ランサムウェアとは何か、どのような影響があるのか、自問したことはありますか?ランサムウェアの目的は、悪意のあるソフトウェアを使用してお客様の重要なファイルを暗号化することです。そして、犯罪者は復号キーと引き換えに支払いを要求し、ファイルを復元するための手順を提供する前に、身代金を支払ったことを証明するように要求します。これは、愛する人を解放するために誘拐犯に金を払うのと同じことです。
"2022年上半期に世界で発生したランサムウェアの攻撃は2億3610万件。2021年第2四半期から第4四半期にかけては1億3300万件の攻撃で、約1億8900万件から激減しています。" ~Statista
ランサムウェア(身代金要求型ウイルス)が話題になっています。しかし、ランサムウェアとは一体何なのか、どのように動作するのか、そしてどのように防御すればよいのでしょうか。
ランサムウェアの仕組み
ランサムウェアは通常、スパムメールの添付ファイルとして、あるいは被害者のコンピュータのソフトウェアの脆弱性を突いてインストールされます。
感染経路は、ユーザーがインターネットからダウンロードしたファイルに隠されていたり、攻撃者が手動でインストールしたもので、市販の製品に同梱されているソフトウェアを経由していることが多いようです。
インストールされると、トリガー条件(インターネットへの接続など)を待ってシステムをロックし、その解除のために身代金を要求します。身代金は、暗号通貨またはクレジットカードのいずれかを使用して支払うことができます。
ランサムウェアの種類
"2021年現在、ランサムウェアの平均侵入コストは、身代金を含まず462万ドル。"~IBM
ここでは、一般的なタイプを紹介します。
ワナクライ
2017年には、WannaCryと呼ばれるランサムウェアの攻撃が150カ国以上に影響を与えました。Windowsマシンに感染すると、WannaCryはユーザーファイルを暗号化し、そのロックを解除するためにビットコインの身代金を要求します。
ロッキー
Lockyは最も古い形態のランサムウェアの1つで、最初に発見されたのは 2016年2月.その マルウェア は、ファイルを急速に暗号化し、請求書やその他のビジネス文書に見える添付ファイルを持つフィッシングメールを介して広がります。
迷路
Mazeは、最初に発見された新しいランサムウェアで 2019年5月.暗号化されたファイル名の末尾が locky ではなく .maze であることを除いて、Locky と同様に動作します。スパムメールもMazeを拡散しますが、添付ファイルを開くことでコンピュータに感染します。
NotPetya
初期の報告によると、NotPetyaはPetyaのランサムウェアのバリエーションで、当初発見された株は 2016.さて、NotPetyaはワイパーと呼ばれるタイプのマルウェアで、身代金を要求する代わりにデータを破壊するものです。
スケアウェア
スケアウェアは、ウイルスなど、コンピュータで発見した問題を解決するために支払いを要求する偽のソフトウェアです。スケアウェアの中には、コンピュータをロックするものもありますが、ファイルに損害を与えることなく、ポップアップ通知で画面を飽和させるものもあります。
ドックスウェア
ドックスウェアやリークウェアに感染した結果、人々は警戒し、身代金を支払って機密情報がネット上に流出するのを防ごうとします。その亜種として、警察をテーマとしたランサムウェアがあります。刑務所に入るのを避けるために罰金を支払う場合があり、会社は法執行機関を装っています。
ピーティーエー
Petyaランサムウェアは、他のいくつかの亜種とは異なり、コンピュータ全体を暗号化します。Petyaは、マスターブートレコードを上書きし、オペレーティングシステムが起動できないようにします。
リューク
Ryukは、マルウェアをダウンロードしたり、フィッシングメールを送信することでコンピュータに感染します。ドロッパーを使用してトロイの木馬をインストールし、被害者のコンピュータに恒久的なネットワーク接続を確立するのです。APTは、キーロガー、権限昇格、横移動などのツールで作成されますが、これらはすべてRyukから始まります。攻撃者は、自分がアクセスできる他のすべてのシステムにRyukをインストールします。
ランサムウェアがビジネスに与える影響とは?
ランサムウェアは、現在最も急成長しているサイバー脅威の一つです。
ここでは、ランサムウェアがビジネスに与える影響について説明します。
- ランサムウェアは、お客様のデータを危険にさらし、その復旧や交換に高額な費用がかかる可能性があります。
- ランサムウェアの中には、ファイルが使用不能になるまでランダムな文字で上書きするものもあり、システムが修復不能なダメージを受ける可能性があります。
- ダウンタイムが発生し、生産性が低下することで、収益や顧客ロイヤリティが失われる可能性があります。
- ハッカーは、あなたの会社のデータを盗み、ブラックマーケットで売ったり、将来の攻撃で他の会社に対して使用したりする可能性があります。
ランサムウェアの攻撃からビジネスを守るには?
「セキュリティソフトを導入し、常に最新のセキュリティパッチを適用してください。多くのランサムウェアの攻撃は、セキュリティソフトウェアの対策が可能な以前のバージョンを採用しています。"~ベントレー大学教授 スティーブン・ワイズマン氏
ランサムウェアからビジネスを守るために、次のような対策をとることができます。
ネットワーク・セグメンテーション
ネットワーク・セグメンテーションとは、あるネットワークを別のネットワークから分離することです。ネットワークを分離することで、ビジネスとそのデータを保護することができます。
公衆Wi-Fi、従業員用デバイス、内部ネットワークトラフィック用に別々のセグメントを作成する必要があります。こうすれば、あるセグメントで攻撃が発生しても、他のセグメントに影響を与えることはありません。
AirGap バックアップ
AirGapバックアップは、完全にオフラインで、接続されているコンピュータからストレージデバイスを物理的に取り外さない限りアクセスすることができないタイプのバックアップです。このアイデアは、デバイス上のファイルにアクセスする方法がなければ、攻撃者がファイルにアクセスする方法もない、というものです。例えば、インターネット接続や他のデバイスからのアクセスを完全に遮断した外付けハードディスクを使用すると、この良い例が得られます。
ドメインベースのメッセージ認証、レポーティング、コンフォーマンス
ランサムウェアは、電子メールを介して配布されることが多くなっています。不正なメールには、ランサムウェアをコンピュータにインストールさせるためのフィッシングリンクが含まれています。これを防ぐために DMARCは、ランサムウェアに対する防御の第一線として機能します。
DMARCは、フィッシングメールがお客様に届くのを未然に防ぎます。これにより、電子メールを介して配布されるランサムウェアを根源から阻止することができます。詳しくは、以下のガイドをご覧ください。 DMARCとランサムウェア.
Least Privilege(ユーザー権限の信頼性ゼロ)。
最小権限とは、組織内の役割に必要な最小限の権限のみをユーザーに与えることを指します。新しい人を雇ったり、社内で役割を割り当てたりするときは、その人の特定の役割に必要な権限だけを与えることになります。つまり、その人が仕事を効率的かつ効果的に行うために必要な権限以上でも以下でもありません。
ネットワークを守る
ファイアウォールは、ネットワークの防御の第一線です。ネットワーク上の受信と送信のトラフィックを監視し、不要な接続をブロックします。ファイアウォールは、電子メールなど特定のアプリケーションのトラフィックを監視して、安全性を確認することもできます。
スタッフトレーニング&フィッシングテスト
フィッシング攻撃に関する従業員へのトレーニングは不可欠です。そうすることで、会社の大きな問題になる前に、フィッシングメールを特定することができます。また、フィッシング・テストを実施することで、正しい識別方法を知らないためにフィッシング攻撃を受けやすい従業員を特定することができます。
メンテナンスとアップデート
パソコンの定期的なメンテナンスは、マルウェアに感染するのを未然に防ぐのに役立ちます。また、すべてのソフトウェアを定期的にアップデートして、バグをできるだけ早く修正し、新しいセキュリティ機能を組み込んだソフトウェアのバージョンがリリースされるようにしましょう。
関連する読み物 ランサムウェアの攻撃から回復するには?
結論
ランサムウェアは間違いではありません。ランサムウェアは意図的な攻撃方法であり、悪意のある実装は、少し迷惑なものから完全に破壊的なものまで多岐にわたります。ランサムウェアの勢いが衰える気配はなく、その影響力は大きく、拡大しています。すべての企業や組織は、これに対する備えが必要です。
あなた自身とあなたのビジネスを安全にするために、セキュリティに気を配る必要があります。これらの脆弱性から安全を確保したいのであれば、PowerDMARCが提供するツールやガイドを利用しましょう。
