ランサムウェアとは？仕組みや種類、事例と対策

ランサムウェアとは、悪意のあるソフトウェア（マルウェア）の一種で、攻撃者は被害者が身代金を支払うまで、データやコンピュータシステムを暗号化し、そのアクセスを公開したりブロックしたりすると脅迫します。多くの場合、身代金要求には期限が設けられています。被害者が期限内に支払わない場合、データは永久に失われるか、身代金が増額されます。

ランサムウェアは単純な暗号化を超えて進化し、暗号型ランサムウェアやCryptoWallなどの新たなタイプが登場し、脅威のレベルが上がっています。一部の変種は現在、二重恐喝手法（ランサムウェア2.0）を採用しており、データを暗号化した上で、身代金が支払われなければ機密情報を流出させると脅迫します。これにより、特に評判の低下や規制コンプライアンスを懸念する企業にとって、さらなるプレッシャーとなっています。

ランサムウェア攻撃はますます蔓延し、さまざまな業界のあらゆる規模の組織を標的にしています。中小企業から大企業まで、誰も免れることはできません。これらの攻撃にはしばしば厳しい期限が設けられ、ストレスの多い状況にさらに緊急性が加わります。期限内に支払わなければ、データが永久に失われるか、身代金の要求額が増加する可能性があります。

FBIを含むいくつかの政府機関は、No More Ransom Projectと同様に、ランサムウェアのサイクルを助長しないよう、身代金の支払いを控えるよう勧告しています。さらに、身代金を支払った被害者の半数は、特にシステムからランサムウェアが駆除されなかった場合、ランサムウェア攻撃は繰り返される可能性が高いと言われています。

ランサムウェアの起源は1989年に遡り、「AIDS」ウイルスがランサムウェアの受信者から資金を強要するために利用されたのが始まりとされています。その攻撃への支払いはパナマへの郵便で行われ、その時点では復号化キーもユーザーに郵送されていました。

1996年、ランサムウェアはコロンビア大学のMoti YungとAdam Youngによって紹介された「暗号ウイルスによる強奪」として知られていました。学界で生まれたこのアイデアは、現代の暗号化ツールの進歩、強度、創造性を物語っています。YoungとYungは、1996年のIEEE Security and Privacyカンファレンスで、最初の暗号ウイルス攻撃について発表しました。そのウイルスには攻撃者の公開鍵が含まれており、被害者のファイルが暗号化されていました。その後、マルウェアは被害者に非対称暗号文を攻撃者に送信して解読してもらい、料金を支払って復号化鍵を返すよう促しました。

攻撃者は、サイバー犯罪者の匿名性を確保するために、追跡がほぼ不可能な支払いを要求することで、長年にわたって創造性を高めてきました。例えば、悪名高いモバイル型ランサムウェア「Fusob」は、被害者にドルなどの通常の通貨ではなく、Apple iTunesギフトカードでの支払いを要求します。

ランサムウェア攻撃は、ビットコインに代表される暗号通貨の成長とともに急増し始めました。暗号通貨は、暗号化技術を使用してトランザクションの検証や安全性を確保し、新しいユニットの作成を制御するデジタル通貨です。ビットコイン以外にも、イーサリアム、ライトコイン、リップルなど、攻撃者が被害者に使用を促す人気の暗号通貨が存在します。

ランサムウェアは、ほぼすべての業種の組織を攻撃しています。最も有名なウイルスの1つは、Presbyterian Memorial Hospitalへの攻撃です。この攻撃は、ランサムウェアの潜在的な被害とリスクを浮き彫りにしました。研究室、薬局、緊急治療室が被害に遭いました。

ソーシャルエンジニアリング攻撃者は、時とともに革新的になってきています。The Guardianは、新しいランサムウェアの被害者が、ファイルを復号化するために、他の2人のユーザーにリンクをインストールさせ、身代金を支払うよう求められた状況について記載しています。

ランサムウェアの普及に伴い、ランサムウェア攻撃はますます複雑化しています。

• スケアウェア: スケアウェアは、被害者のコンピュータにマルウェアが検出されたという偽の警告メッセージを表示します。これらの攻撃は、存在しないマルウェアを削除するための支払いを要求する、アンチウイルス ソリューションを装っていることがよくあります。スケアウェアは比較的脅威が少ないように見えるかもしれませんが、それでも大きなストレスや経済的損失を引き起こす可能性があります。受け取るセキュリティ警告の正当性を確認し、信頼できるアンチウイルス ソフトウェアに依存することが重要です。
• スクリーンロッカー: スクリーンロッカーは、被害者をコンピュータからロックアウトし、ファイルやデータへのアクセスを妨げるように設計されています。通常、ロック解除のための支払いを要求するメッセージが表示されます。スクリーンロッカーは非常に破壊的で、システム全体が使用できなくなる可能性があります。データバックアップを持ち、ロック画面をバイパスするためにシステムを安全に起動する方法を知ることが不可欠です。
• 暗号化ランサムウェア: 「暗号型ランサムウェア」とも呼ばれるランサムウェアは被害者のファイルを暗号化し、復号キーと引き換えに支払いを要求します。このタイプのランサムウェアは壊滅的で、すべてのファイルにアクセスできなくなる可能性があります。定期的なバックアップと堅牢なサイバー セキュリティ対策が、暗号化ランサムウェアに対する最良の防御策です。
• DDoS恐喝: 分散型サービス拒否攻撃による恐喝は、身代金が支払われない限り、被害者のウェブサイトやネットワークに対してDDoS攻撃を開始すると脅迫します。DDoS恐喝の脅威は、デジタルプレゼンスに大きく依存しているビジネスにとって特に被害が大きい可能性があります。DDoS保護を実装し、この脅威を効果的に軽減するために十分に準備されたインシデントレスポンス計画を持つことが重要です。
• モバイル ランサムウェア: 名前が示すように、モバイル ランサムウェアはスマートフォンやタブレットなどのデバイスを標的とし、デバイスのロック解除やデータの復号化のための支払いを要求します。モバイル ランサムウェアは、個人用およびビジネス用途でのモバイルデバイスの使用増加に伴い、懸念が高まっています。モバイルオペレーティング システムを定期的に更新し、アプリのダウンロードに注意することで、この脅威から保護するのに役立ちます。
• ドックスウェア: あまり一般的ではありませんが、この洗練されたランサムウェアは、身代金が支払われない限り、被害者のコンピュータから機密情報や秘密情報を公開すると脅迫します。リークウェアとも呼ばれるこの形式のランサムウェアは、プライバシーや評判を脅かすことで、さらなるプレッシャーを加えます。堅牢なデータ保護対策を実施し、デジタルに保存する情報に注意することが、ドックスウェアのリスクを軽減するのに役立ちます。
• サービスとしてのランサムウェア（RaaS）: サイバー犯罪者は、被害者を標的とするためのプログラムを使用する他のハッカーやサイバー攻撃者にランサムウェア プログラムを提供します。RaaSはこのような脅威へのアクセシビリティを合理化し、ランサムウェア攻撃をより蔓延させています。このモデルは、正当なサービスとしてのソフトウェアビジネスと同様に運営され、犯罪的な顧客にカスタマー サポートと定期的な更新を提供しています。

これらは最も一般的なランサムウェアの一部に過ぎません。サイバー犯罪者がサイバーセキュリティ戦略に適応するにつれて、脆弱性を悪用しコンピュータ システムに侵入する新しい革新的な方法へと移行しています。

主要なランサムウェア攻撃について学ぶことで、組織は、ほとんどのランサムウェア攻撃の戦術、エクスプロイト、および特性についての確かな基礎を身につけることができます。ランサムウェアのコード、ターゲット、機能にはバリエーションがありますが、ランサムウェア攻撃のイノベーションは通常、漸進的なものです。

• WannaCry: Microsoftの強力なエクスプロイトを悪用して世界規模のランサムウェアワームが開発され、キルスイッチが作動して感染を食い止めるまでに25万台以上のシステムに感染しました。Proofpointは、キルスイッチを見つけるために使用されたサンプルの発見と、ランサムウェアの分解に携わりました。WannaCryの阻止におけるProofpointの関与について、詳細をご覧ください。
• CryptoLocker: このランサムウェアは、支払いに暗号通貨（ビットコイン）を要求し、ユーザーのハードディスクと接続されたネットワークドライブを暗号化する、現世代のランサムウェアの最初の1つでした。Cryptolockerは、FedExやUPSの追跡通知を名乗る添付ファイル付きのメールを介して拡散されました。これに対する復号化ツールは2014年にリリースされました。しかし、さまざまなレポートによると、CryptoLockerによって2700万ドル以上が強奪されたと報告されています。
• NotPetya: NotPetyaは、Microsoft Windowsベースのシステムのマスターブートレコードに感染して暗号化するなど、同名のPetyaの戦術を活用した、最も被害が大きいランサムウェア攻撃の1つと考えられています。NotPetyaは、WannaCryと同じ脆弱性を利用して急速に拡散し、変更を元に戻すためにビットコインでの支払いを要求しました。NotPetyaはマスターブートレコードへの変更を取り消すことができず、ターゲットシステムを回復不能にするため、一部ではワイパーに分類されています。
• Bad Rabbit: NotPetyaと類似したコードとエクスプロイトを使用して拡散したBad Rabbitは、ロシアとウクライナをターゲットとした目に見えるランサムウェアで、主に同国のメディア企業に影響を与えました。NotPetyaとは異なり、Bad Rabbitは身代金を支払うと復号化できるようになっていました。多くの場合、偽のFlash Playerのアップデートによって拡散され、ドライブバイダウンロード攻撃によってユーザーに影響を与える可能性があることが指摘されています。
• REvil: REvilは、金銭目的の攻撃者グループによって開発されました。暗号化する前にデータを流出させ、標的となった被害者が身代金を送らないことを選択した場合、脅迫して支払わせることができます。この攻撃は、WindowsとMacのインフラにパッチを適用するために使用されるITマネジメントソフトウェアが侵害されたことに起因しています。攻撃者は、企業のシステムにREvilランサムウェアを注入するために使用されるKaseyaソフトウェアを侵害しました。
• Ryuk: Ryukは、主にスピアフィッシングで使用される手動配布のランサムウェアアプリケーションです。ターゲットは、偵察によって慎重に選ばれます。選ばれた被害者にメールメッセージが送信され、感染したシステムでホストされているすべてのファイルが暗号化されます。

ランサムウェア攻撃の量は年々変動しているものの、これらのタイプのサイバー攻撃は組織にとって最も一般的で損失が大きい攻撃の一つであり続けています。ランサムウェア攻撃に関する統計は、組織がサイバー セキュリティ対策とセキュリティ意識向上トレーニングを強化するための緊急の行動を促す警鐘となっています。

• Sophosの「The State of Ransomware 2022」レポートによると、2021年にランサムウェア攻撃は組織の66%に影響を与え、2020年と比較して前年比78%の劇的な増加を示しています。
• 当社の「2023 State of the Phish」レポートでは、調査対象の組織の64%が2022年にランサムウェアの影響を受けたと回答し、このグループの3分の2以上が複数のインシデントを報告しています。そのため、専門家は昨年の実際のインシデント数と関連する損失は報告されているよりもはるかに高いと推測しています。
• BlackFogの「2022 Ransomware Report」によると、医療業界はランサムウェアの標的に最もなりやすく、身代金支払い率は85%に達しています。また、教育機関はランサムウェア攻撃の最大の増加（2021年に28%）を経験しています。
• GoogleのVirusTotalサービスによると、Windowsシステムは影響を受けたシステムの大多数を占め、ランサムウェア マルウェア攻撃の95%を占めています。
• Cybersecurity Venturesによると、ランサムウェア攻撃は2031年までに被害者に年間2,650億ドル以上の損害を与えると予測されています。

ランサムウェアのトレンドは最新の統計に沿って進化し続けています。注目すべきトレンドには以下が含まれます。

• グローバル化した脅威の増加
• より標的を絞った高度な攻撃
• 多段階恐喝テクニックの成長
• ランサムウェア侵害の頻度の上昇
• セキュリティ態勢の強化に伴う身代金価格の横ばい

政府の介入は、ランサムウェア攻撃の対処方法を変える可能性のあるもう一つの主要なトレンドです。Gartnerは、2025年までに世界の政府の30%がランサムウェア支払い法を制定する可能性が高いと予測しています。

ランサムウェア支払いの平均割引も増加しているようです。最新のランサムウェア トレンドによると、被害者は身代金支払いに20%から25%の割引を期待でき、一部では最大60%の割引が見られます。

ランサムウェアは、システム上のデータへのアクセスをブロックまたは防止された被害者から金銭を強要するために設計されたマルウェアの一種です。最も一般的なランサムウェアは、暗号化型と画面ロック型の2種類です。暗号化型は、その名の通り、システム上のデータを暗号化し、復号化キーがなければコンテンツを利用できないようにします。一方、画面ロック型は、システムが暗号化されていることを主張し、「ロック」画面でシステムへのアクセスを単純にブロックするものです。

図1：ランサムウェアが被害者を騙してインストールさせようとする手口

被害者は、ロック画面（暗号化型と画面ロック型の両方に共通）で、ビットコインなどの暗号通貨を購入して身代金を支払うように通知されることがよくあります。身代金の支払いが完了すると、被害者は復号化キーを受け取り、ファイルの復号化を試みることができます。身代金を支払った後の復号化の成功度合いが異なることが複数の情報源から報告されており、復号化が保証されているわけではありません。また、被害者がキーを受け取らないこともあります。身代金が支払われ、データが解放された後でも、コンピュータシステムにマルウェアをインストールする攻撃もあります。

暗号化型ランサムウェアは、当初は主に個人のコンピュータを対象としていましたが、重要なシステムのロックを解除して日常業務を再開するためには、個人よりも企業がより多くの費用を支払うことが多いため、ビジネスユーザーをターゲットにしたものが増えています。

企業のランサムウェアの感染やウイルスは、通常、悪意のあるメールから始まります。疑うことを知らないユーザーが悪意のある、または危険にさらされた添付ファイルを開いたり、URLをクリックしたりします。

この時点で、ランサムウェアエージェントがインストールされ、被害者のPCおよび添付ファイル上の主要なファイルの暗号化を開始します。データを暗号化した後、ランサムウェアは感染したデバイスにメッセージを表示します。メッセージには、何が起きたのか、攻撃者への支払い方法などが説明されています。被害者が支払いを行った場合、ランサムウェアは、データのロックを解除するためのコードを取得することを約束します。

ランサムウェア攻撃にはそれぞれ固有の特徴がある場合もありますが、ほとんどは同様のパターンに従っています。典型的な段階は次のとおりです。

1. 初期侵入: 攻撃は、サイバー犯罪者がシステムに侵入したときに始まります。このアクセスは、フィッシングメール、悪用された脆弱性、あるいは悪意のあるリンクのうっかりしたクリックを通じて発生する可能性があります。これは、家の窓を開けたままにするようなもので、攻撃者は常にこれらの侵入口を探しています。
2. 足場の確立: 侵入後、攻撃者は自分の立場を強化するために行動します。追加のマルウェアをインストールしたり、将来のアクセスのためのバックドアを作成したりするかもしれません。これは、侵入者があなたが知らないうちに屋根裏部屋にキャンプを設営するようなものです。
3. 偵察: システム内で落ち着いた攻撃者は探索を開始します。彼らは価値あるデータを探し、ネットワーク構造を理解し、潜在的な標的を特定しています。これは、泥棒が静かにあなたの家の中を移動し、各部屋の貴重品を確認するようなものです。
4. 権限昇格: 攻撃者はより多くのコントロールを得るためにシステム権限を増やそうとします。これは本質的に、あなたの家のマスターキーを手に入れようとしているようなもので、以前はアクセスできなかった領域へのアクセスを可能にします。
5. データ収集: アクセス権が昇格すると、攻撃者は機密情報の収集を開始します。ファイルをコピーしたり、認証情報を盗んだり、価値あるデータを抽出したりする可能性があります。この段階は、泥棒があなたの最も貴重な所有物でバッグを満たすようなものです。
6. 攻撃の準備: ランサムウェアを起動する前に、攻撃者は最大の影響を確保するための手順を踏むことがよくあります。これには、セキュリティ ソフトウェアの無効化やバックアップの削除が含まれる場合があります。これは、助けを求めることができないように電話線を切断するのと同じです。
7. ランサムウェアの展開: 最終的に、ランサムウェアが起動されます。ファイルが暗号化され、システムがロックされ、身代金要求が表示されます。これはあなたが、家が荒らされ、泥棒があなたの資産の返却のために支払いを要求するメモを残したことに気づく瞬間と同様です。

ランサムウェア攻撃はこれらの段階を素早く進行することがあり、時には数時間で行います。警戒を怠らず、攻撃の各段階で堅牢なセキュリティ対策を講じることが、組織のデジタル資産を保護するために極めて重要です。

インターネットに接続されているあらゆるデバイスが、次のランサムウェアの被害者となる危険性があります。ランサムウェアは、ローカルデバイスとネットワークに接続されたストレージをスキャンします。つまり、脆弱なデバイスは、ローカルネットワークも犠牲となる可能性があります。ローカルネットワークが企業の場合、ランサムウェアは重要な文書やシステムファイルを暗号化し、サービスや生産性を停止させる可能性があります。

インターネットに接続するデバイスは、最新のソフトウェアセキュリティパッチを適用し、ランサムウェアを検出・停止するマルウェア対策がインストールされている必要があります。Windows XPのようなメンテナンスが終了した古いOSは、より高いリスクを伴います。

ランサムウェアの被害に遭った企業は、生産性やデータの損失により、数千ドルの損失を被る可能性があります。データにアクセスできる攻撃者は、被害者を脅迫してデータを公開し、データ流出を暴露することで身代金を支払わせるため、迅速に支払わない組織は、ブランドの毀損や訴訟などの二次的な影響がさらに生じる可能性があります。

ランサムウェアは生産性を低下させるので、まず封じ込めが必要です。封じ込めた後、組織はバックアップから復元するか、身代金を支払うかのどちらかを選択します。法執行機関は捜査に当たりますが、ランサムウェアの開発者を追跡するには調査時間が必要で、復旧を遅らせるだけです。根本的な原因分析により脆弱性が特定されますが、復旧の遅れは生産性と事業収益に影響を及ぼします。

法執行機関は捜査に関与しますが、ランサムウェアの作成者を追跡するには回復を遅らせる調査時間が必要です。この遅延は、ダウンタイムの1時間ごとに収益と生産性の損失に直結するため、財政的影響を悪化させる可能性があります。さらに、法執行機関の関与により攻撃の公開開示につながり、企業の評判をさらに損なう可能性があります。

根本原因分析は脆弱性を特定しますが、回復を遅らせる可能性もあります。当面の危機が管理されると、企業は将来の攻撃を防ぐためにセキュリティインフラのアップグレードに多額のコストを負担することがよくあります。これには、高度なサイバー セキュリティ ソリューション、従業員トレーニングプログラム、およびITセキュリティ人員の追加雇用への投資が含まれる場合があります。

攻撃の余波は企業に長期的な影響を与える可能性があります。顧客の信頼が損なわれ、ビジネスの損失につながる可能性があります。規制の厳しい業界では、企業は重要なデータを保護できなかったことで罰金や法的措置に直面する可能性があります。従業員への心理的影響も過小評価すべきではなく、攻撃のストレスと不確実性はシステムが復旧した後も長期にわたってモラルと生産性に影響を与える可能性があります。

在宅勤務者の増加により、脅威アクターはフィッシングの利用を増加させました。ランサムウェアの感染経路は、フィッシングが主な起点となっています。フィッシングメールは、低権限ユーザーと高権限ユーザーの両方の従業員をターゲットにしています。メールは安価で使いやすいため、攻撃者にとってランサムウェアを広めるための便利な手段となっています。

通常、ドキュメントはメールで受け渡しされるため、ユーザーはメールの添付ファイルでファイルを開くことを何とも思っていません。悪意のあるマクロが実行され、ランサムウェアがローカルデバイスにダウンロードされ、ペイロードが配信されます。ランサムウェアは電子メールで簡単に拡散することができるため、一般的なマルウェア攻撃となっています。さらに、攻撃者は悪意のあるファイルを緊急または重要なものとして偽装し、人間の好奇心と緊急性を悪用して感染の可能性を高めることがよくあります。

マルウェアキットの入手可能性も広範なランサムウェア攻撃に寄与しています。これらのエクスプロイトキットはデバイスのソフトウェア脆弱性をスキャンし、デバイスにさらに感染させるために追加のマルウェアを展開し、オンデマンドでマルウェアサンプルを生成します。サービスとしてのマルウェアのトレンドがこれらのキットの人気を高めています。このランサムウェアの「民主化」により、サイバー犯罪者のハードルが下がり、技術的スキルが限られている人でも高度な攻撃を仕掛けることが可能になりました。

メールとエクスプロイトキットを超えて、ランサムウェアは他のベクトルを通じて拡散する可能性があります。

1. リモート デスクトップ プロトコル（RDP）の悪用: 攻撃者は、特にリモートワークの増加に伴い、セキュリティが不十分なRDP接続を標的にすることがよくあります。
2. ソーシャル エンジニアリング: ランサムウェアは、偽のソフトウェア アップデートや悪意のあるウェブサイトなど、さまざまな形式のソーシャル エンジニアリングを通じて拡散する可能性があります。
3. サプライ チェーン攻撃: 信頼されているソフトウェア プロバイダーを侵害することで、攻撃者は一見正当なソフトウェア アップデートを通じてランサムウェアを配布することができます。

ランサムウェアの急速な拡散は、デジタル依存の増加、追跡が困難な暗号通貨支払いの台頭、そして高い知名度を持つ攻撃の成功によって多くのサイバー犯罪者がこの方法を採用するよう促されるなどの要因によってさらに促進されています。

高度な攻撃では、独自のバージョンを構築する開発者のランサムウェアが使用されることがあります。亜種は、既存のランサムウェアのコードベースを使用し、ペイロードと攻撃方法を変更するために必要な機能だけを変更します。ランサムウェアの開発者は、マルウェアをカスタマイズして任意のアクションを実行し、好みの暗号を使用することができます。

攻撃者は常に開発者とは限りません。ランサムウェアの開発者の中には、ソフトウェアを他者に販売したり、リースして使用したりする者もいます。ランサムウェアは、顧客がダッシュボードに認証して独自のキャンペーンを開始するMalware-as-a-Service（MaaS）として貸し出されることがあります。したがって、攻撃者は、必ずしもコーダーやマルウェアの専門家とは限りません。彼らは、ランサムウェアをリースするために開発者にお金を払う個人でもあります。

ランサムウェアはファイルを暗号化した後、ユーザーに対してファイルが暗号化されていることと、支払わなければならない金額を告知する画面を表示します。通常、被害者は特定の支払期限を与えられるか、身代金が増額されます。また、攻撃者は企業を脅して、ランサムウェアの被害者であることを公に発表することもあります。

支払いの最大のリスクは、データを復号するための暗号鍵が受け取れないことです。組織はお金を払っても、復号化キーが手に入らないことがあります。ほとんどの専門家は、攻撃者に金銭的な利益を永続させないために身代金の支払いに反対するよう助言していますが、多くの組織は選択の余地を失っています。ランサムウェアの開発者は暗号通貨での支払いを要求するため、金銭の授受を取り消すことはできません。

ランサムウェアからのペイロードは即座に発生します。マルウェアは、支払いの指示とファイルに何が起こったかについての情報を含むメッセージをユーザーに表示します。ランサムウェアの中には、ネットワーク上の他の場所に拡散し、追加のスキャンで重要なファイルを見つけようとするものもあるため、管理者は迅速に対応することが重要です。ランサムウェアに適切に対応するために、いくつかの基本的なステップを踏むことができますが、根本原因の分析、クリーンアップ、調査には、通常、専門家の介入が必要であることに注意してください。

• どのシステムが影響を受けているかを判断する。 他の環境に影響を与えないように、システムを分離する必要があります。このステップは、環境へのダメージを最小限に抑える封じ込めの一部です。
• システムの接続を解除し、必要に応じて電源を落とす。ランサムウェアはネットワーク上で急速に拡散するため、ネットワークアクセスを無効にするか、電源を落として、システムを切り離す必要があります。
• 最も重要なシステムをより早く正常な状態に戻すために、復旧の優先順位をつける。通常、優先順位は生産性や収益への影響に基づいて決定されます。
• ネットワークから脅威を根絶する。攻撃者はバックドアを使用する可能性があるため、根絶は信頼できる専門家によって行われる必要があります。専門家は、根本原因の分析で脆弱性と影響を受けたすべてのシステムを特定するために、ログにアクセスする必要があります。
• 専門家に環境を見直してもらい、セキュリティアップグレードの可能性を探る。ランサムウェアの被害者が2度目の攻撃の標的になることはよくあることです。脆弱性が発見されないと、再び悪用される可能性があります。

開発者は、検出を避けるために、常に新しい亜種にコードを変更します。管理者とマルウェア対策開発者は、これらの新しい手法に対応し、脅威がネットワークに伝播する前に迅速に検出できるようにする必要があります。ここでは、いくつかの新しい脅威をご紹介します。

• DLLサイドローディング: マルウェアは、正規の機能のように見えるDLLやサービスを使用することで、検知を逃れようとします。
• ターゲットとなるWebサーバー: 共有ホスティング環境上のマルウェアは、そのサーバーでホストされているすべてのサイトに影響を与える可能性があります。Ryukのようなランサムウェアは、主にフィッシングメールを使って、ホストされているサイトをターゲットにしています。
• 標準的なフィッシングよりも好まれるスピアフィッシング: 攻撃者は、何千ものターゲットにマルウェアを送りつける代わりに、高い権限を持つネットワークアクセスを行う潜在的なターゲットに対して偵察を行います。
• Ransomware as a Service (RaaS): Raasはユーザーがサイバーセキュリティの知識を持たずに攻撃を仕掛けることができるサービスです。RaaSの導入により、ランサムウェアの攻撃は増加しています。

ランサムウェアを使った脅威が増加した主な理由は、リモートワークです。パンデミックにより、世界的に新しい働き方が導入されました。在宅勤務者は、脅威に対してより脆弱な存在です。ホームユーザーは、高度な攻撃から保護するために必要な企業レベルのサイバーセキュリティを備えておらず、これらのユーザーの多くは、個人用デバイスと仕事用デバイスを混在させています。ランサムウェアはネットワーク上の脆弱なデバイスをスキャンするため、マルウェアに感染した個人PCがネットワークに接続された業務用機器にも感染する可能性があります。

ランサムウェアの攻撃を防ぐには、バックアップの設定とテスト、およびセキュリティツールのランサムウェア保護機能を適用することが一般的です。メール保護ゲートウェイなどのセキュリティツールは第一の防御手段であり、エンドポイントは第二の防御手段です。侵入検知システム（IDS）は、ランサムウェアのコマンド＆コントロールを検知し、ランサムウェアシステムがコントロールサーバーを呼び出すことに対して警告するために使用されることもあります。ユーザートレーニングは重要ですが、ランサムウェアから保護するためのいくつかの防御層の一つに過ぎず、メールフィッシングでランサムウェアが配信された後に活躍するものです。

他のランサムウェアの防御策に失敗した場合の予備策として、ビットコインを備蓄しておくことがあります。これは、被害を受けた企業の顧客やユーザーに直接的な影響を与える可能性がある場合に、より一般的な方法です。病院やホスピタリティは、患者の生命に影響を与えたり、人々が施設に閉じ込められたり、外に出られなくなったりする可能性があるため、特にランサムウェアのリスクが高いと言えます。

ランサムウェア攻撃の防止方法

• ランサムウェアからメールを守る: ランサムウェアの攻撃は、主にフィッシングメールやスパムメールによって配信されます。ランサムウェアを配信する悪意のあるメールを検知・ブロックするためには、標的型攻撃対策を備えたセキュアメールゲートウェイが不可欠です。これらのソリューションは、ユーザーのコンピュータに配信されるメールに含まれる悪意のある添付ファイル、悪意のあるドキュメント、およびURLから保護します。
• ランサムウェアからモバイル端末を防御する: モバイル攻撃対策製品は、モバイルデバイス管理（MDM）ツールと併用することで、ユーザーのデバイス上のアプリケーションを分析し、環境を侵害する可能性のあるアプリケーションについてユーザーとIT部門に即座に警告を発することができます。
• ランサムウェアからWebサーフィンを守る: セキュアWebゲートウェイは、ユーザーのWebサーフィンのトラフィックをスキャンして、ランサムウェアに誘導する可能性のある悪意のあるWeb広告を特定することができます。
• サーバーやネットワークを監視し、主要なシステムをバックアップする: 監視ツールは、異常なファイルアクセス、ウイルス、ネットワークC&Cトラフィック、CPU負荷を検出し、ランサムウェアの起動を阻止することができます。また、重要なシステムのフルイメージコピーを保存しておけば、クラッシュしたり暗号化されたマシンが重要な業務のボトルネックとなるリスクを軽減できます。

ランサムウェアを除去する方法

• 連邦および地域の法執行機関に連絡する: 誘拐事件で連邦捜査機関に連絡するように、ランサムウェアの場合も同じように連邦捜査機関に連絡する必要があります。フォレンジック技術者は、システムが他の方法で侵害されていないことを確認し、今後の組織をより良く保護するための情報を収集し、攻撃者を見つけようとします。

ランサムウェアからの復旧

• ランサムウェア対策のリソースについて学ぶ: 「No More Ransom」ポータルとBleeping Computerでは、特定のランサムウェア攻撃に対するヒント、提案、および復号化ツールを提供しています。
• データを復元する: ベストプラクティスに従ってシステムのバックアップをとっていれば、システムを復元して通常業務を再開することができます。

ランサムウェア攻撃者は2019年に平均で1件あたり115,123ドルを収集しましたが、2020年にはコストが312,493ドルに急上昇しました。記録された1つの事例では、組織に4,000万ドルの損失をもたらしました。身代金そのものに加えて、これらの攻撃は業務の中断、修復コスト、ブランド価値の低下など、重大なコストをもたらす可能性があります。