ランサムウェアの定義
ランサムウェアとは、サイバー犯罪者に金銭が支払われるまで、エンドユーザーデバイスやサーバーなどのエンドポイントのファイルや動作環境を利用できなくする悪意のあるコードです。
サイバー犯罪者は、ランサムウェアを使用して、デバイスやシステムを支配し、金銭を脅し取ります。マルウェアがインストールされると、ハッカーは、身代金を支払うまで、そのシステムを乗っ取ります。ランサムウェアの初期のバージョンでは、攻撃者は、あなたが身代金を支払った後、コンピュータの制御を取り戻すための復号化キーを与えると主張していました。
ランサムウェアの進化
ランサムウェアは進化を遂げ、現在では様々な種類が存在します。ファイルを暗号化するだけのランサムウェアもあれば、ファイルシステムを破壊してしまうランサムウェアもあります。サイバー犯罪者の中には、金銭的な動機のみで、支払い後にシステムを正常に動作させる者もいます。一方、金銭的な理由だけでなく、政治的な理由もあって、支払い後にシステムを復旧させない攻撃者もいます。
現在、多くのランサムウェアのキャンペーンでは、支払いを引き出すために複数の手段や方法が採用されています。身代金を要求するだけでなく、データを盗み、「身代金が支払われないなら、データを公開する」と脅すサイバー犯罪者もいます。また、データを盗まれた顧客と連絡を取り、代金を回収しようとする攻撃者もいます。
ランサムウェアの攻撃は、数時間、数日、あるいはそれ以上にわたって組織全体を機能不全に陥らせることがあります。最新のランサムウェアの脅威は、安全なバックアップとプロアクティブな復元プロセス以上のものを要求しています。
当初は、安全なバックアップとプロアクティブなリストアプロセスでランサムウェアから保護することで、組織を救済することができました。しかし、最新のランサムウェアは、より包括的なセキュリティソリューションを必要としています。
ランサムウェア対策
朗報があります。今日の高度な多段階型ランサムウェア攻撃は、潜在的な被害者/組織に対し、ランサムウェア攻撃がデータを盗んだり、コンピュータ/ファイルをロックしたりする前に、ランサムウェア攻撃を阻止する複数の機会を提供します
もちろん、攻撃者が任務を開始するための足掛かりを得るのを阻止するのが理想的ですが、たとえ侵入したとしても、ネットワーク検出、コマンド&コントロール通信、水平移動、データの収集、ステージング、流出、暗号化などの初期段階で特定することが不可欠です。ランサムウェアの防止に関するヒントとランサムウェア攻撃への最善の対応方法については、以下を参照してください。
ランサムウェアのリスクを軽減する9つのヒント
1. 未確認のリンクは決してクリックしない
リンクがスパムメールや怪しいウェブサイトにある場合、それを避ける必要があります。多くの場合、ハッカーはマルウェアのダウンロードを開始する悪意のあるリンクを介してランサムウェアを拡散します。マルウェアがコンピュータに侵入すると、データを暗号化して人質とし、復号キーを持つ人だけがアクセスできるようにします。
しかし、マルウェアはまずコンピュータに侵入する必要があり、ランサムウェアを拡散する最も一般的な方法は、悪意のあるリンクを経由するものです。リンクが未確認の場合は、クリックしないのが一番です。
2. メールにマルウェアがないかスキャンする
ランサムウェアウイルスやその他のマルウェアを阻止するには、まず電子メール通信をスキャンします。電子メールスキャンツールにより、悪意のあるソフトウェアを検知できることがよくあります。スキャナがマルウェアを検知すると、電子メールは破棄され、受信トレイには届かなくなります
通常、メール内のマルウェアは添付ファイルまたはメール本文内のファイル内に埋め込まれます。ハッカーは無害に見える画像を挿入することが知られていますが、画像をクリックしてしまうと、ランサムウェアがコンピュータにインストールされます。この種のファイルを含む電子メールをスキャンすることで、デバイスやネットワーク上の他のユーザーが感染するのを防ぐことができます。
3. ファイアウォールとエンドポイント防御を使用する
ランサムウェア攻撃を阻止する方法を検討しているなら、ファイアウォールが優れたソリューションとなります。ファイアウォールは、両側からのトラフィックをスキャンし、マルウェアやその他の脅威がないか調べます。このようにして、ファイアウォールは、ファイルの出所、送り先、およびファイルがどのように移動したかに関するその他の情報を確認し、それを使用してランサムウェアが含まれている可能性があるかどうかを知ることができます。
さらに、次世代ファイアウォール(NGFW)は、ディープパケットインスペクション(DPI)を使用してデータ自体の内容を調べ、ランサムウェアを探し、それを含むファイルを破棄できます。
エンドポイント防御により、個々のエンドポイントが脅威から保護されます。脅威をもたらす傾向が強いトラフィックには特定の種類があり、エンドポイント防御によって、デバイスがこの種のデータに関与しないようにすることができます。また、ハッカーは悪意のあるアプリケーションを使用して、エンドポイントをランサムウェアに感染させる可能性があります。エンドポイント防御は、指定したエンドポイントがこの種のアプリケーションを実行しないようにします。
4. 信頼できるサイトからのみダウンロードする
ハッカーがウェブサイトにマルウェアを仕掛け、コンテンツやソーシャルエンジニアリングを使用して、サイト内をクリックするようユーザーに誘導することはよくあります。ソーシャルエンジニアリングの典型は、恐怖心を通じてユーザーに圧力をかけ、ハッカーにとって望ましい行動をユーザーに取らせます。この場合は、悪意のあるリンクをクリックすることです。
多くの場合、リンク自体は無害に見えます。知らないサイトの場合、またはサイトが信頼できるサイトに見えてもユニフォームリソースロケータ(URL)が疑わしいと思われる場合は、そのサイトを避ける必要があります。サイバー犯罪者は多くの場合、信頼できるサイトに見える偽サイトを作成します。サイトから何かをダウンロードする前に、必ずサイトのURLを再確認してください。
5. 重要なデータのバックアップを保持する
ランサムウェアの攻撃者は、組織を運営する上で特定のデータに依存するユーザーを利用することを好みます。多くの場合、データは日常業務において不可欠な役割を果たすため、被害者はデータへのアクセスを取り戻すために身代金を支払う方が理にかなうと感じることがあります。重要なデータを定期的にバックアップすることで、この誘惑を避けることができます。
データが、コンピュータでアクセスする必要のないデバイスや場所にバックアップされている場合は、攻撃が成功しても、必要なデータを復元できます。重要なデータはすべて頻繁にバックアップすることが重要です。ある程度の長い時間が経過すると、保有しているデータではビジネスの継続性をサポートするには不十分となる可能性があるためです。
6. 公共Wi-Fiを使用する際はVPNを使用する
公共Wi-Fiは、パスワードなしで簡単にアクセスできるため便利です。残念なことに、ハッカーが公共Wi-Fiを使用してランサムウェアを拡散することも容易です。公共Wi-Fiネットワークを使用している場合は、仮想プライベートネットワーク(VPN)を使用する必要があります。
VPNは、インターネット接続時にデバイスに送受信されるデータを暗号化します。実質的に、VPNはデータが通過する「トンネル」を形成します。トンネルに入るには、ユーザーは暗号化キーが必要です。また、トンネルを通過するデータを読み取るには、ハッカーはデータを復号化する必要があります。ランサムウェアをブロックするために、VPNは外部者が接続に侵入したり、パスやコンピュータにマルウェアが侵入したりすることを防ぎます。
7. セキュリティソフトウェアを使用する
セキュリティソフトウェアは、ランサムウェアの防止において強力なツールとなり得ます。したがって、ランサムウェアを防止するためのベストプラクティスとして挙げられることがよくあります。セキュリティソフトウェアは、インターネットからコンピュータに送信されるファイルをチェックします。悪意のあるファイルが検出されると、ソフトウェアによってコンピュータへの侵入が阻止されます。
セキュリティソフトウェアは、既知の脅威と悪意のあるファイルタイプのプロファイルを使用して、どのファイルがコンピュータにとって危険であるかを判断します。最新の状態を保つために、多くのセキュリティソフトウェアには無料の定期更新が付属しています。これらは、プロバイダーによって自動的にインストールされます。プロバイダーが新しい脅威を認識したら、そのプロファイルがアップデートに含まれます。ソフトウェアが定期的に更新されている限り、ソフトウェアによる最善の保護が得られます。
8. よく知らないUSBデバイスは使用しない
ユニバーサルシリアルバス(USB)デバイスは、ランサムウェアを含む悪意のあるファイルを保存するのに使用されることがあります。USBにコンピュータに感染する可能性のある実行可能ファイルがある場合も、USBデバイスを挿入するとファイルが自動的に起動する場合も、一見問題のないUSBがコンピュータを捕らえるのには、ほとんど時間がかかりません。
サイバー犯罪者はUSBデバイスを置き忘れることがあります。これは、一部の人がUSBデバイスを手に取って自分のコンピュータに挿入する誘惑に駆られる可能性があるからです。犯罪者は、無害に見えるラベルをそれに印刷し、そのデバイスが信頼できる会社からの無料ギフトのように見せることさえあります。USBデバイスを見つけた場合は、それをコンピュータに挿入しないでください。最も安全なUSBは、店舗から購入する、損傷のないパッケージで密封されたUSBです。
9. 個人データの提供を避ける
適切な個人データがあれば、サイバー犯罪者はさまざまな罠を仕掛けてコンピュータにランサムウェアを仕掛けたり、自分でデバイスにインストールするように仕向けたりすることができます。人は多くの場合、コンピュータにウェブサイトやアカウントと同じパスワードを使用します。サイバー犯罪者は、あなたの個人データを使用してアカウントにアクセスし、そのパスワードを使用してあなたのコンピュータに侵入し、ランサムウェアをインストールすることができます。
個人データを公開しないようにすれば、攻撃者はこの種の攻撃で金銭を得るのがはるかに難しくなります。攻撃者は、別の方法でパスワードやその他のアカウント情報を把握しなければならなくなるためです。個人データには、アカウントの秘密の質問に対する回答として使用する人、ペット、場所の名前も含まれます
ランサムウェアの脅威から保護する方法
ランサムウェアに関する最新の調査レポートをダウンロードするランサムウェア攻撃への対応方法
ランサムウェア攻撃がコンピュータやネットワークに侵入したからといって、状況改善のためにできることが皆無というわけではありません。ランサムウェアの被害を抑えるには、多くの場合、迅速に行動を起こす必要があります。
隔離する
ランサムウェアの隔離は、最初に取るべきステップです。これにより、ランサムウェアがネットワーク接続を介してあるデバイスから別のデバイスに拡散する水平攻撃を防ぐことができます。まず、感染したシステムをシャットダウンする必要があります。シャットダウンすることで、ランサムウェアをさらに拡散するためのマルウェアにデバイスが使用されるのを防ぐことができます
また、デバイスに接続されているネットワークケーブルも外してください。これには、感染したデバイスをネットワーク自体に接続するもの、またはネットワーク上のデバイスに接続するもののすべてが含まれます。たとえば、デバイスがローカルエリアネットワーク(LAN)にリンクされているプリンターに接続されているとします。プリンターのプラグを抜けば、ランサムウェアの拡散にプリンターが使用されるのを阻止することができます。
ハードウェアのケーブルに加えて、ランサムウェアに感染した領域にサービスを提供するWi-Fiもオフにする必要があります。Wi-Fi接続は、同じWi-Fiネットワークに接続されている他のデバイスにランサムウェアを拡散するためのルートとして使用されます。シャットダウンすることで、このような水平方向の感染が拡散し始める前に阻止できます。しかし、コンピュータが感染していることに気付いた時点ですでに拡散が始まっている場合、Wi-Fiを遮断することで、それ以上の拡散を防ぐことができます。
ネットワークに接続されたストレージデバイスも直ちに切断する必要があります。ランサムウェアはストレージデバイスを見つけてそれを感染させる可能性があります。その場合、ストレージシステムに接続するデバイスが感染する可能性があります。これは、直ちに、または将来のある時点で起こる可能性があります。したがって、ランサムウェア攻撃の被害に遭った場合は、どのストレージデバイスも感染していると想定して、ネットワーク内のデバイスを接続する前にクリーニングすることが重要です。
特定する
次のステップは、ランサムウェアに感染させるために使用されるマルウェアの種類を確認することです。場合によっては、使用されたマルウェアの種類を知ることが、インシデント対応チームが解決策を見つけるのに役立ちます。一部のランサムウェア攻撃の復号化キーは既に知られており、使用されたマルウェアの種類を知ることで、対応チームは復号化キーが既に利用可能かどうかを把握することができます。利用可能であれば、コンピュータのロック解除に使用し、攻撃者の対象となるのを回避できます。
また、この種のマルウェアは、脅威に対処する他の方法を決定するのに役立ちます。修復オプションを理解するには、ITチームまたは外部のコンサルタントが対処しているマルウェアの種類を知る必要があります。そのため、早期発見が重要なステップとなります。
マルウェアを削除する
マルウェアの削除が必要があることは言うまでもありませんが、このステップは、必要性より、そのタイミングが重要です。マルウェアの削除は、前のステップである隔離と特定を行った後で行うことが重要です。マルウェアを隔離する前に削除しようとすると、アンインストールに時間がかかり、ネットワークに接続されている他のデバイスに拡散する可能性があります。
また、マルウェアが特定される前にマルウェアを削除した場合、インシデント対応チーム、外部コンサルタント、または捜査機関とって有用となり得る、マルウェアに関する情報を収集する機会を逃す可能性があります。
前のステップを実行した後、マルウェアを削除し、他のデバイスへの侵入を防ぐことができます。コンピュータをネットワークに接続しなくなったとしても、マルウェアが削除されなければ、後日拡散する可能性があります。
データを復元する
攻撃が封じ込められ、コンピュータの安全性を確保しクリーニングを実行したら、すぐにデータの復元を開始する必要があります。これにより、データが直近にバックアップされた場合は特に、事業の継続性が確保され、レジリエンスも高まります。
データ復旧の成功は、攻撃前に導入されたデータ復旧プログラムにかかっています。例えば、1日に複数回データをバックアップすると、攻撃による影響は最悪でも数時間分のみとなります。クラウドベースのサービスまたはオンプレミスのハードウェアを使用してデータをバックアップできます。ただし、使用するサービスが別のデバイスからアクセスできる場合に限ります。アクセスを確保するには、バックアップストレージにアクセスするデバイスだけでなく、ログイン情報を安全に保存する必要があります。
身代金を支払わない
ランサムウェア攻撃をされると、その身代金を支払おうとする誘惑に駆られる可能性があります。ユーザーは、時間の経過とともに、攻撃者の要求以上の損失を被りつつあると考えるようになります。たとえば、重要なシステムがシャットダウンされ、顧客による購入が不可能になった場合、損失は容易に数千ドルにまで及ぶ可能性があります。攻撃者が要求しているのが数百ドルであれば、支払うのが賢明な選択だと感じるかもしれません。しかし、そうではありません。
ハッカーは、人間を人質にするハイジャッカーやテロリストと同様に、ランサムウェア攻撃に頼り、被害者を恐喝します。多数のユーザーが身代金の支払いを拒否した場合、攻撃者はランサムウェアを使用する前に再考し、より収益性の高い方法にエネルギーを費やすようになります。したがって、身代金の支払いを拒否することで、将来標的になる可能性のある人々を助けることになります。
また、一度支払うと、同じような状況に直面したときに再び支払う可能性が高いことを、攻撃者は知っています。そのため、支払いをすると、将来の攻撃における収益性の高いターゲットであると自ら認めることになるかもしれません。
身代金を支払うべきであるのはどのような場合ですか? (そして支払うべきでないのはどのような場合ですか)
一般的には、身代金を支払ってはなりません。支払った場合、あなたを脅せば金銭をひったくることができると攻撃者に伝えるようなものであり、彼らは後日、2度目の攻撃を行うために戻ってきます。また、ランサムウェアが依然として効果的な攻撃ベクトルであるというメッセージをハッカーコミュニティに伝えるという点で、他者にも被害を与えます。また、身代金を支払ったとしても、攻撃者がコンピュータの復旧を許可する保証はありません。
とはいえ、適切なバックアップや復旧計画がない場合、「ノー」と言うのは、言うは易く行うは難し、です。身代金を支払うことは決して賢明とは言えませんが、最終決定を下す前にその結果をよく検討しなければならない場合があります。次の要因を検討してください。
- 失われたデータの復旧にかかるコスト
- サイバー保険(加入している場合)で、いくらかのコストを負担できるか
- あなたを標的にしたランサムウェアの操作者が、支払い後にシステムを復号化する可能性はどのくらいか
フォーティネットはどのように役立つか?
フォーティネットのセキュリティファブリックは、ランサムウェアのリスクと潜在的な影響を低減するために、デジタル攻撃対象領域全体およびサイバーキルチェーンに沿って展開できる、幅広い製品とサービスを提供します。これらは、組織がランサムウェアのインシデントに備え、防止し、インシデントが発生した場合に検知して対応し、必要に応じて社内チームを強化するために役立ちます。
各組織の現在の露出、リスク選好度、ライセンス状況、セキュリティスキル、およびその他の要因によって、どの製品およびサービスが常に最適であるかが決まりますが、オプションには以下のものがあります。
- 準備: インシデント対応体制サービス、FortiRecon攻撃対象管理、FortiTester侵害攻撃シミュレーション。情報セキュリティのトレーニングと認識
- 防止:FortiGate次世代ファイアウォール、FortiMailセキュアメールゲートウェイ、FortiWeb Webアプリケーションファイアウォール、FortiEDRモダンエンドポイントセキュリティ、FortiSandboxインラインサンドボックス分析
- 検出:FortiDeceptor、FortiXDRExtended Detection and Response(XDR)、FortiNDRNetwork Detection and Response(NDR)
- 対応:FortiAnalyzer、FortiSIEM、FortiSOAR、FortiGuardインシデント対応サービス
- 拡張:FortiGuard SOCaaS、FortiGuard検知と対応のマネージドサービス
