デモをリクエストする
お問い合わせ

ランサムウェア
icon-ransomware-with-background-3

目次

ランサムウェアとは?

その名前が示すように、ランサムウェアは、身代金が支払われるまでユーザーの資産にアクセスできないようにブロックするマルウェアの一種です。その資産はファイル1つ程度の小規模な場合もありますが、ランサムウェアがユーザーのシステム全体を完全に暗号化してアクセスをブロックする場合もあります。ランサムウェア攻撃では、機密性の高い大量のファイルが暗号化されることが多く、身代金を支払ってさらなる被害を避けるための強い動機を組織に与えてしまいます。

ENISA Threat Landscape 2023レポートによると、2022年から2023年にかけて最も報告の多かった脅威はランサムウェアであり、全世界のすべてのインシデントの30%以上を占めています。レポートによると、ランサムウェア攻撃は主要なあらゆる分野の企業を標的にしており、特に製造業、医療、行政、サービスが最も影響を受けていることが明らかになりました。報告された攻撃のほとんどは金銭を目的としたものでしたが、中には地政学的またはイデオロギー的な理由のものや、スパイ活動を促進するために発生したものもありました。

ランサムウェア攻撃は世界各地でターゲットにした被害者に影響を及ぼしますが、ENISAは、記録されたランサムウェア攻撃全体のほぼ半数が米国に集中していると報告しています。

米国に本部を置き、サイバー攻撃の世界的な分析を行っているインターネット犯罪苦情センター(IC3)は、2022年にランサムウェア攻撃があらゆる規模と産業の企業に影響を及ぼしたことを確認しています。

2022年にIC3に報告された損失額は3,430万ドル(USD)に達しました。この期間にIC3は、機密データを漏らすと脅したり、暗号化する前にデータを抜き出したりする(信頼できるバックアップシステムを時代遅れにする)など、被害者に身代金を支払わせるための恐喝が増加していることを観察しました。最も標的にされた産業には、医療と公衆衛生、重要な製造業、政府施設、情報技術産業などが含まれます。

ENISAとIC3の調査結果は、他の機関の調査結果と一致しています。IBMは、2023年「データ侵害のコストに関する調査」で、ランサムウェア攻撃が悪意のある攻撃全体の24%を占めていることを確認しました。また、2023年のランサムウェア攻撃の平均コストは合計513万ドル(USD)で、前年比(YoY)13%増加したことも明らかになりました。インシデントの解決のために法的措置を採らなかった組織では、ランサムウェア攻撃の損害額はさらに47万ドル(USD)増大しました。また、それらの組織は約10%高い身代金を支払ったほか、ランサムウェア侵害の特定と封じ込めのために遅延が33日間長引きました(平均306日間)。

ランサムウェア攻撃のコストは、ハッカーに身代金を支払うことだけではありません。ランサムウェアの犠牲者になることで生ずる最もコストがかかる側面として、ダウンタイム、データ損失、コンプライアンスの問題、顧客離れ、悪評、法的効果などがあります。

サービスとしてのランサムウェア(RaaS)の出現により、ランサムウェア攻撃との関連性が高まっています。サブスクリプションモデルを通じて、ハッカーは、ランサムウェアコードや復号化キーなど、攻撃を開始するために必要なものがすべて組み込まれたキットを受け取ります。RaaSは、スキルの低いハッカーでも組織のサイバーセキュリティに重大な脅威を与えられることを意味します。

ハッカーは脆弱な機関を悪用しようとするため、ランサムウェア攻撃がニュースで頻繁に取り上げられます。ランサムウェアの亜種は数多く存在しますが、被害者に壊滅的な打撃を与えることで有名なものがいくつかあり、以下にリストされています。
ransomware-icon

LockBit

近年、LockBitが主要なランサムウェアの脅威として浮上しています。2022年から2023年にかけて、このランサムウェアは、ENISAに報告されたすべてのインシデントのほぼ半数(46.78%)を占めました。サイバーセキュリティ・社会基盤安全保障庁(CISA)によると、LockBitは2022年に世界中で攻撃に使用された最も一般的なランサムウェアの亜種であり、2023年も引き続き頻繁に使われています。

LockBitは、あらゆる規模のあらゆる分野の組織に影響を及ぼします。このランサムウェアの亜種はRaaSモデルに従って機能し、ハッカーはRaaSオペレーターの脅威とインフラストラクチャを利用して個別の攻撃を実行します。LockBitを使用する攻撃者の多くは互いに連携していないため、彼らの戦術・技術・手順(TTP)は大きく異なります。

BlackCat (ALPHV)

「ALPHV」や「Noberus」としても知られるBlackCatは、2021年11月に初めて出現して以来、最も多くの攻撃をしかけているサイバーギャングの一つとなっています。ENISAによると、これは2022年から2023年の間に記録されたランサムウェアの亜種の中で2番目に多かったRaaSの脅威です。BlackCatは、さまざまな産業のあらゆる規模のビジネスを襲います。彼らは、高度な回避機能、セキュリティ、柔軟性を提供するプログラミング言語であるRustで書かれたランサムウェアコードを使用します。このランサムウェアグループは、三重恐喝も行います。機密データは暗号化の前に引き出され(二重恐喝)、攻撃者は身代金の要求が満たされない場合はサービス拒否(DDoS)攻撃を実行すると脅します(三重恐喝)。

BianLian

もう一つのランサムウェアグループであるBianLianは、2022年6月には重要なインフラ部門を標的にしていました。ENISAによると、彼らは2022年から2023年にかけて3番目に活発なランサムウェアグループであり、報告されたインシデントの約14%を占めました。CISAの報告によると、BianLianは、リモートデスクトッププロトコル(RDP)の認証情報を盗むか使用するかの方法で最初のアクセスを成功させ、横方向の移動と認証情報の収集にオープンソースツールを使い、機密データを引き出します。その後BianLianは、要求が満たされなかった場合はデータを漏洩すると脅迫します。ENISAの分析によると、BianLianは2022年から2023年の報告期間中、主に医療機関をターゲットにしていました。

CL0P

CL0Pは、TA505としても知られるロシア関連のランサムウェアギャングです。CISAによると、2019年初期に初めて出現したこのRaaSオペレーターは、世界最大のフィッシングおよびマルスパムのオペレーターであると考えられています。CL0Pは、米国に拠点を置く3,000以上の組織と世界中で8,000組織を侵害したと推定されています。最近では、このグループはマネージドファイル転送ソリューションであるMOVEit TranserのSQLインジェクションの脆弱性を悪用し、世界的な注目を集めました。CL0Pは被害者のシステムからデータを引き出し、データの流出を防ぐために身代金を支払うよう要求します。ENISAによると、このランサムウェアギャングは、2022年から2023年にかけて4番目に活発なランサムウェア集団であり、報告されたインシデントの約13%を占めました。

Royal

ランサムウェアグループRoyalは、2022年9月以来、世界中で350人以上の特定の被害者をターゲットにしており、ランサムウェアの要求額は2億7,500万ドル(USD)を超えています。Royalはフィッシングメール経由でアクセスすることが最も多く、報告されたインシデント全体の3分の2以上を占めています。ハッカーは侵入に成功すると、横方向に移動してデータを引き出し、被害者を恐喝することに集中します。グループの身代金要求が満たされなかった場合、彼らは機密データを漏洩サイトに公開します。Royalは2022年から2023年にかけて5番目に活発なランサムウェア集団であり、報告されたインシデントの約10%を占めました。

ランサムウェアの仕組み

洗練されたマルウェアは、検出した環境に応じてその行動を変化させ、休止状態になったり、コードを変更したり、さらには新しい構造に変化したりします。

ランサムウェアの一般的な配信方法は次のとおりです。

  • フィッシングメール。有名なブランドになりすまし、受信者を騙して悪意のあるリンクをクリックさせたり、マルウェアに感染した添付ファイルをダウンロードさせたりするメールのことです。
  • RDPブルートフォース攻撃。ハッカーはプログラムを使ってリモートデスクトッププロトコル(RDP)アカウントのパスワードを推測し、不正にアクセスします。
  • サーバーの脆弱性。攻撃者はサーバー環境の脆弱性や弱点を悪用して、脅威の展開や不正アクセスを行います。
  • エクスプロイトキット。悪意のあるツールスイートであるエクスプロイトキットは、アプリケーションやシステムの脆弱性を見つけて悪用します。
  • 侵害されたアカウント。攻撃者が認証情報の漏洩や窃取、またはその他の手段を使って直接アクセスできるアカウントのことです。

ランサムウェア攻撃にはさまざまな形式がありますが、脅威を配布する主な手段は依然としてメールです。そのため、たいていのメールセキュリティソリューションは、ランサムウェア攻撃に対する何らかの保護を提供しています。セキュアメールゲートウェイ(SEG)のようなテクノロジーは、レピュテーションベースのスキャンとフィンガープリンティングを使って悪意のあるメールを検出します。それに応じて、ハッカーは以下のような洗練されたフィルターバイパス技術を開発し、検出を逃れるようになりました。

  • コードの難読化。ファイルやマクロのコードを操作してコードを理解不可能なものにしたりコードの本来の目的を隠ぺいしたりします。
  • 余分な「ノイズ」。 どうでもよい不必要なコードをファイルやマクロに追加して既知の脅威の「Fingerprint」を改ざんしてフィルターを混乱させます。余分なノイズには、サンドボックスの空きスペースをいっぱいにする目的で数百万バイトの不要なデータが組み込まれていることがあります。
  • 環境的な意識。実行前に環境的なスキャンをする分析対策機能を作り出します。環境を認識するマルウェアは、サンドボックスを検出したり、分析中は休止状態を保ったりしながら、特定の環境でのみ実行されるように設計されています。

組織はランサムウェアをどのように防御したらよいのか?

ランサムウェア攻撃を防御するには、サイバーセキュリティへの包括的な取り組みが必要です。

1. 統合的なメールセキュリティソリューションを導入する。

ランサムウェア攻撃の主なベクトルから保護するためのベストプラクティスは、サードパーティの統合的なメールセキュリティソリューションを採用することです。SEGの代替となるこのソリューションは、内部環境のネイティブセキュリティ機能を強化し、内部関係者からの攻撃に対するセキュリティを提供します。最も重要なことは、これらのソリューションがメールの動作分析を実行して、フィンガープリンティングソリューションが見逃してしまう動的な未知の脅威から保護できることです。

最適な保護を実現するために、高度なAIアルゴリズムとグローバルネットワークからのリアルタイムインテリジェンスを組み合わせて活用するソリューションを優先的に選びましょう。同時に、単一の統合ダッシュボードを使ってインシデント対応と脅威インテリジェンス活動に重点を置くソリューションを探しましょう。これには、テナント間の自動修復、他のサイバーセキュリティツールとの統合、ファイルの安全なダウンロードと検査などが含まれます。

2. フィッシング認識トレーニングを提供する。

フィッシングは、ランサムウェア攻撃を実行するために使われる最も一般的な戦術です。このことから、メールの脅威を修復するために、効率よくそれらを特定して報告する方法をユーザーに教えるフィッシング認識トレーニングの重要性が分かります。

トレーニングの効果を最大限に高めるために、シミュレーションベースの指導を提供し、ユーザーが必要とするときにいつでも自動的にトレーニングを実施し、各ユーザーの固有の役割と状況に合わせて指導をパーソナライズするトレーニングプログラムを探しましょう。これらの機能を優先すると、最も関連性の高いトレーニングがユーザーに提供され、人間が介入することなくオンデマンドでトレーニングを実行できるようになります。

3. セキュリティにRemote Browser Isolation(RBI)を重ねる。

Remote Browser Isolation(RBI)ソリューションは、インターネットブラウジング、特にモバイルデバイスに対して拡張されたランサムウェア保護を提供します。ユーザーがメールリンクをクリックしたりタップしたりすると、RBIはローカルデバイスから完全に分離され、リモートサーバ上でホストされる安全なコンテナを起動します。ユーザーが悪意のあるサイトに移動した場合でも、侵害からユーザーを保護します。

モバイルデバイスの使用上の脆弱性を考慮すると、RBIは特に重要です。Statistaによると、ユーザーはメールの約43%をモバイルデバイスでチェックしています。その一方で、VerizonのMobile Security Index 2022の調査で、ほぼ2社に1社の組織が2021年にモバイルデバイス関連の侵害を経験していたことがわかりました。それらの組織の73%がそのインシデントは重大なものであったと述べています。

4. 脆弱性管理(VM)システムを採用する。

脆弱性管理(VM)ソリューションは、ハッカーが悪用できる既存の欠陥や潜在的な欠陥がないかITインフラストラクチャを評価するのに役立ちます。VMシステムは、継続的な脆弱性スキャン、優先順位付け、修復、検証、レポート機能を提供します。VMソリューションは、セキュリティ体制の弱点を特定し、効率的かつ効果的に対処するために重要です。

5. ソフトウェアとオペレーティングシステムを定期的に更新する。

ソフトウェアとシステムを定期的に更新して、既知の脆弱性や潜在的な脆弱性を修正しましょう。そうすることで、ITインフラストラクチャのセキュリティ問題を修正する最新のパッチを利用できるようになります。

6. ウイルス対策ソフトウェアを採用する。

ウイルス対策ソフトウェアは、既知のランサムウェアの脅威からエンドポイントを保護します。このソリューションは、ローカルデバイス、ネットワーク、アプリケーションをスキャンして、既知のマルウェアシグネチャを持つ脅威を検出します。限定的な保護を提供する一方で、CISAのような組織は、ウイルス対策ソリューションを採用し、マルウェア定義を最新の状態に保つことを推奨しています

7. ファイアウォールを使う。

ファイアウォールは、事前に決定されたルールに基づいてネットワークトラフィックをスキャンして制御し、ランサムウェアの脅威がユーザーに到達するのを阻止します。従来のファイアウォールには重大な限界がありましたが、次世代ファイアウォール(NGFW)の出現により、高度なランサムウェアの脅威に対して効果的なセキュリティを提供できるようになりました。これには、ディープパケットインスペクション(DPI)、不正侵入防止システム(IPS)などが含まれます。
img03_m365

Vadeのランサムウェア対策

Vadeのサイバーセキュリティソリューションは、今日の最も動的かつ高度なランサムウェア攻撃から保護します。当社の統合的なメールセキュリティソリューションは、既知か未知かにかかわらず、最先端のランサムウェアの亜種をキャッチして無力化するなど、高度な脅威の検出と対応機能を提供します。さらに、Vade Remote Browser Isolation(RBI)は、あらゆるデバイス上でメールボックスからブラウザまで堅固な保護を提供します。Vade RBIを使えば、ユーザーはメールリンクからWebページを安全に閲覧できるようになり、侵害のリスクはありません。Vade Threat Coach™は、ユーザーがフィッシングの脅威に遭遇した場合に、指導をユーザーに合わせてカスタマイズして管理する自動フィッシング認識トレーニングもユーザーに提供します。

Vadeを選ぶ準備はできていますか?