ランサムウェアは、情報システム担当者にとって最も深刻なセキュリティ脅威の一つです。ランサムウェア攻撃は、組織に重大な損害をもたらす可能性があり、それを防ぐためには正しい対策を講じなければいけません。本記事では、ランサムウェアに関する基本的な知識から最新のトレンド、対策戦略、および主要なツールについて詳しく解説します。
ランサムウェアに関する基礎知識と最新トレンド
ランサムウェアは、コンピュータやサーバに感染するとファイルやデータを暗号化し、その解除キーと引き換えに多額の身代金を要求してくる悪意のあるソフトウェアです。機密情報の流出やデータにアクセスできないことによる業務停滞、顧客からの信頼の低下などさまざまな被害をもたらします。
ランサムウェアの進化速度は極めて速いため、適切な対策を講じるためには、ランサムウェアのトレンドの把握が欠かせません。まずはランサムウェアの最新トレンドを見ていきましょう。
ランサムウェア攻撃は日々進化しており、新たな手法と攻撃ベクトルが登場しています。2023年時点でおさえておくべき主なトレンドは以下のとおりです。
1.二重脅迫
データを暗号化して使わせないように脅すだけでなく、機密情報を盗み出し公開すると脅すランサムウェアが増加しています。これにより、データの暗号化を解除するだけでなく、情報漏洩のリスクも発生するのです。
2.ダークウェブの活用
ダークウェブとは、一般的な検索エンジンで検索できない匿名性のある隠れたネットワークです。個人情報やサイバー攻撃のツールなど違法な商品サービスの売買プラットフォームとしても使われていることが知られています。特に、ランサムウェアの開発ツールや攻撃サービスの人気が高まっており、攻撃者は簡単に高度なランサムウェア攻撃ができるようになっています。
3.ソーシャルエンジニアリング
ソーシャルエンジニアリングとは、攻撃者が人間の心理を利用して、情報やアクセス権を不正に取得する試みです。サイバー攻撃の手法というよりも、人間を欺く手法と言えます。ランサムウェア攻撃は、従業員をターゲットにすることが多く、ソーシャルエンジニアリングの手法で悪質なリンクや添付ファイルを送りつけ、感染を拡大させています。また、ダークウェブで従業員や企業情報にアクセスし、信頼性の高いメールを送信する攻撃も増加しています。
ランサムウェアから組織を守るためには、基本的な対策を実施することが重要です。以下に、ランサムウェア対策の基本を紹介します。
パロアルトネットワークスの調査によれば、サイバー攻撃のきっかけとして2番目に多いのがソフトウェアの脆弱性(31%)とのこと。ソフトウェアの脆弱性とは、攻撃者に対して悪用される可能性があるプログラムやシステムの弱点や欠陥のことです。
脆弱性が悪用されれば、コンピュータシステムやソフトウェアアプリケーションは攻撃に対してオープンであり、ランサムウェア攻撃やデータ漏洩、不正アクセス、悪意のあるコードの実行などのセキュリティ被害が生じる可能性が高まります。定期的なソフトウェアのアップデートとパッチ適用は、脆弱性を除去し、攻撃を防ぐのに役立ちます。
ランサムウェアで身代金を支払っても、データ復元に失敗するケースは多いです。Veeam Softwareの調査レポートによれば、ランサムウェア被害企業の76%が身代金を支払い、そのうち31%の企業がデータ復元に失敗しているとのこと。
重要データのバックアップを定期的に作成することで、ランサムウェアに感染しても、身代金を支払うことなく、迅速に業務の再開ができるでしょう。
しかし、攻撃者はバックアップを見据えて、バックアップ先のデータも暗号化します。そのため、複数の異なるプロバイダーやクラウドサービスにデータのバックアップを分散させ、分散先の1つはオフラインで保管するようにしましょう。
先にご紹介したパロアルトネットワークスの調査で判明した、サイバー攻撃のきっかけとして最も多いのがフィッシング攻撃で37%でした。フィッシング攻撃とは、悪意のある第三者が被害者に偽の身分や信頼性を装って情報を詐取しようとする詐欺的な行為です。
一般的に電子メールやウェブサイト、ソーシャルメディアなどを通じて行われ、攻撃者は被害者に偽の情報を提供し、個人情報やパスワード、機密情報などを盗もうとします。従業員がフィッシングメールに対し、警戒心を持たずにリンクをクリックしたり、添付ファイルを開いたりすると、攻撃者はランサムウェアをシステムに導入するのです。フィッシング詐欺経由のランサムウェア攻撃を防ぐためには、従業員教育を定期的に実施しましょう。具体的には、ランサムウェアの仕組みやフィッシング詐欺の典型的な特徴、不審なメールやリンクを識別する方法などを教育します。
基本的な対策だけでなく、高度なランサムウェア対策を実施することで、より高いレベルのセキュリティを確保できます。ここからは、高度なランサムウェア対策を見ていきましょう。
多要素認証は、不正アクセスを防ぐための効果的な手法です。ユーザーはパスワードと追加の認証手段(SMSコードやトークンなど)を提供する必要があり、セキュリティを向上させます。通常ランサムウェアは、不正アクセスされたアカウントを通して攻撃されます。多要素認証を導入することで、攻撃者がユーザー名やパスワードを盗んだとしても、追加認証をする必要があるため、不正アクセスを防げる可能性が高まるのです。多要素認証は、さまざまなサイバー攻撃に有効な対策であるため、クラウドサービスなどで業務を進めている企業は導入を検討しましょう。
ネットワークセグメンテーションは、ネットワークを論理的なセグメントまたはセクションに分割するセキュリティ対策の手法です。各セグメントは独自のセキュリティポリシーを持ち、異なるトラフィックに対するアクセス制御が適用されます。セグメントは通常、以下のように分割されます。
● 内部ネットワーク:オフィス内の一般的な業務用ネットワーク
● ゲストネットワーク:来訪者やゲスト用のネットワーク
● データセンターネットワーク:サーバーやデータベースへのアクセスを制御するネットワーク
● DMZ(デミリタリーゾーン):パブリックインターネットとプライベートネットワークを分離するセグメント
アクセス制御は、特定のリソースやエリアへのアクセスを制御し、認可されたユーザーにのみ許可します。たとえば、パスワードや指紋などを利用した「認証」、ユーザーへのアクセスや操作権などを付与する「認可」などです。
ランサムウェアは急速にネットワーク内で拡散します。ネットワークセグメンテーションを導入すれば、ランサムウェアがセグメント内に留まるように制御し、感染が他の部分に広がるのを防げます。また、アクセス制御は各ユーザーの行動を制限する機能のため、ランサムウェアに感染しても、攻撃者が重要データにアクセスできる可能性が低くなります。
脅威インテリジェンスとは、セキュリティ対策において使用される情報のことを指します。悪意のある行為やサイバー攻撃、脆弱性、脅威アクターなどに関するさまざまなデータを収集・分析し、組織が最適なセキュリティ対策を実施するために用いられます。
脅威インテリジェンスは、新たに発見されたランサムウェアの種類や攻撃手法に関する情報を提供するため、企業は新たな脅威に対して早期に備えられるようになるのです。また、ソフトウェアやシステムの脆弱性の検知、攻撃情報の共有による最新のランサムウェア対策などもできるようになります。
ダークウェブでは、サイバー犯罪者が情報やツールを取引しているため、ランサムウェア攻撃に関する情報が多く存在します。たとえば、ダークウェブ監視で自社の従業員情報が流出していることを確認できれば、フィッシング詐欺への対策を高められます。
ダークウェブ監視により自社の流出状況を把握することで、迅速な対策や被害の最小化、顧客への説明などが行えるようになるのです。
ランサムウェア攻撃を受けた場合、迅速かつ効果的な対応が不可欠です。以下に、ランサムウェア感染時の対応手順を紹介します。
大前提として、身代金の要求には応じないことを推奨します。その理由は、身代金を支払ってもデータが復旧されない可能性があれば、復旧してもダークウェブでデータの売買がされる可能性があるためです。
ランサムウェアに感染すると、不安や恐怖から身代金を支払いたくなります。しかし、まずは平常心を取り戻し、身代金の支払いが必ずしも有効な解決策ではないことを思い出しましょう。そして、感染デバイスに表示されるランサムノート(身代金の支払い方法などを記載したメッセージ)を撮影します。ランサムノートは、ランサムウェアの種類の特定や報告書の提出時などに役立ちます。その後、組織内の担当者や専門家、警察などに報告をしましょう。
ランサムウェアは感染を急速に拡散させる傾向があり、ネットワーク内の多くのデバイスやファイルを攻撃対象にします。感染の拡大を防ぐために、Wi-Fiの遮断やケーブルの取り外し、ネットワークの遮断などをしましょう
ランサムウェアの駆除をするために、種類の特定を行います。ランサムウェアの種類の特定は脅威インテリジェンスや専門家へ調査を依頼します。
また、オランダ警察やユーロポールの欧州サイバー犯罪センターなどが主導で運営するウェブサイト「No More Ransom」では、暗号化されたファイルとランサムノートをアップロードすることで、ランサムウェアの種類や解決策の有無の確認、復号ツールの利用が可能です。
ランサムウェアの種類を特定したら、ウイルス対策ソフトなどを活用し、ランサムウェアを取り除きましょう。
バックアップと復旧戦略があれば、感染データを迅速に回復できます。 定期的なデータバックアップを実施し、バックアップからデータを迅速に復元できるように準備しましょう。
攻撃の手法および使用されたマルウェアを詳細に分析しましょう。これにより、将来の攻撃を防ぐための改善策を立案できます。また、攻撃の起点や侵入経路を特定し、攻撃者がどのようにシステムに侵入したのかを理解することで、セキュリティポリシーを強化し、同様の攻撃を未然に防げるようになります。
ランサムウェア対策に効果的な主要なツールとテクノロジー
最後にランサムウェア対策に効果的なツールとテクノロジーをご紹介します。
エンドポイントセキュリティソフトウェアは、個々のデバイス(エンドポイント)を保護し、不正なアクセスや悪意のソフトウェアの検出を行います。
ウイルス対策ソフトウェア、ホストベースのファイアウォール、侵入検知システム(IDS)、侵入防御システム(IPS)などが該当します。
2.ファイアウォールとネットワークセキュリティツール
ファイアウォールは、ネットワーク上のトラフィックを監視および制御をし、許可されていないアクセスをブロックするネットワークセキュリティツールです。トラフィックの選別やアクセス制御、ネットワークセグメンテーションなどの機能を搭載しています。
ネットワークセキュリティツールは、ネットワーク内のセキュリティを向上させるための多くのソフトウェアおよびハードウェアベースのアプリケーションです。侵入検知システムやアンチウイルスソフトウェア、仮想プライベートネットワークなどが該当します。
脅威インテリジェンスプラットフォームは、最新の脅威情報を収集し、分析するためのツールです。これにより、組織は新たなランサムウェア攻撃の兆候を迅速に把握し、対策を講じることができます。
4.セキュリティ情報イベント管理(SIEM)ツール
SIEMツールは、セキュリティイベントとログデータを集約し、分析するために使用されます。異常なアクティビティを検出し、セキュリティインシデントを特定するのに役立ちます。
ダークウェブ監視ツールは、組織や従業員の情報がダークウェブ上に流出していないか監視するためのツールです。専用ソフトウェアを使えば、だれでもダークウェブにアクセスできますが、常にサイバー攻撃や犯罪に巻き込まれるリスクがつきまといます。そのため、サイバー対策の専門家や専用ツールを活用し、安全に監視をするのがお勧めです。
本記事では、ランサムウェアの基本的な対策から高度なセキュリティ戦略までを解説しました。
ランサムウェアの感染リスクを減らすためにも、企業は定期的な従業員教育と最新のセキュリティテクノロジーを組み合わせて対策するべきです。
また、ランサムウェアをはじめとしたサイバーセキュリティは、一過性の取り組みではなく、継続的に行う必要があることを覚えておきましょう。
ダークウェブを定期的に監視すれば、迅速に従業員情報や機密情報の流出状況を把握し、適切な対策を講じられるようになります。
まずは下記フォームより、ダークウェブ監視ツールの無料トライアルへとお申し込みいただき、迅速な対応を講じていただければ幸いです。
無料アカウントを登録して試してみましょう!
ステルスモールは申し込み後すぐに試用が可能です。