- 2021/05/18
- ランサムウェア
ランサムウェア攻撃について知っておくべき5つのこと
Post by : Cybereason Security Team
デジタル脅威の状況は、全体的に絶えず変化しており、かつ進化を続けています。このことが、ランサムウェアのような特定の脅威の新たな開発を追跡することを難しくしています。しかし、心配はご無用です。サイバーリーズンが皆様の企業や組織を、そのような脅威からお守りします。
結局のところ、当社の仕事とは、ランサムウェアやその他の脅威に何が起こっているか、そしてそれがお客様の企業や組織にいかなる影響を与えるかを把握することです。この記事では、ランサムウェア攻撃の現状について誰もが知っておくべき5つのことをご紹介します。
ランサムウェアの発生件数は増加傾向にある
ランサムウェア攻撃の発生件数は、年々増加の一途をたどっています。たとえば、ZDNetが取り上げたレポートによると、2020年上半期のランサムウェア攻撃の発生件数は、前年上半期と比較して715%も増加しています。
これらの攻撃を調査する中で、研究者たちは、ある確立されたランサムウェアの系統が沈静化すると、新たな系統が生まれるのを目撃しました。この年の残りの期間も、ほぼ同じことが繰り返されました。実際、Help Net Security社は、2020年の1年間にランサムウェア攻撃が150%以上増加したと報告しています。
ランサムウェア攻撃に伴うコストが増大している
ランサムウェア攻撃に伴うコストも増加傾向にあります。Infosecurity Magazineによると、ランサムウェアの平均支払い額は、2019年の11万5123ドルから2020年には31万2493ドルへと増大しており、その増加率は171%にも達します。
しかし、その後数ヶ月の間に、セキュリティ業界はさらに高額な身代金要求を目撃しました。最近のREvilグループによるPCメーカーAcer社への要求額は5000万ドルであり、これは本稿執筆時点においける史上最高額の身代金要求です。
もちろん、ランサムウェア攻撃に伴うコストは、身代金の支払いだけではありません。たとえば、あるレポートによれば、マネージドサービスプロバイダー(MSP)のうち64%が、ランサムウェアの攻撃を受けた後、中小企業の顧客はビジネス生産性の中断を経験したと回答しています。そのうち半数近く(45%)がダウンタイムを報告しており、その平均コストは14万1,000ドルにも達しています。同コストは2019年にはわずか4万6,800ドルで、200%以上も高くなっています。
データのバックアップだけでは不十分
データバックアップの有用性は、二重恐喝への注目度が増すにつれて変化しています。二重恐喝に関する別のブログ記事で紹介したように、最近のランサムウェアの攻撃者は、暗号化ルーチンを開始する前に標的のデータを流出させる手法を採用するようになっています。これにより、ランサムウェアの攻撃者は、暗号化されたシステムを復号化したければ身代金を支払うよう被害者を脅迫するだけでなく、盗まれたデータをオンラインで公開されたくなければ身代金を支払うよう被害者を脅迫できるようになります。
二重恐喝は、攻撃者の視点から見ても有効です。バックアップがあれば、被害者は暗号化された情報を復元できる可能性がありますが、攻撃者が盗んだデータをネット上に流出させるのを防ぐことは、たとえバックアップがあったとしても不可能です。この手口は、被害者に身代金を支払うよう追加の圧力をかけるのに役立ちます。
身代金を払うことは最悪の行為である
被害者は、身代金の支払いを何としても避けたいと思っています。なぜなら、身代金を支払ったとしても、暗号化された情報を回復できるとは限らないからです。たとえば、最近の別のレポートによると、2020年にランサムウェアの被害者の半数以上(56%)が身代金を支払ったものの、そのうち17%は自らのデータへのアクセスを回復できなかったと報告されています。
これには2つの理由があります。そのいずれもが、攻撃者自身に起因する理由です。1つの理由として、攻撃者が、被害者のすべてのファイルを正常に復元できる復号化ツールを開発するスキルを持っていないことが考えられます(ProLockの場合がそうでした)。
もう1つの理由として、単に攻撃者が約束を守らないことが考えられます。今回のランサムウェアの報告では、5つの暗号化マルウェアグループが約束を守らないことが明らかになりました。身代金を受け取った後に被害者の情報を公開した者もいれば、後日、同じ情報に関して被害者を再び脅迫した者もいました。
被害者が身代金を支払う前によく考えなければならない理由はそれだけではありません。2020年の米国財務省による発表では、米国人がサイバー制裁リストに載っている国の攻撃者に身代金を送った場合、その人物は民事罰を受ける可能性があると述べられています。当然ながら、FBIはランサムウェア攻撃に対して身代金を支払うことを支持していません。
ランサムウェアに対する最善の防御は、ランサムウェアを防止すること
上記のことを考慮すると、企業や組織にとって最善のランサムウェア対策とは、ランサムウェア感染を防止することに集中することです。しかし、それを実現するために、企業や組織はIOC(Indicators of Compromise、痕跡情報)に頼ることはできません。結局のところ、新たなランサムウェアファミリーは数多く存在するため、ある組織への攻撃が別の組織への攻撃を防ぐのに役立つという保証はありません。
その代わりに、ランサムウェアの攻撃を初期段階で検知して防止するために、企業や組織は、より微妙なIOB(Indicators of Behavior、振る舞いの痕跡)に対する可視性を確保する必要があります。サイバーリーズンは、次に示すような多層的な防止、検知、および対応を通じて、大胆なランサムウェア対策を実現しています。
- アンチランサムウェア機能による防止とおとり技術:Cybereasonは、行動検知と独自のおとり技術を組み合わせることで、最も複雑なランサムウェアの脅威を表面化させ、クリティカルなデータが暗号化される前に攻撃を終了させます。
- インテリジェンスベースのアンチウイルス:Cybereasonは、過去に検知された攻撃に基づいて、絶えず増え続ける脅威インテリジェンスのプールを活用することで、既知のランサムウェアのバリアントをブロックします。
- NGAV:CybereasonのNGAVは、機械学習を利用してコード内の悪意あるコンポーネントを認識することで、未知のランサムウェアのバリアントを実行前にブロックします。
- ファイルレス型ランサムウェア対策:Cybereasonは、従来のアンチウイルスツールが見逃していた、ファイルレス型ランサムウェアやMBRベースのランサムウェアを利用した攻撃を阻止します。
- エンドポイントコントロール:Cybereasonは、セキュリティポリシーの管理、デバイス制御の維持、パーソナルファイアウォールの導入、広範な種類のデバイス(固定およびモバイル)においてディスク全体の暗号化を実施すること通じて、エンドポイントを攻撃から守ります。
- 行動に基づく文書保護(Behavioral Document Protection):Cybereasonは、悪意あるマクロやその他のステルス攻撃ベクターを活用するものを含め、最も一般的なビジネス文書フォーマットに隠されたランサムウェアを検出してブロックします。
サイバーリーズンは、エンドポイントから企業まで、あらゆる場所を標的とするサイバー攻撃を収束させるために、防御者と一丸となって注力しています。
ホワイトペーパー「ランサムウェアの解読 〜最新型ランサムウェア攻撃の解説と防止策〜」
ランサムウェア攻撃は2018年前半に一旦大幅に減少したものの、その後の数年はすさまじい勢いで盛り返しています。身代金の支払いも急増しており、2019年12月には、攻撃者への身代金の平均支払い額は8万ドルを超えました。
昨今の攻撃者は、データの身代金を要求するだけでなく、データを盗んでインターネット上で売却もしています。このことは、攻撃者がランサムウェアを実行しているだけでなく、ネットワーク上にとどまってデータを抜き取り、最終的にランサムウェアを展開しているという傾向を示しています。
このホワイトペーパーでは、最新のランサムウェアがどのような特徴があり、どのように既存のセキュリティ対策を回避しているのかを解説しています。
https://www.cybereason.co.jp/product-documents/white-paper/4806/