptoLocker はランサムウェアを世間に知らしめました。CryptoLockerランサムウェア攻撃 ( BeyondTrust サイト 英語 ) は、Gameover Zeus ボットネットによって実行され、2013 年 9 月から 2014 年 5 月にかけて発生し、250,000 以上のシステムに感染しました。CryptoLocker は、Microsoft Windows コンピュータをターゲットとするトロイの木馬を利用し、感染したスパムメールの添付ファイルを介して拡散しました。CryptoLocker はシステムから簡単に削除できますが、暗号化されたファイルは身代金の支払いが行われた後でも復元できませんでした。
最も一般的なランサムウェア攻撃方法は何ですか?
上位のランサムウェア攻撃は通常、次の 1 つ以上のベクトルを利用して、コンピューターやその他のデバイスに自身をインストールします
リモート デスクトップ プロトコル (RDP)
近年、RDP は最も侵入されるポイント( BeyondTrust サイト 英語 )となっており、ランサムウェア オペレーターが環境内で足場を築くことができます。RDP を使用すると、ユーザー (つまりランサムウェア攻撃者) がネットワーク接続経由でコンピュータや仮想マシンをリモート制御できるようになります。
- ソーシャルエンジニアリング
ユーザーは犯罪者から連絡を受け、自分のマシンにソフトウェアをインストールするよう説得されます。 - 電子メールの添付ファイル
ユーザーがマルウェアを含む電子メールの添付ファイルを開くと、その添付ファイルが自分のマシンにインストールされます。 - マクロ
Microsoft Office やその他のアプリのマクロにより、ランサムウェアがインストールされる可能性があります。 - ダウンロード
ダウンロードした特定のソフトウェアには、ランサムウェアの「ペイロード」が隠されている可能性があります。 - ネットワークドライブを介した拡散
マッピングされたネットワーク ドライブにより、ランサムウェアが他のマシンに拡散する可能性があります。 - マルウェアに感染した Web サイト
特定の Web サイトにアクセスすると、特にブラウザにパッチを当てていない場合、または適切なブラウザ セキュリティをオンにしていない場合、マルウェアがインストールされる可能性があります。これには、ポップアップ オンライン広告が含まれます。 - 管理アクセス
root アクセスまたは管理アクセスにより、マルウェアが組織全体に急速に拡散する可能性があります。 - ファイルレス (環境寄生型攻撃)
ランサムウェアは、ファイルレス マルウェア技術を使用して、ネットワーク内を進行する際に隠れたままにすることがあります。
ランサムウェア攻撃を防ぐ方法
以下の 10 のベスト プラクティスを適用することで、個人や組織はランサムウェア感染のリスクを軽減できます。少なくとも、感染が発生した場合の蔓延と潜在的な被害を制限します。
- ユーザー教育
一般的なソーシャル エンジニアリング手法についてユーザーをトレーニングします。マクロ、Office ドキュメント、電子メールの添付ファイル、ダウンロードの危険性について説明し、これらの脅威を特定するテクニックを教えてください。 - 安全なマクロ
MS Office の新しいバージョンには、デジタル署名されていないマクロを禁止するオプションがあります。このオプションがデフォルトで有効になっていることを確認してください。 - ソフトウェアと OS の脆弱性のパッチとアップデート
一部のマルウェアは、特定された脆弱性をターゲットとしています。ソフトウェアと OS の欠陥を迅速に特定して修正する、徹底的なパッチ適用プロセスを確保します。 - 最小特権ポリシーを適用する
最小権限( BeyondTrust サイト 英語 )では、ユーザーが必要以上のアクセス権を持たないように、ジョブロールに基づいてアプリケーションおよびデータのアクセス権限を割り当てる必要があります。これには、管理者権限の削除も含まれます。ほとんどのランサムウェア (マクロベースのランサムウェアや、WannaCry などの他の形式ではないとしても) を起動するには管理者権限が必要です。 - 脆弱性スキャンとパッチ管理を使用する
IT エコシステムを定期的にスキャンして潜在的な脆弱性を探し、問題があれば修正するための堅牢な脆弱性管理プロセスを確立します。 - より厳格なアプリケーション制御を適用する
IT セキュリティ チームによって精査および承認されない限り、アプリケーションのインストールまたは使用を禁止します。 - 信頼できるアプリケーションを悪用から保護する
Trusted Application Protection は、単純なアプリケーション制御を超えたセキュリティ機能です。これには、プロセス ツリーにコンテキストを追加し、PowerShell や Wscript などの一般的な攻撃チェーン ツールの制限を許可することが含まれます。これらは、ブラウザーやドキュメント ハンドラーなどの一般的に使用されるアプリケーションから生成されます。 - ネットワークセグメンテーションの適用
ネットワークのセグメンテーションは、ネットワーク全体に飛びつくのではなく、感染を封じ込めることができるような方法でリソースを分割します。これは、危険なサーバー側のランサムウェア攻撃を防止および隔離する場合に特に役立ちます。 - 定期的にバックアップを作成する
ランサムウェア感染の影響を受けた場合は、アプリケーションとデータを回復する必要があります。ライブ ミラーリング、定期バックアップ、ハード ドライブ イメージング、増分バックアップを組み合わせた堅牢なデータ バックアップ プロセスを導入します。 - 災害復旧プロセスを用意する
影響を受けた場合は、全員が何をする必要があるかを理解することが重要です。ランサムウェア攻撃の特定と解決、マシンの再インストール、データの回復のための実用的な災害復旧プロセスを開発します。
サイバー保険に対するランサムウェアの影響
サイバー保険 (サイバー賠償責任保険またはデータ侵害保険とも呼ばれます) は、データ侵害、ダウンタイム、ランサムウェア攻撃などの事象に対する保険を提供します。ランサムウェア攻撃が発生した場合、サイバー保険は損害を相殺するように設計されています。実際の内容と補償範囲は保険会社によって異なります。
ここ数年、ランサムウェア攻撃が多発し、サイバー保険のマーケティングが混乱しています。2021 年、サイバー保険料は過去最高値に跳ね上がりました。多数のランサムウェア攻撃と支払額の高騰により、一部のサイバー保険会社は完全に廃業に追い込まれました。
Council of Insurance Agents & Brokers によると、2021 年第 3 四半期のサイバー保険の平均保険料は 27.6% 増加しました。これは、前四半期の 25% の増加に加えてです。その結果、証券会社や引受会社は、補償の対象となるために保険契約者に対し、より厳格なサイバーセキュリティ体制を要求しています( BeyondTrust サイト 英語 )。保険会社が潜在的および既存の保険契約者に対して厳しい審査を課しているため、現在、多くの組織がサイバー保険の資格を得るのに苦労しています。
ランサムウェアの攻撃を受けた場合の対処法
ランサムウェア攻撃の被害者になるリスクは、組織が予防のベスト プラクティスをどの程度遵守しているかによって異なります。残念なことに、脅威アクターは、最先端の防御手段さえも克服するために攻撃戦略を継続的に適応させています。最悪の事態が発生し、組織がランサムウェア攻撃にさらされた場合は、次のように対処してください。
- 災害復旧プログラムを実施する
ランサムウェアのさらなる拡散を制限し、災害復旧プロセスを開始します。 - マシンを消去して再インストールする
影響を受けたマシンを閉じてワイプし、OS とアプリケーションを再インストールします。 - 侵害されていないデータを回復する
最後に確認された「良好な」データ セットのバックアップ データを使用します。 - 「教訓」アプローチを適用する
こうした問題の再発を防ぐために、セキュリティ手順とスタッフのトレーニングを見直してください。 - 将来に備えてセキュリティのギャップを特定する
新しい組織ポリシーを策定し、新しいソリューションを展開して組織のサイバー防御を強化するための措置を講じます。
関連資料
