- 2022/06/01
- ランサムウェア
重要なのはランサムウェアの呼び方を変えることではなく、現状を把握し正しい対策を立てることだ
Post by : Greg Day
初期のランサムウェア攻撃
筆者がサイバーセキュリティ業界に入った1990年代初頭、最初に出会ったサイバー脅威の1つがCasinoと呼ばれるブートセクターウイルスでした。このウイルスは、被害者が持つすべてのデータへのインデックスであるFAT(ファイルアロケーションテーブル)を削除しようとするものでした。
このウイルスは、感染したマシンのディスプレイにスロットマシン風のゲームを表示し、このゲームに参加した結果、被害者は運が良ければデータを取り戻すことができるが、運が悪ければデータを取り戻す交渉のためにマルウェア作者の連絡先を入手できると告げるものでした。
▲ブートセクターウイルスCasinoが表示した画面
このようなタイプのウイルスに聞き覚えはありませんか?これはさまざまな意味で、非常に初期のランサムウェア攻撃だと言えるでしょう。今日、ランサムウェアは、最も頻繁に発生しておりかつ最も大きな影響を与える攻撃の代名詞となっています。
ランサムウェアの多くの進化
ランサムウェアは、これまで多くの進化を遂げてきました。よく知られた形態として、最初期のランサムウェアは、セキュリティの甘いWebサイトを配信手段として利用することで、多くの潜在的な被害者に対してスパムメールを送信するランダムな攻撃を行うものでした。しかし、それ以降、ランサムウェアは次のような多くの進化を遂げてきました。
- 高度に標的化された複雑なランサムウェアオペレーション(RansomOps)へと進化することで、インテリジェンスを駆使し、価値の高い産業や、かつてないほどに多額の身代金を支払う可能性がある組織を狙うようになりました。
- また、アクセス権を取得したデータを分析することで、二重脅迫やその他の目的に利用できるデータの価値を定量化するようになりました。これにより、ランサムウェア攻撃は、ローカルデータをロックすることから、ネットワークやクラウドのようなより広範なデータソースを視野に入れたものへと変化しました。
- オペレーティングシステムと主要なサードパーティツールの両方が提供するデータリソース機能を、意図的に無効にする機能を組み入れるようになりました。
- 多くの場合、データのコピーは、より多くの収益を得るための転売や二重脅迫を目的として窃取されるようになりました。
- 今やランサムウェアは、広大なランサムウェア経済 を形成しているサイバー犯罪のサプライチェーンのエコシステムにしっかりと統合されるまでに進化しており、国家レベルでも利用されています。
ランサムウェアのこのような進化は何を意味するでしょうか?私たちは、時間とともに著しく進化しており、今や著しく複雑になっている脅威を言い表すために、今もなお「ランサムウェア」という同じ名前を使い続けています。危険なのは、多くの人がこの脅威を十分に理解しており解決したと思っているかもしれませんが、実は彼らはランサムウェアの進化の過程における過去の段階を想定しているに過ぎず、今日存在している脅威に対抗する準備ができていないことです。
私たちの脅威に対する理解が最新のものでない場合、その脅威に対抗するためのポリシーや解決策も最新でない可能性が高くなります。
これまで多くの企業や組織は、ランサムウェアを防御すべきよくある脅威の1つに過ぎないと考え、従来と同じレガシーなアンチウイルスツール、ファイアウォール、および各自のビジネスで使われるその他の主要な管理ツールに頼ってきました。しかし、ランサムウェアが影響を及ぼすまでの時間やランサムウェアにかかるビジネスコストは、一般的な脅威よりもはるかに高くなる可能性があります。ランサムウェアは、私たちが解決すべき問題としてもっと注目されてもよいはずです。
サイバーリーズン vs. ランサムウェア
サイバーリーズンでは、ランサムウェアに焦点を当てており、インシデント応答側から学んだ教訓を生かして、絶えず進化するランサムウェア脅威をターゲットとした新しい制御方法を開発し続けています。これは、「おとりファイル」を利用して、組織にとって価値のある実際のファイルが暗号化される前に攻撃を阻止するために、ランサムウェア攻撃が進行していることを示す主要なインジケーターを常に監視することから始まりました。
しかし、ランサムウェア脅威そのものと同様に、防御策の進化も続いています。具体的には、ユーザーや管理者の手を煩わせることなく、暗号化されたデータファイルを自律的に復旧させる新たな高速復旧機能が開発されています。さらに、当社では次なる自然な進化として、バイナリ類似性エンジン(BSE)を用いたインメモリ解析を開発しています。これにより、暗号化ルーチンを開始するような行動をカーネルレベルで見つけ、暗号化が行われる前に攻撃を終了させることなどが可能になります。
ここで皆さんに質問があります。あなたはランサムウェア脅威がどのように変化しているかを把握していますか、それとも脅威が進化し続ける中で静観を続けていますか?後者に当てはまる場合、あなたの会社のランサムウェアに関する対応は、この問題に対する認識と同様に時代遅れになっている可能性があります。
もしかしたら、現在のランサムウェアを別の名前で呼ぶことが解決策になると思われるかもしれません。そうすれば、新たな問題に対する新たな予算を確保できる可能性があるからです。しかし、それは間違いです。現時点では、この進化を続ける戦いについて自分自身とビジネスリーダーを教育し、脅威に打ち勝つために必要となるツールで自らを武装することが何よりも重要なのです。
【ホワイトペーパー】最新の脅威分析から読み解くランサムウェア対策〜ランサムウェアとサプライチェーン攻撃から情報資産を守るには〜
世界中で猛威をふるうランサムウェア。
その最新の攻撃にはどのような特徴があり、またどのような脅威があるのか。
本資料では、ランサムウェア、サプライチェーン攻撃、Emotetなど最新の脅威分析から傾向を読み解き、あらゆる企業・組織が今取るべき効果的な対策についてご紹介します。
https://www.cybereason.co.jp/product-documents/white-paper/8261/