ランサムウェアとは?
ランサムウェアはマルウェア(悪意あるソフトウェア)の一種です。組織に侵入したのちに、「コンピュータ上やネットワーク上のデータを公開するぞ」「アクセスをブロックするぞ」と脅迫を行います。デバイスまたはネットワーク上のデータを暗号化するか、被害者がデバイスに接続できないようにするのです。
ランサムウェアを使う攻撃者は代金、すなわち身代金と引き換えに復号化のキーや被害者のデバイスへのアクセス権を提供します。通常は、支払い期限があり、被害者が期限内に身代金を支払わなければ、攻撃者は暗号化したデータを削除するか、被害者のデータを公開すると脅してきます。
ランサムウェアは金融機関、政府機関、学校、病院、法律事務所など世界中のすべての業界に影響を与える問題です。ランサムウェアはローカルドライブを攻撃し、接続しているデバイスに広がり、ネットワーク全体とバックアップデータを一度に乗っ取ります。身代金を払わずに復旧できることもありますが、被害者が対策をしていない場合や標的型攻撃の場合は、時間もお金もかかる可能性があります。そして、攻撃者が機密データの公開を意図しているのであれば、システムバックアップはそれを止める有効な手段にはなりません。
ランサムウェア:拡大している問題
最初のランサムウェア攻撃は1989年でした。エイズ危機の頃、ある医師が患者を診断するためのアンケートが含まれているフロッピーディスクを配布しました。しかし、そのディスクに入っていたのは、いわゆるAIDS Trojanでした。それは医師たちのコンピュータにある機密情報を暗号化し、感染したシステムの復号化キーが欲しければ、パナマの住所に郵便で身代金を送るようにと脅迫してきました。
現代のランサムウェア攻撃ははるかに巧妙で、代償も大きくなっています。最近では、2021年7月2日に、ロシアのサイバー犯罪集団のREvilが1500人以上の被害者を感染させ、身代金を要求しました。この攻撃は、マイアミに拠点を置くKaseya社のベクトル信号解析ソフトウェアの脆弱性を狙ったものでした。ハッカーはブロックしたデータの復号化の代わりに、7000万ドルを要求しました。
この攻撃によって、スウェーデンのスーパーマーケットチェーンや、ニュージーランドの学校のいくつか、メリーランドの小さな町など、複数の業界が情報の復元に苦心しました。
REvilに聞き覚えがある人もいるでしょう。なぜならこれが初めての攻撃ではないからです。2021年5月下旬に、世界最大の食肉加工会社であるJBS社から1100万ドルを奪ったのも彼らなのです。
REvilは単なる一例です。ランサムウェア攻撃は拡大している問題なのです。FBIが2020年に報告を受けたランサムウェア攻撃の件数は2019年より20%増の2500件で、総被害額は2021年に200億ドルに達すると予測されました(Cybersecurity Ventures)。
攻撃を受けた企業は、完全に復旧するまで、数週間から数か月かかる可能性があります。ランサムウェア攻撃の71%の被害者がデータをリストアできずにいます。そして、身代金を支払うことにしても、問題は解決できない場合があります。身代金を支払ったランサムウェアの被害者の50%が、一部のデータしか取り戻せていません。また、身代金を支払った13%の被害者は、ほぼすべてのデータを取り戻せていません。
ランサムウェアの種類
ランサムウェアを知ることが、自分を守る第一歩です。一般的に、暗号化型と画面ロック型の2種類のランサムウェアが知られています。
暗号型ランサムウェアは重要なファイルを暗号化し、被害者が身代金を支払うまで使えないようにします。攻撃者は通常、24~48時間の期限を指定してきます。
画面ロック型ランサムウェアは暗号化を使用しません。暗号化ではなく、被害者がデバイスを完全に使えないようにし、被害者のビジネスを停止に追い込みます。
ランサムウェアには変異型がいくつかあり、それぞれが異なる手法でファイルやデバイスを感染させます。例えば、Bad Rabbitは不正サイト上の偽のAdobe Flashアップデートを介して拡散します。Lockyは請求書だとするメールの悪意ある添付を被害者が開くと拡散します。
ランサムウェアの背後には誰がいて、目的は何か?
ランサムウェアを使う攻撃者のほとんどが金銭狙いです。政治的要素が絡んでいる場合もありますが、攻撃をしかける人物は第一に利益を得ようとしています。
つまり、攻撃者はデバイスやネットワークに重要なデータを所有している可能性のある被害者を探しているのです。顧客や従業員の口座情報や社会保障番号、その他の機密データが入っているデバイスは、ランサムウェアを拡散しようとするサイバー犯罪者にとって一番の標的です。
ランサムウェアウイルスでは、すべての業界が被害者になり得ますが、攻撃者の標的になる可能性が最も高いのは、インフラストラクチャ業界、医療機関、法執行機関、そして政府です。
ランサムウェア攻撃の回避
ランサムウェアは多くのビジネスリーダーにとって脅威ですが、主な攻撃から身を守るためにできることがあります。
- オペレーティングシステムとソフトウェアを常に最新の状態にしてください。最新の企業ネットワークは攻撃を受けにくくなっています。
- ウイルス対策ソフトウェアとホワイトリスト型ソフトウェアをインストールしてください。ホワイトリスト型ソフトウェアは不正なアプリの実行を予防し、ランサムウェアが起動するチャンスを得る前に、それを停止します。
- 知らないソフトウェアは、決してインストールせず、インターネットを安全に閲覧するように従業員をトレーニングしてください。安全でないサイトへのアクセスを禁止し、ソフトウェアをインストールするための管理者権限を従業員に与えないようにします。
- 安全なネットワークサーフィンに関するトレーニングをチームに対して実施し、覚えのない添付ファイルや、攻撃を受ける可能性があるメールを開かないように指導してください。たとえメールの送信者を知っていても、ランサムウェアが潜んでいる可能性があることを再認識させます。圧縮ファイルや普段と違うメッセージには注意が必要です。
- ランサムウェアの脅威に関する最新情報を確認し、偽のAdobe Flashアップデートではないか、フィッシングキャンペーンではないか、その他の詐欺ではないかなど、確認すべきポイントを把握してください。
- ファイルとデータベースをほぼゼロのRPOで自動バックアップしてください。バックアップは攻撃を防げませんが、攻撃からの復旧時間を大きく短縮するのに役立ちます。
データが被害を受けたら
昨今、情報の保存と転送の大半は、デジタル上で実施されます。かつてのように、オフィスで分厚いバインダーやファイルを保管する必要がなくなりました。今はボタンをタッチするだけで、ファイルにアクセスできます。しかし、デジタル上での記録に移行したビジネス界は、新たな問題に遭遇しました。
クライアントの機密事項や個人情報すべてを保存しているハードウェアが故障、紛失、または盗難されたらどうなるでしょうか? もしソフトウェアにバグがあり、事業にとって不可欠な記録の重要な一部が永久に消去されたらどうなるでしょう?
攻撃されたときの対処法
ランサムウェア攻撃を受けた場合に被害を軽減する方法はあります。ぜひ、すぐに行動してください。攻撃の最初の兆候が現れた地点で、デバイスを隔離し、感染したコンピュータがマルウェアを他に拡散しないようにする必要があります。ネットワークから切り離し、攻撃されたドライブを取り除きます。そして、疑わしい動きをしているデバイスが他にないか、組織のネットワークを調べます。データバックアップを保護するために、疑わしいデバイスも隔離します。
この時点でWiFiをオフにするのが良いでしょう。また、Bluetooth機能といったすべての無線接続も、ネットワーク全体で切断しましょう。可能であれば、ファイル全体の共有をロックします。そうすれば、暗号化プロセスを途中で止めることができます。
ランサムウェアの拡散をブロックしたら、被害の程度を把握しましょう。開かない、または見覚えのない名前の暗号化ファイルを探してください。そして、ネットワークストレージデバイス、外付けハードドライブ、ノートPC、スマートフォン、クラウドストレージなど、影響を受けたシステムをすべてリストにします。
それが終われば、感染源を見つけ出せます。最初に疑わしい動きをしていたデバイスかもしれませんし、ほかのシステムから入り込んだ可能性もあります。ランサムウェアの動きは素早いので、最初に感染したデバイスを見つけ出すのは至難の業であることを頭に入れておいてください。
始めに、ウイルス対策ソフトウェアからのアラートを確認します。そして、チームメンバーにインターネットでの行動を聞いてみましょう。最近、覚えのないメールを開かなかったか、よく分からないポップアップをクリックしなかったか確認します。影響を受けたデバイスを調べることもできます。普段より多くのファイルを開いているデバイスがあれば、それがおそらく感染第一号です。
感染源が分かれば、No More Ransomなどのサイトを使って、ランサムウェアの系統を特定できます。暗号化されたファイルの1つをスキャンするだけで、サイトがその型を特定してくれるはずです。無料の復号化キーが配布される場合もあります。
型が分かれば、そのランサムウェアの動きが正確に分かります。そうすると、ネットワーク上の全員に何を探すべきか伝えることができ、それ以上の感染を防げます。
最後に、地域の関係機関に攻撃を報告しましょう。政府機関は身代金を支払わないように注意喚起をしています。地域の警察に通報して、犯人を法的措置にかけられるように協力しましょう。警察と政府機関が攻撃者から復号化キーを受け取り、データの復元を助けてくれる場合もあります。企業を標的にする攻撃者は増加しているため、ランサムウェア拡散防止のため、警察に情報提供することが重要です。
その後、感染していない最新のクリーンなバックアップを使って復旧プロセスを開始します。幸運にも復号化キーが入手できれば、それを使ってファイルを復号化します。困ったことに、ランサムウェアの中にはバックアップを標的にして、使用不能にするものがあります。その場合は、運の尽きかもしれません。もしそうなら、前を向くしかありません。残念ながら、データはもうないのです。
ランサムウェア攻撃からの復旧
バックアップを安全に保ち、攻撃からの迅速な復旧を可能にするプログラムが存在します。
Rubrik Instant Ransomware Recoveryはそのうちの1つで、ビジネスの迅速な復旧を保証します。ほんの数回クリックするだけで、すぐに復旧できます。Rubrikの書き換え不可のバックアップがあれば、バックアップの100%保護と回復力が維持され、攻撃によりデータが失われることはありません。
また、RubrikのRadarはランサムウェアで感染したファイルをピンポイントですぐに特定します。そのため、復旧が加速化し、攻撃による被害の全体像を即座に分析できるようになります。Rubrikが提供するSonarも、ネットワーク上の個人識別情報(PII)の検知と追跡に役立ちます。
さらに、Rubrikはマルチクラウド環境全体でデータを保護することもできます。Rubrikのデータ保護サービスは書き換え不可のスナップショットに加え、保存中と伝送中の暗号化も実現します。たとえランサムウェア攻撃を受けても、これらのサービスが連携し、迅速な復旧を実行します。
よくある質問
考察
ランサムウェアは一般的かつ拡大している問題で、被害者が支払っている金額は毎年数百万ドルにもなります。それに対抗し、防ぐ手はありますが、実際のところ、問題が解決するわけではありません。サイバー犯罪は巧妙化しているため、攻撃も巧妙化することに疑いの余地はありません。つまり、データそのものにランサムウェア保護対策を行う必要があるのです。
データ管理と保護の分野でリードするRubrikであれば、データの安全性を確実に保つことが可能です。攻撃を受けた場合の復旧の加速化も保証できます。
どのような事業であれ、無防備なままでは危険です。ランサムウェアは代償が大きく、有害な影響を及ぼしかねません。上記のヒントを基に、データの安全性を保ってください。攻撃を受けた場合は、必ずすぐに警察に通報しましょう。