ランサムウェアの攻撃からどのように回復するか?

2021年から2022年にかけて、ランサムウェアは大きなニューストピックとなりました。重要な企業や組織、政府機関が攻撃されたという話を聞いたり、個人的に自分のデバイスがランサムウェアの攻撃を受けたりした人もいるかもしれません。 ある調査によると2021年1月から2月にかけて行われた調査によると、ランサムウェア攻撃は、世界中の企業の約37%に影響を与えました。

お金を払うまですべてのファイルやデータを人質に取られるというのは、深刻な問題であり、恐ろしいことです。本日は、ランサムウェア攻撃の餌食になってしまった場合の復旧方法について説明します。  

ランサムウェア。概要、定義、および例

ランサムウェアとは、コンピュータやファイルをロックし、その解除のために身代金を要求する悪意のあるソフトウェアのことです。ランサムウェアは、フィッシングメール、偽の広告、または信頼できないウェブサイトからダウンロードしたソフトウェアを通じてインストールされることがあります。インストールされると、ランサムウェアはすべてのファイルを暗号化し、使用できないようにすることがあります。

ランサムウェアは、他のウイルスやマルウェアとは異なり、データを盗んだり、ダークウェブで販売したりすることには興味がありません。ランサムウェアは、被害者の情報を人質にして、その解放と引き換えに希望する支払いを受け取るまで、被害者から金銭を強要するためだけに存在します。

最新のランサムウェアの攻撃例。Kaseya - 2021年7月

2021年7月、Kaseyaは最近の記憶では最も重大なランサムウェアの襲撃を受けました。Kaseyaの製品を利用している約50のマネージドサービスプロバイダーに感染することで、IT企業に対する攻撃は1,500の組織へと広がりました。

Kaseyaは、悪名高いREvilグループの7000万ドルの修復要求の支払いを拒みました。サードパーティのセキュリティ企業が普遍的な復号化キーを作成して攻撃を阻止したものの、その規模の大きさから国土安全保障省が関心を寄せていたのです。それから2週間も経たないうちに、サイバーセキュリティとインフラセキュリティ庁(CISA)がランサムウェアの規則を発表した。

ランサムウェアの攻撃を防ぐ方法

ランサムウェアの攻撃を回避するには?

まず、ランサムウェアから身を守ることが第一の目標です。ここでは、ランサムウェアの攻撃を回避するために役立つと思われる方法をいくつか紹介します。

  • 安全なバックアップソリューションです。
  • ウイルス対策ソフトを常に最新のウイルス定義に更新しておく。
  • マネージド・サービス・プロバイダー(MSP)を利用して、システムとデータを確実にコントロールする。
  • ITスタッフにセキュリティのベストプラクティスを教育し、最新の脅威とその回避方法を周知徹底させる。
  • 攻撃のライフサイクルのすべての段階(予防、検出、ブロック)でマルウェア感染を防ぐために、安全なWebゲートウェイ、メールセキュリティソリューション、その他のエンドポイント保護ソフトウェアへの投資を検討する。
  • 以下のようなメール認証方式を利用する DMARC.

DMARCはどのように役立つのか?

DMARCとは、Domain-based Message Authentication, Reporting, and Conformanceの略で、ドメインベースのメッセージ認証、報告、適合性のことです。ドメインアライメントにより、なりすましを検知・防止するためのものです。

DMARCは、SPFとDKIMの認証規格を利用して、悪意のあるIPアドレス、偽造、ドメインのなりすましを検出します。

DMARCを使用している場合、メールが認証に失敗すると(送信者以外が送信したように見えるため)、スパムと分類され、受信箱に届く前に削除されます。 

メール送信時に、DMARCを強制的に設定した場合 DMARCポリシーモード(p=reject/quarantine)を設定している場合、これに違反したメールは拒否されるか、スパムとして指定され、受信者がランサムウェアの被害に遭う可能性を減らすことができます。

これにより、企業の評判、機密データ、資金を保護することができます。

ランサムウェアの攻撃から回復するには?

この混乱から抜け出すには、ランサムウェアの攻撃から回復する方法を知っておく必要があります。手っ取り早い戦略を見てみましょう。

ステップ1:パニックにならない

ランサムウェアに攻撃されても慌てる必要はありません。ランサムウェアの被害は甚大ですが、攻撃から回復することは必ずしも不可能ではありません。ファイルがバックアップされており、法的な問題がない場合(たとえば、海賊版のソフトウェアを使用していない場合)には、復旧への道はかなり単純なものになるかもしれません。

ステップ2:身代金を支払わない

支払う必要はありません。これにはいくつかの要因があります。

  • ただ、相手が犯罪者であることは念頭に置いてください。身代金を支払っても必ずデータが戻ってくるとは限りません。
  • 攻撃者の手法が有効であることを示すことで、攻撃者は他の企業を標的にするようになり、その企業があなたに続いて賠償を行うという悪循環に陥ってしまうのです。
  • 身代金が支払われると、攻撃への対処に2倍のコストがかかる。たとえデータを取り戻せたとしても、サーバーに感染が残っているため、包括的なクリーニングが必要になる。身代金に加え、ダウンタイム、スタッフの時間、デバイスの費用などの支払いも発生します。

ステップ3: バックアップからファイルを復元する

災害時に備えて定期的にデータのバックアップをオフサイトに保存しておけば、攻撃後にデータを復元することができます。 

ステップ4:すべての着信接続を停止する

ランサムウェアは、Internet Explorerや他のブラウザの脆弱性を利用して、お客様のコンピューターにアクセスすることがよくあります。このような場合は、モデムのプラグを抜くか、デバイスのWi-Fiをオフにするなどして、すぐにインターネットから切り離してください。 

ステップ#5: セキュリティ対策の監査

まず、自社のセキュリティ対策について監査を行い、改善すべき点を確認するのがよいでしょう。目先の問題に対処するための変更は不可欠ですが、ネットワークの他の領域が脆弱であることを見過ごさないようにすることも重要です。 

ステップ6: パスワードをすべて変更する

これには、電子メールやソーシャルメディアのアカウントのパスワード、およびクレジットカード番号などの機密情報が保存されている可能性のある財務諸表など、この攻撃によって漏洩したあらゆるアカウントが含まれます。また、ランサムウェアに感染していない、インターネットに接続されているデバイスのパスワードも変更する必要があります。

ステップ6:専門家に依頼する

ランサムウェアに感染した場合は、この種のマルウェアの対処法を知っている専門家に依頼します。専門家は、何が起こったかを評価し、従業員をネットワークに戻す前に、さらに何かする必要があるかどうか(あるいは戻すべきかどうか)を判断する手助けをしてくれます。また、今後の攻撃から保護するための最善の方法を提案してくれることでしょう。

最後の言葉

ランサムウェアの攻撃は、いつかは経験する可能性があります。重要なのは、ランサムウェアの攻撃から回復する方法を知り、マルウェアがシステムから完全に除去されたときにデータを安全に復元できるようにすることです。

設定する DMARCアナライザーの設定ランサムウェアの脅威から身を守るには、今すぐDMARCアナライザーを設定することが第一歩です。PowerDMARCでは、メールユーザーが日々直面しがちな様々な攻撃からお客様を守るため、簡単かつ迅速にDMARC施行への移行を支援します。