Cyber risk resources
What is Ransomware?

ランサムウェアとは?

ランサムウェアは、組織のデータを標的とするマルウェアの一種です。攻撃者はこれを使用して、暗号化によって貴重な情報を人質に取り、復元するには身代金の支払いを要求します。

ランサムウェアは、世界中の何百万もの企業に影響を与えており、現在、組織に対するランサムウェア攻撃の可能性と要求される平均身代金の両方の点で、前例のない速度で増加しています.ランサムウェアは、ネットワーク全体に広がり、データベースとファイル サーバーを標的にするように設計されているため、組織全体をすぐに麻痺させる可能性があります。

ランサムウェア攻撃の背後にある動機は、主に経済的なものです。企業は、ファイルのロックを解除し、システムを復元し、業務をスムーズに再開するために、攻撃者に何百万ドルも支払うことを厭わないことが多いからです。

サイバー犯罪者がマルウェアを継続的にアップグレードし、攻撃戦略がますます巧妙化する中、これらの攻撃者は、膨大な規模と影響力を持つサイバー攻撃を実行するためのリソースを開発しています。

COVID-19 パンデミックの際に導入された外出禁止令は、従業員が個人のデバイスを自宅または共有ネットワークに接続して使用することで、組織のサイバー脆弱性を増大させる一因となっています。サイバー衛生の悪さと、サイバー ベスト プラクティスに対する一般的な認識の欠如が相まって、組織は真にサイバー侵害のリスクにさらされています。

この記事では、ランサムウェアとは何か、この攻撃ベクトルがどのくらいの期間存在しているか、そして今日の企業や個人への影響について詳しく学びます.

ランサムウェアを作成したのは誰ですか?

ランサムウェアは、少なくとも過去 3 年間、新しい攻撃ベクトルとして注目を集めてきましたが、最初に記録されたランサムウェア攻撃は、ほぼ 30 年前に発生しました。

ランサムウェア タイプのウイルスを最初に作成した人物は、1989 年にジョセフ ポップ博士でした。「エイズ トロイの木馬」と呼ばれる彼のプログラムは、フロッピー ディスクを介して、研究会議の知らない参加者に配布されました。ディスクが研究ツールであると信じて、被害者はマルウェアをコンピューターに挿入しました。ディスクが挿入されると、ランサムウェアは最近のようにファイル自体ではなく、ファイル名のみを暗号化し始めました。身代金要求額は 189 米ドルで、支払いが完了するとシステムを復号化するための指示が提供されると約束されていました。実際、このランサムウェアには、身代金を支払わなくてもファイルを個別に復号化できるという欠陥がありました。

それでも、ランサムウェアは最近まで最も一般的なタイプのサイバー攻撃にはなりませんでした。 2000 年代初頭までは、分散型サービス妨害 (DDoS) 攻撃がランサムウェアよりも一般的でした。この傾向は、WannaCry として知られる壊滅的な攻撃によって変化し、2017 年に世界中のセクター全体が侵害され、「ランサムウェアの時代」と呼ばれるものが始まりました。

ランサムウェアは、ほとんどの国で懲役刑に処せられる犯罪です。これは、サイバー固有の法律または情報の盗難や恐喝に関連するその他の法律に違反したためです。ランサムウェアの支払いを禁止する法律を制定する必要があるかどうかについて、ますます議論が高まっています。米国では、特定のサイバー脅威アクターに身代金を支払った者を処罰する法律がすでに制定されています。将来的には、ほとんどの国が身代金の支払いを完全に禁止する可能性があります。これは、身代金がサイバー犯罪経済を助長し、攻撃者がより効果的で危険なランサムウェアを作成できるようにするためです。

ランサムウェアの仕組み

有名な WannaCry ウイルスや NotPetya のように、ランサムウェアがユーザーの介入なしにコンピューター間を移動する場合もありますが、ランサムウェア攻撃は通常、トロイの木馬を使用して実行されます。トロイの木馬はマルウェアの一種で、通常、ユーザーがフィッシング リンクをクリックするか、電子メールの添付ファイルを開くと、エンドポイントにダウンロードされます。神話上のトロイの木馬のように、無害なソフトウェアに偽装され、多くの場合、Endpoint Detection and Response (EDR) によって検出されずに通過します。トロイの木馬がコンピュータ内に侵入すると、パスワードやキーボード ストロークなどのデータを削除、ブロック、コピー、および変更できますが、コンピュータやコンピュータ ネットワークのパフォーマンスを妨害し、さらなるマルウェアの侵入を許します。

ランサムウェアは迅速に動作し、ネットワーク上のすべてのデバイス上の重要なファイルを数時間、数分、さらには数秒以内に暗号化できます。これは、攻撃対象の数と、攻撃者が事前に黙ってデータを監視して盗み出すことに時間を費やしたかどうかによって異なります。暗号化。

ランサムウェアは、コンピューター内のすべてのファイルを暗号化した後、デスクトップにメッセージを表示し、攻撃者から復号化キーを取得するための料金の支払い方法を指示します。ランサムウェア メッセージの例としては、次のようなものがあります。または「コンピュータ上のすべてのファイルが暗号化されました。データへのアクセスを回復するには、この身代金を 72 時間以内に支払う必要があります。」

ランサムウェア攻撃とその亜種は、いくつかの理由から予防技術に対抗するために急速に進化しています。 1 つには、Ransomware-as-a-Service (RaaS) を通じてマルウェア キットが利用できるため、経験の浅いハッカーが大規模な攻撃を実行できるようになります。次に、汎用インタープリターを使用すると、クロスプラットフォームのランサムウェアを作成できます (たとえば、Ransom32 は Node.js と JavaScript ペイロードを使用します)。最後に、選択したファイルの代わりにディスク全体を暗号化し、データを盗み出すなど、新しいランサムウェア技術が登場しています。

ランサムウェアがコンピュータに感染する主な方法は 3 つあります。

1. マルスパムメール

悪意のあるスパム、または「マルスパム」電子メールは、マルウェアを配布するために使用される未承諾の悪意のある電子メールです。電子メールには、PDF、Word 文書、または悪意のある Web サイトへのリンクの形式で、信頼できる添付ファイルとして偽装されたウイルスが含まれている可能性があります。マルスパムは人間の弱点を利用し、ソーシャル エンジニアリングを使用して、正当なソース (信頼できる友人や評判の良い組織など) から送信されたように見せかけ、添付ファイルを開かせたり、リンクをクリックさせたりするように人々をだまします。な

2.マルバタイジング

「マルバタイジング」とも呼ばれる悪意のある広告は、ユーザーの操作をほとんどまたはまったく必要としない別の形態のランサムウェアです。 Web サイトをスクロールしている間、ユーザーは広告をクリックすることさえせずに犯罪者のサーバーに誘導されます。これらの悪意のある広告はしばしばポップアップ ウィンドウとして表示されるからです。

評判の良い正当な Web サイトは、マルバタイジングの影響を受けないわけではないことに注意する必要があります。最新かつ最高のコンピュータ保護を使用しているかもしれませんが、クリックまたはポップアップを 1 回間違えただけで、そのような攻撃の餌食になってしまいます。

3. サービスとしてのランサムウェア (RaaS):

最近のランサムウェアは、サイバー犯罪者の間で非常に人気があり効果的であるため、多くの悪意のあるアクターがオンライン犯罪市場でサービスとしてのランサムウェア (RaaS) ビジネス モデルを運用しています。

RaaS を使用すると、他の個人や企業に対してランサムウェアにアクセスして使用したい人は誰でも、サービスに対してオンライン プロバイダーに料金を支払うだけで実行できるようになり、サイバー犯罪者の障壁が大幅に低下します。多くの RaaS プロバイダーは高度な技術で運営されており、競争力のある市場価格と優れたカスタマー サポート サービスを犯罪者のパトロンに提供しています。

ランサムウェア攻撃にはどのくらい時間がかかりますか?

サイバー攻撃の寿命 (サイバー攻撃者が環境に侵入してから根絶されるまでの自由時間) は、その持続時間です。攻撃者がネットワークにアクセスする時間が長くなればなるほど、重要なデータを収集し、企業のデジタル システム全体に混乱を引き起こす機会が増えます。

世界レベルでは、2020 年の平均サイバー滞在時間は 56 日でした。しかし、アジアの企業は、サイバー攻撃への対処において、米国や EU の企業よりもはるかに悪い成績を収めています。香港とシンガポールでは、ほとんどのサイバー攻撃がシステム内にとどまり、それぞれ 90 日から 180 日間、場合によっては何年も持続するため、攻撃者は検出されずに長期間活動できることがよくあります。

ランサムウェアが情報を人質に取る速度を考えると、時間が重要です。数秒で、貴重な情報を保護するか、それを失うリスクを冒すか、はるかに大きな身代金を支払わなければならないかの違いが生じる可能性があります.適切なサイバー インシデント対応戦略を実施することは、ランサムウェア攻撃に迅速に対応し、滞留時間を最小限に抑えるために組織を準備する最善の方法です。

ランサムウェアの影響

ランサムウェアは、さまざまな要因により、組織を弱体化させる可能性があります。第 1 に、ランサムウェアは重要な企業データを一時的に、場合によっては永久に失わせます。これにより、事業運営が数日間完全に停止し、収益の中断による経済的損失が発生する可能性があります。適切なサイバー保険プランを持たない企業は、インシデント対応費用や、イベントに関連する法務および PR 活動の費用を負担しなければならないため、さらなる経済的損失が修復作業に関連しています。

これに加えて、会社が身代金を支払うことを決定した場合、これにより財務に数百万ドルのへこみが生じる可能性があります。身代金を支払ってもデータが復元されるとは限らないことに注意してください。特に、ランサムウェアを実行する中途半端な攻撃者の増加に伴い、攻撃者自身が有効な復号化キーを持っていないことがよくあります。実際、ランサムウェア攻撃を受けて身代金を支払った中小企業 (SME) の 5 分の 1 は、データを取り戻すことができません。

また、ファイルを復号化しても、マルウェアの感染自体が除去されたわけではありません。 Blackpanda のような経験豊富なデジタル フォレンジックおよびインシデント対応プロバイダーに依存することは、組織に対する継続的な脅威がないことを確認するための最良の方法です。おそらく最も劇的に、企業の評判は永久に損なわれる可能性があります。クライアントは、機密情報を保護し、優れたサービスを提供する組織の能力に対する信頼を失います。

ランサムウェアはどのくらい一般的ですか?

ランサムウェア攻撃は増加しており、アジア太平洋地域だけでも、2021 年のランサムウェア インシデントは前年比で 168% 増加しています。ランサムウェア攻撃がより一般的になっているだけでなく、あらゆるセクターと規模の組織、特に中小企業 (SME) と新興企業を標的にしています。

シンガポールだけでも、サイバー セキュリティ エージェンシーは 61 件のランサムウェア攻撃の報告を受け取りました。これは、2019 年全体の数値のほぼ 2 倍です (The Straits Times、2020 年)。ランサムウェア攻撃の発生率の増加は、「Ransomware-as-a-Service」(RaaS) の出現に関連している可能性があります。被害者が支払った身代金の一部と引き換えに、ランサムウェアの亜種をクライアントにリースするサイバー犯罪組織によって設計されたビジネス モデル。このようにして、技術的な知識がほとんどまたはまったくない人でも、組織に対して高度なランサムウェア攻撃を仕掛けることができます。

身代金の平均要求額は平均 180,000 米ドルであり、ハッカーは常にデジタルの開かれたドアを探しています。あらゆる規模の組織が、直面しているサイバーリスクについて知らされ、回復力を構築することが重要です。

ランサムウェアから誰も逃れることはできません。主に人的エラーによって開始され、数秒で大きな被害をもたらす可能性があるマルウェアの一種であるため、Mac、Windows 10、Linux のいずれであっても、ランサムウェアから保護されているオペレーティング システム (OS) はありません。従来のエンドポイント ディテクション アンド レスポンス (EDR) やアンチウイルスでさえ、既知のマルウェアを検索することで機能するため、ランサムウェアを防ぐことはほとんどできません。ランサムウェアの急速な発展とその絶え間ない進化を考えると、EDR とアンチウイルスは追いつくことができません。動作ベースの脅威ハンティングは、侵害の兆候を早期に発見するための最適なソリューションです。

多くの人が考えているのとは異なり、ランサムウェアを単純に削除することはできません。インシデント対応の専門家だけが、データを独自に復号化したり、ランサムウェアによってもたらされた損害を軽減したりできる可能性があります。

「アジア太平洋市場全体の急速な成長に伴い、ランサムウェア関連の行為は、攻撃者が金銭の追跡を追跡するにつれて、この地域でますます正常化しています。」

ランサムウェア攻撃の標的は誰ですか?

これまで、ランサムウェアの攻撃者は個人を標的にしていました。しかし、サイバー犯罪者は最近、より多くのエンドポイントに影響を与え、有害な影響を与えるために、より多くの支払いを求めて企業に目を向けています.

攻撃者は、機密データを保持している組織を標的にしています。これらの組織は、データを取得するために迅速に支払いを行い、取り返しのつかない損害や恥ずかしさを避けることができます (実際に支払いを行うことがよくあります)。このような企業には、金融機関、医療施設、および政府機関が含まれます。

ハッカーは、これらの業界がデータへの一貫した信頼できるアクセスを必要としており、患者、クライアント、または請負業者の個人を特定できる情報 (PII) が削除または公開された場合に深刻な影響に直面することを知っています。

米国、カナダ、英国などの西側市場は、地理的にランサムウェア攻撃のターゲットの上位 3 位にとどまっています。しかし、アジア太平洋市場 (香港、シンガポール、ASEAN 経済など) での急速な成長に伴い、ランサムウェア関連の行為は、攻撃者が金の流れを追うにつれて、この地域でますます正常化しています。

ランサムウェアから身を守るには?

組織とユーザーをサイバー脅威から保護するには、サイバー衛生への取り組みが不可欠です。マルウェアからの保護は、次の基本から始まります。

  1. ソフトウェアとオペレーティング システムを定期的に更新してください。古いアプリケーションは侵害のリスクが高く、攻撃の標的になることがよくあります。

  2. 悪意のある IP アドレスへのアクセスをブロックするようにファイアウォールを構成します。

  3. 完全に信頼できる場合を除き、ネットワークや組織の外にいる人からのリンクをクリックしたり、添付ファイルを開いたりしないでください。疑わしい場合は、新しい返信メールまたは電話で通信を送信するつもりだったことを送信者に確認してください。

  4. 定期的にデバイスを外付けハード ドライブにバックアップし、バックアップ後にハード ドライブをコンピューターから取り外します。バックアップも攻撃者の標的になります。

  5. インターネットを閲覧するときは、安全な方法に従ってください。珍しい URL のページや信頼されていないサイトにはアクセスしないでください。

  6. 強力な電子メール スパム フィルターを有効にして、フィッシングの試みがエンド ユーザーに到達するのを防ぎます。

  7. ファイルを表示するためにマクロを有効にする必要がある添付ファイルには注意してください。マクロ マルウェアは、複数のファイルに感染する可能性があります。
  8. 受信メールを認証して、メールのなりすましを防ぎます。

  9. アプリケーションのホワイトリストを適用して、ネットワークでの実行が許可されているアプリケーションを監視します。

  10. 電子メールや電話で個人情報や財務情報を明かすことは避けてください。重要な取引は、可能な限り対面で行う必要があります。

より技術的な解決策には、ランサムウェアのインシデント対応会社と協力して、ネットワークとサーバーで定期的なリスク分析を実行し、潜在的な侵害点を特定することが含まれます。侵害評価は、ネットワーク内のバグや脆弱性を特定し、改善の機会を特定し、企業がすでに攻撃を受けているかどうかに関する情報を生成するのに役立つため、総合的なオプションを提供します。また、必要に応じて、滞留時間を短縮し、対応計画とプロセスを迅速に開始できるようにすることで、インシデント対応の取り組みを支援します。