English -> Visit original BeyondTrust page
- ランサムウェアとは何ですか?
- ランサムウェアにはどのような分類がありますか?
- 攻撃者はランサムウェアのターゲットをどのように選択するのでしょうか?
- 最も一般的なランサムウェア攻撃方法は何ですか?
- 近年、ランサムウェア攻撃がより頻繁になっているのはなぜですか?
- 私の組織におけるランサムウェア攻撃の影響を軽減するにはどうすればよいですか?
- データを取り戻すために身代金を支払う必要がありますか?
- ランサムウェアはサイバー保険にどのような影響を与えますか?
- 私の組織がランサムウェアの被害に遭った場合、どうすればよいですか?
- Privileged Access Management (PAM) はランサムウェアからどのように保護しますか?
- 関連資料
ランサムウェアとは何ですか?
ランサムウェアは、コンピューター、サーバー、その他のデバイスを破壊する悪意のあるソフトウェアの一種です。ランサムウェア ソフトウェアは、インストール後、正規のデータやアプリケーションへのアクセスをブロックしたり、削除したり、侵害したりします。
人間が操作するランサムウェアとは、人間の脅威アクターが積極的なハッキング技術とマルウェアの展開を利用してランサムウェア攻撃を進める攻撃を指します。ほとんどのランサムウェアは、コンピュータの「ロックを解除」し、デバイスや関連データ、アプリケーションへの完全なアクセスを許可するために、支払い、つまり身代金を要求します。
ランサムウェアにはどのような分類がありますか?
暗号化マルウェアまたは暗号化ツール ーファイルとデバイスを暗号化することで、データとアプリケーションへのアクセスをブロックします。
ロッカー -コンピュータ ー システムへのアクセスを完全にブロックします。
スケアウェア -コンピューター上のウイルスなどの他のマルウェアを特定すると主張し、それらを削除するために金銭を要求します。
Doxware ーコンピュータから機密情報を盗み、オンラインで公開すると脅します。
人間が操作するランサムウェア ー「ハンズオン キーボード」とも呼ばれ、サイバー犯罪者が標的のインフラストラクチャを積極的に移動する場合に使用されます。
Ransomware-as a-Service (RaaS) ーますます一般的になっているランサムウェアのビジネス モデル。これは、攻撃者がランサムウェア サービス オペレーターに、既成のパッケージ化されたランサムウェア ツールキット/マルウェアを使用するためのサブスクリプション料金を支払う行為を指します。RaaS では、身代金の支払いはランサムウェア所有者とその関連会社の間で分配されます。アフィリエイトはランサムウェア ペイロードを実行するエンティティであり、所有者は RaaS マルウェアの提供者です。
攻撃者はランサムウェアのターゲットをどのように選択するのでしょうか?
ランサムウェアのオペレーターは通常、セキュリティで保護されていない開いているポートをスキャンして攻撃を開始します。インターネットに公開されたリモート デスクトップ プロトコル (RDP) エンドポイントは、ランサムウェアの最大の侵入ポイントとして脅威レポートに引用され続けています。
VPN などのリモート アクセス テクノロジは、攻撃者に組織のネットワークへの広範なアクセスを取得し、ランサムウェア ペイロードを配信するためのバックドアを提供します。
感染した添付ファイルや悪意のあるリンクを含むフィッシングメールなどのソーシャル エンジニアリング攻撃も、ランサムウェア攻撃の一般的なエントリ ポイントです。
最も一般的なランサムウェア攻撃方法は何ですか?
リモート デスクトップ プロトコル (RDP) - 近年、RDP は最も侵入される ポイント( BeyondTrust サイト 英語 )となっており、ランサムウェア オペレーターが環境内で足場を築くことができます。RDP を使用すると、ユーザー (つまりランサムウェア攻撃者) がネットワーク接続経由でコンピュータや仮想マシンをリモート制御できるようになります。
管理アクセス -ほとんどのランサムウェアは実行するために特権を必要とします。root アクセスまたは管理アクセスにより、マルウェアが組織全体に急速に拡散する可能性があります。
ソーシャル エンジニアリング -ユーザーは犯罪者から連絡を受け、自分のマシンにソフトウェアをインストールするよう説得されます。
電子メールの添付ファイル -ユーザーがマルウェアを含む電子メールの添付ファイルを開くと、マルウェアが自分のマシンにインストールされます。
マクロ - Microsoft Office やその他のアプリのマクロにより、ランサムウェアがインストールされる可能性があります。
ダウンロード -ダウンロードされた特定のソフトウェアには、ランサムウェアの「ペイロード」が隠されている可能性があります。
ネットワーク ドライブを介した拡散 -マッピングされたネットワーク ドライブにより、ランサムウェアが他のマシンに拡散する可能性があります。
マルウェアに感染した Web サイト -特定の Web サイトは、特にブラウザにパッチを適用していない場合、または適切なブラウザ セキュリティをオンにしていない場合、アクセス時にマルウェアをインストールする可能性があります。これには、ポップアップ オンライン広告が含まれます。
ファイルレス (環境寄生型) -ランサムウェアは、ファイルレス マルウェア技術を使用して、ネットワーク内を移動する際に隠れたままにすることがあります。
近年、ランサムウェア攻撃がより頻繁になっているのはなぜですか?
インフラストラクチャの拡張により、平均的な組織はこれまで以上に多くの脆弱性を抱えています。クラウド( BeyondTrust サイト 英語 ) 、マルチクラウド、リモート ワーク、BYOD (Bring Your Own Device)、その他のデジタル トランスフォーメーションの取り組みの利用拡大により、シャドー IT、人間とマシンの ID、および管理すべき権限の量が大幅に増加しました。
ランサムウェア攻撃者はすぐにそれを利用してきました。
概要:
- クラウドの脆弱性は過去 6 年間で540% 増加しました( I BM Security、2022 IBM Security X-Force Cloud Threat Landscape Report、2022 )。
- Azure と Dynamics 365 の脆弱性は、2022 年だけで 159% 近く増加しました(Microsoft Vulnerabilities Report. BeyondTrust , March 2023 )。
私の組織におけるランサムウェア攻撃の影響を軽減するにはどうすればよいですか?
ユーザー教育は、ランサムウェアに対する重要な最前線の防御です。ランサムウェアやマルウェア攻撃のほとんどは、ソーシャル エンジニアリングの要素を利用したり、マルウェアを実行するためにユーザーに何らかの不正行為 (悪意のあるリンクをクリックする、不正な添付ファイルのダウンロードなど) を要求したりします。
ランサムウェア オペレーターは、組織内に足場を築くために、RDP および VPN のセキュリティ上の欠陥を頻繁に使用します。ランサムウェアの被害を減らすには、RDP と VPN を置き換えるか、より優れたセキュリティ制御を使用することが不可欠です。
脆弱性がスキャンによって事前に特定され、パッチ適用などによって管理され、ソフトウェアとオペレーティング システムが確実に更新されるようにします。これにより、攻撃者がシステムの欠陥を悪用できる可能性が最小限に抑えられます。
アプリケーションおよびデータのアクセス権限に対する最小権限 ポリシーを適用を徹底します。これは、ほとんどのマルウェア攻撃がペイロードを起動するために必要な管理者権限を削除することも意味します。不必要な権限を削除すると、通常はランサムウェア攻撃チェーンの一部である横方向の移動や権限昇格の経路も制限されます。
効果的なアプリケーション制御と信頼できるアプリケーション保護機能により、正当で承認されたアプリケーションのみが実行または通信できるようにすると同時に、厄介なファイルレスの脅威からも保護できます。
最後に、定期的なバックアップと最新の包括的な災害復旧プロトコルを確保することで、組織全体への影響を最小限に抑えることができます。
データを取り戻すために身代金を支払う必要がありますか?
ランサムウェアの身代金を支払った組織のうち、データの 100% を受け取ったのはわずか約 14% だけです(ESG、ランサムウェアへの備えへの長い道のり、2022 年 3 月) 。それでも、ランサムウェア運営者は、盗んだデータを販売したり、そのアクセスを再度暗号化したりすることを選択する可能性があります。
最初のランサムウェア攻撃が成功した場合、または攻撃の根本原因 (パッチが適用されていない脆弱性、過剰な権限など) が依然として露出している場合、別のランサムウェア 攻撃者が被害者を再び悪用する可能性が高くなります。
ランサムウェアはサイバー保険にどのような影響を与えますか?
ここ数年、ランサムウェア攻撃が多発し、サイバー保険市場が混乱しています。その結果、証券会社や引受会社は、補償の対象となるために保険契約者に対し、より堅牢なサイバーセキュリティ体制を要求しています。 ( BeyondTrust サイト 英語 )保険会社が潜在的および既存の保険契約者に対して厳しい審査を課しているため、現在、多くの組織がサイバー保険の資格を得るのに苦労しています。
多くのサイバー保険会社の 2 つの基本要件には、ユーザーの管理者権限を削除することと、企業全体で最小特権の原則 (PoLP) を強制することが含まれます。これらの基本的な制御は、幅広い攻撃ベクトルに対するサイバー リスクを軽減するのに非常に効果的です。
リモートワークの増加とIT境界の拡大により、攻撃対象領域も増加しています。多くの脅威レポートでは、ランサムウェア 攻撃者がインターネットに公開されている RDP を悪用していることが示されています ( BeyondTrust サイト 英語 )。これにより、被害者の環境内に足場を築くことができ、成功した攻撃の約 50% で報告されています。サイバー保険会社は、多要素認証を含む強力なリモート アクセス セキュリティ制御を要求することで対応しています。
私の組織がランサムウェアの被害に遭った場合、どうすればよいですか?
ランサムウェア攻撃の被害者になるリスクは、組織が予防のベスト プラクティスをどの程度遵守しているかによって異なります。残念なことに、脅威アクターは、最先端の防御手段さえも克服するために攻撃戦略を継続的に適応させています。最悪の事態が発生し、組織がランサムウェア攻撃にさらされた場合は、次のように対処してください。
- 災害復旧プログラムを実施する
ランサムウェアのさらなる拡散を制限し、災害復旧プロセスを開始します。 - マシンを消去して再インストールする
影響を受けたマシンを閉じてワイプし、OS とアプリケーションを再インストールします。 - 侵害されていないデータを回復する
最後に確認された「良好な」データ セットのバックアップ データを使用します。 - 「教訓」アプローチを適用する
こうした問題の再発を防ぐために、セキュリティ手順とスタッフのトレーニングを見直してください。 - 将来に向けてより適切に備えるためにセキュリティのギャップを特定する
新しい組織ポリシーを策定し、新しいソリューションを展開して組織のサイバー防御を強化するための措置を講じます。
Privileged Access Management (PAM) はランサムウェアからどのように保護しますか?
事実上すべてのランサムウェアは、実行 (ファイルやドライバーのインストール、レジストリ キーへのアクセスなど)、データの暗号化、ラテラルムーブメント、拡散に特権を必要とします。BeyondTrust Privileged Access Management (PAM) は、特権、アプリケーション、およびリモート アクセス パスを制御し、ゼロトラスト セキュリティ原則を強制することにより、複数のポイントでこの攻撃チェーンを遮断します。
- PAM は基本的なセキュリティを提供します。
PAM ソリューションは、安全でないリモート アクセス経路や特権アクセスなど、最も一般的なランサムウェアやマルウェアの攻撃ベクトルから防御します。 - PAM はゼロトラストに必須です。
最小特権の原則の強制やゼロトラスト アーキテクチャの構築は、組織が特権アクセスと ID を最大限に制御できる場合にのみ可能です。BeyondTrust のような PAM ソリューションは、NIST が定義するゼロトラストの実現を目指す組織でよく使用されます。 - PAM は、サイバー保険会社の資格要件として必要です。
サイバーセキュリティ保険会社は、特権アクセス管理 (PAM) 制御があらゆる組織の基本的なセキュリティであり、多くのサイバー攻撃を完全に防止し、潜在的な侵害による被害を大幅に最小限に抑えることを認識しています。
関連資料
