ますます高まるランサムウェア攻撃のリスク

ここ数年、ランサムウェアの被害が世界中で相次いでおり、その被害額は年々増える傾向にあります。とある調査によれば、2020年における世界のランサムウェアの被害額は1件当たり平均1600万円にも上り、合計では明らかになっているものだけでも2兆円に達したと言われています。

日本においてもランサムウェアの被害は年々深刻化しており、IPA(情報処理推進機構)が2021年3月に発表した「情報セキュリティ10大脅威 2021」では、組織向けの脅威としてランサムウェアがトップにランキングされました。実際に某大手自動車メーカーや某ソフトウェアメーカーが大規模なランサムウェア攻撃を受け、甚大な被害を被ったという報道がなされたのは記憶に新しいところです。

その手口自体も、かつてのようにファイルを暗号化して人質に取り「復号してほしければ身代金を支払え」と脅すだけに留まらず、近年ではファイルを暗号化する前に特に重要だと思われるファイルを窃取し、その漏えいや売却もちらつかせながら金銭を脅し取ろうとする「二重脅迫」の手口が主流になってきました。また攻撃側の体制も、ランサムウェア攻撃をクラウドサービスとして提供する「RaaS(Ransomware as a Service)」を通じて分業化やコモディティ化が進んでいると見られ、今後もますます攻撃の質・量ともに高まっていくことが予想されています。

こうしたランサムウェア攻撃の脅威から組織の貴重な情報資産を守るためには、現時点では以下のような対策を行うのが望ましいとされています。

・データ・システムのバックアップを実施する
・不審な添付ファイルを開封しないことを周知徹底する
・ウイルス対策ソフトを導入、常に最新の状態に
・最先端のエンドポイント保護プラットフォーム(EPP)を導入する

ランサムウェア攻撃に備えるための5つのポイント

加えて、最新のランサムウェア攻撃へ備えるためには、以下の5つのポイントに留意しておくことが大切だと言われています。

  1. 攻撃ストーリー全体を把握
     先に紹介したような二重脅迫の手口では、ファイルを暗号化する前に重要データを抜き取って脅迫の材料に用います。そのためファイルの暗号化を阻止するだけでは、被害を100%食い止めることはできません。そうではなく、侵入から水平展開、情報窃取、暗号化、脅迫に至るまでの一連の攻撃ストーリーの全体像を把握した上で対処を行うことが重要になってきます。
  2. テレワーク端末がターゲットに
     コロナ禍に伴うテレワークの急速な普及を逆手に取り、RDP(リモートデスクトッププロトコル)の悪用や不正ログインを用いた侵入・感染が急増しています。こうしたテレワーク特有のリスクに十分考慮した対策を行うことが大切です。
  3. 従来の対策の限界を知る
     短期間の内に次々と新種や亜種のランサムウェアが開発されているため、従来のようなパターンマッチング型のセキュリティ対策ではどうしても後手に回ってしまいます。攻撃手口自体も年々高度化・巧妙化しているため、社員に注意を喚起するだけではとても感染を食い止めることはできません。つまり技術的対策と人的対策の両面において、従来型の対策は限界があることを知っておく必要があります。
  4. エンドポイント防御に不可欠な機能とは
     では、具体的にどのような対策が最新型のランサムウェアに対して有効なのでしょうか。1つは「次世代アンチウイルス(NGAV)」と呼ばれるエンドポイント防御ソリューションです。従来のような単純なパターンマッチング型のアンチウイルス機能だけでなく、複数の技術を組み合わせた多層防御によって未知の脅威も含めたランサムウェア攻撃を効果的にブロックします。
  5. 侵入後対策に不可欠な機能とは
     NGAVとて決して万能ではありませんから、わずかながらもこれをすり抜けて内部に侵入してくる脅威も存在します。これらをいち早く検知して対処するためのソリューションが「EDR(Endpoint Detection and Response)」です。「複数端末にまたがる相関解析」「振る舞い分析」「リアルタイム検知」「攻撃の全体像を可視化」などの機能を備えることで、侵入後の事後対策に万全を期すことができます。

ランサムウェア対策に最適なサイバーリーズンの各種製品・サービス

ちなみに弊社が提供する各種セキュリティ製品・サービスは、これまで紹介してきたランサムウェア対策の観点から見ても極めて有効なソリューションであり、事実世界中で既に高い実績を上げています。例えば弊社の製品には「囮ファイル」を使ってデータが暗号化される前にランサムウェア攻撃を察知し、いち早く対処できる機能が備わっています。

また弊社が提供するNGAV製品「Cybereason NGAV」、「Cybereason Endpoint Prevention」は、「シグネチャベース検知」「機械学習による静的バイナリ解析」「ファイルレスマルウェアブロック」「アンチランサムウェア」「振る舞いベースのドキュメント保護」「エクスプロイト保護」という6層の防御機能を備えることで高度な攻撃を阻止できるようになっています。

さらには、これらの対策を潜り抜けて内部に侵入してきた高度な脅威に対しては、EDR製品「Cybereason EDR」が独自の相関解析処理と機械学習機能を駆使して攻撃の全体像をあぶり出し、適切に対処することを可能にします。加えて、自社内でEDRを運用するのが難しいお客さまに対しては、「CybereasonMDR(Managed Detection and Response)」と呼ばれる監視代行のマネージドサービスも提供しています。

これらの製品・サービスをうまく活用するとともに、基本的な対策も怠らずにしっかり講じておくことで、最新型のランサムウェアのリスクを極小化できるはずです。なお弊社ではこれらの対策の詳細について「ランサムウェア対策ガイド ~二重脅迫型など進化するランサムウェアから情報資産を守るために~」と題したドキュメントにまとめています。以下のサイトから無料でダウンロードできますので、興味をお持ちの方はぜひご一読ください。

ランサムウェア対策ガイド~二重脅迫型など進化するランサムウェアから情報資産を守るために~

近年、世界中で深刻な問題となっているランサムウェア。

このガイドは、日本における深刻な問題やランサムウェアの歴史を踏まえ、最新のランサムウェア攻撃にはどのような特徴や脅威があるのかについて解説するとともに、巧妙化するランサムウェアに対し私たちはどのような対策を講じれば良いのか。最新のランサムウェア攻撃への5つの対策ポイントをご紹介します。
https://www.cybereason.co.jp/product-documents/white-paper/6525/