ランサムウェア

ランサムウェアとは

攻撃者は、多くの場合、復号キーと引き換えに身代金を要求します。残念ながら、身代金が払われても攻撃者が復号キーを渡すことはほとんどなく、身代金とデータの両方が被害者から奪われます。

組織におけるランサムウェアからの復旧コスト (身代金の支払いを除く) の平均は273万ドルです。Sophos%E7%A4%BE%E3%80%82%E3%80%8C%3Ca%20href%3D%22https%3A%2F%2Fcybersecurityventures.com%2Fglobal-ransomware-damage-costs-predicted-to-reach-250-billion-usd-by-2031%2F%22%20target%3D%22_blank%22%20external-link%3D%22true%22%20data-analytics-region-id%3D%22footnote_tip%7Clink_click%22%3E2024%E5%B9%B4%E3%81%AE%E3%83%A9%E3%83%B3%E3%82%B5%E3%83%A0%E3%82%A6%E3%82%A7%E3%82%A2%E4%BD%93%E9%A8%93%3C%2Fa%3E%E3%80%82%E3%80%8D%202024ランサムウェアの被害額は、2031年までに年間およそ2,650億米ドルに上り、企業、消費者、デバイスへの攻撃は2秒に1回のペースになると予想されます。%3Ca%20href%3D%22https%3A%2F%2Fwww.einnews.com%2Fpr_news%2F542950077%2Fglobal-ransomware-damage-costs-to-exceed-265-billion-by-2031%22%20target%3D%22_blank%22%20external-link%3D%22true%22%20data-analytics-region-id%3D%22footnote_tip%7Clink_click%22%3Ehttps%3A%2F%2Fwww.einnews.com%2Fpr_news%2F542950077%2Fglobal-ransomware-damage-costs-to-exceed-265-billion-by-2031%3C%2Fa%3E

一部のランサムウェアは、最初にユーザーをうまく誘導し、メール添付ファイルを開かせて、ネットワーク経由で拡散する、悪意のあるコードをダウンロードさせます。また、オペレーティングシステムの脆弱性、物理的なセキュリティシステムの脆弱性、ソフトウェアの弱点を利用してネットワークにアクセスし、システム内に根を下ろすものもあります。

最初の大規模なランサムウェア攻撃は、2013年9月、CryptoLockerの登場で始まりました。これは、ユーザーにファイルをダウンロードするよう誘導し、システムに感染し、ネットワークをスキャンして、暗号化するさらなるシステムとファイルを探す、トロイの木馬と呼ばれるマルウェアです。2014年5月、警察と治安当局の共同捜査の結果、CryptoLockerは活動を停止しました。しかし、多くの模倣ランサムウェアが依然として出回っています。

ほかの多くのランサムウェアファミリは、CryptoLockerの活動停止以降に開発されました。一般的なものに、Conti、Maze (Egregor)、Sodinokibi (REvil)、TorrentLocker、WannaCry、Petya (NotPetya)、Ryuk、MegaCortexがあります。名前が違っても狙いは同じで、データやファイルの復号と引き換えに被害者からお金を脅し取ります。

基本的なコンピュータースキルとインターネットアクセスがあれば誰でもランサムウェアビジネスを始められるような、Ransomware-as-a-Service (RaaS) という新たな仕組みが、この種の攻撃を大幅に増加させる原因となっています。ランサムウェア開発者は、暗号化ツール、被害者との交渉、身代金の回収などのリソースを、身代金の何割かと引き換えに、ほかのサイバー犯罪者に提供しています。

今日のランサムウェア攻撃の多くは、システム管理者やエンドポイント保護機能に見つかりにくくなり、検出が難しくなっています。こうして攻撃者は長期的にデバイスに潜み、いつでも損害を与えることができます。ランサムウェアの平均潜伏期間は24日で、攻撃者には、組織のデータにアクセスして改ざんする十分な時間とチャンスがあります。

パスワード管理が甘かったり、フィッシングメールのリンクをクリックしたりするユーザーが1人いるだけで、企業のネットワークがリスクにさらされます。従業員のセキュリティ意識向上トレーニングを実施することで、多くの企業で、ランサムウェアがネットワークに入り込むリスクを減らすことができます。このトレーニングは、攻撃手法の進化に合わせ、定期的に更新する必要があります。

ソフトウェアの脆弱性を突くマルウェアへの最良の保護対策は、オペレーティングシステムとクリティカルアプリケーションを、パッチとアップデートをすべて適用して、最新の状態に維持することです。ネットワーク監視、パスワード保護、多要素認証 (MFA)、エンドポイントセキュリティ対策はすべて、組織の脅威プロファイルを軽減するために有用な技術や戦術です。

データの暗号化の発見と身代金の要求はランサムウェアの最も目に見える兆候かもしれませんが、これらは攻撃の最後に発生します。組織がランサムウェア攻撃の兆候を早期に検出できれば、攻撃を阻止し、さらなる被害を防ぐことができる可能性があります。侵入検知および防止システム (IDS/IPS) を使用して、受信および送信ネットワークトラフィックフローを監視し、悪意のあるアクティビティや疑わしいアクティビティをブロックします。潜在的な脅威アクティビティが検出された場合、IDS/IPSツールはセキュリティエコシステム全体に脅威情報を共有し、さらなる保護措置を講じることができます。

ランサムウェア攻撃の脅威を完全に排除することは不可能なので、堅牢なバックアップ戦略をきちんと実施して、攻撃を受けたときに業務の中断を最小限に抑え、組織を迅速にリカバリできるようにします。ランサムウェアはバックアップも暗号化しようとするため、こうしたバックアップはネットワークとは別にしてマルウェアのアクセスを防止する必要があります。

今日のランサムウェア攻撃の多くは、システム管理者やエンドポイント保護機能に見つかりにくくなり、検出が難しくなっています。こうして攻撃者は長期的にデバイスに潜み、いつでも損害を与えることができます。ランサムウェアの平均潜伏期間は24日で、攻撃者には、組織のデータにアクセスして改ざんする十分な時間とチャンスがあります。

パスワード管理が甘かったり、フィッシングメールのリンクをクリックしたりするユーザーが1人いるだけで、企業のネットワークがリスクにさらされます。従業員のセキュリティ意識向上トレーニングを実施することで、多くの企業で、ランサムウェアがネットワークに入り込むリスクを減らすことができます。このトレーニングは、攻撃手法の進化に合わせ、定期的に更新する必要があります。

ソフトウェアの脆弱性を突くマルウェアへの最良の保護対策は、オペレーティングシステムとクリティカルアプリケーションを、パッチとアップデートをすべて適用して、最新の状態に維持することです。ネットワーク監視、パスワード保護、多要素認証 (MFA)、エンドポイントセキュリティ対策はすべて、組織の脅威プロファイルを軽減するために有用な技術や戦術です。

ランサムウェア攻撃の脅威を完全に排除することは不可能なので、堅牢なバックアップ戦略をきちんと実施して、攻撃を受けたときに業務の中断を最小限に抑え、組織を迅速にリカバリできるようにします。ランサムウェアはバックアップも暗号化しようとするため、こうしたバックアップはネットワークとは別にしてマルウェアのアクセスを防止する必要があります。

• フィシングメール: ランサムウェアによくある媒体として知られているのがフィシングメールです。攻撃者はターゲットに対し、信頼できるソースから来たように装ったメールを送信します。これらのメッセージは通常、偽のWebサイトに個人の認証情報を入力させようとしたり、マルウェアを含むファイルをダウンロードさせようとしたりします。
• リモートデスクトッププロトコル (RDP): リモートデスクトッププロトコル (RDP) はMicrosoftのプロトコルであり、ユーザーがシステムにリモートで接続し、そこでコマンドを実行できるようにするものです。RDPセキュリティは、ユーザーが強力な一意のパスワードを使うことが大前提となりますが、残念ながらこれはあまり実践されていません。攻撃者はRDP認証を簡単に破ったり、盗まれたユーザー名やパスワードをダークWebで購入したりして、システムへのアクセスを獲得します。
• ソフトウェアの脆弱性: ソフトウェアの脆弱性もまた、ランサムウェアのよくある侵入経路です。アップデートされていないソフトウェアはセキュリティアーキテクチャーに隙ができ、マルウェアの侵入を呼び込みます。こうした脆弱性は、クラッキングや認証情報の収集をする必要がないので、攻撃者にとって比較的扱いやすいターゲットになります。

残念なことに、最高のセキュリティシステムや対策であっても、ランサムウェア攻撃を完全に防ぐことはできません。攻撃の初期段階を検知、防御し、業務を復旧させ、攻撃が成功した場合の潜在的なデータ損失を最小限に抑えるためには、重層的なセキュリティアプローチと包括的なデータバックアップおよびリカバリ計画が不可欠です。

HPE SimpliVityハイパーコンバージドソリューションはITインフラストラクチャを強化し、データ保護戦略とリカバリプロセスを簡素化します。特に、複数のリモートオフィスをサポートする必要がある企業に適しています。組み込みデータ保護のような統合機能を提供するこうしたソリューションによって、リモートオフィスやブランチオフィス (ROBO) の負担を軽減し、企業全体をより適切に保護できます。データ効率に優れており、バックアップの頻度を増やしてもほぼ継続的なデータ保護、長期保持、迅速なリカバリを実現できるため、ランサムウェアに感染した場合、VMとそのデータをすばやく簡単に復元し、システムのダウンタイム、ビジネスの中断、利益損失を最小限に抑えることができます。

HPE StoreOnceはバックアップ専用アプライアンス (または仮想マシン) であり、ランサムウェア攻撃から重要データを効果的に隔離するHPE StoreOnce Catalystストアを含んでいます。そのため、攻撃者は、ハードウェアの一部または全部を破壊するような、直接の物理的作用に訴えなければ、データに影響を与えることはできません。原因がマルウェアか天災かを問わず、たとえ単一の場所でハードウェアが破壊されたとしても、HPE StoreOnce Catalystストアの高度な実装 (分散型実装) は、ランサムウェア攻撃者が利用する従来の通信ラインやコマンドセットからミッションクリティカルなデータを効果的に隔離し、保護します。

HPE Zerto Softwareがジャーナルベースの継続的データ保護 (CDP) を提供するとともに、エッジからクラウドまでの仮想化/コンテナ化アプリケーションおよびデータに対する卓越したリカバリ機能を提供します。HPE Zerto Softwareのプラットフォームは、プライベート、パブリック、クラウドネイティブ展開など、あらゆる種類のクラウドとの間で保護を実行できる高度な柔軟性を備えています。スケールアウトアーキテクチャーによって、ペタバイトレベルのデータと何千ものVMを保護できます。ソフトウェアのみによるこのソリューションは、基盤のハードウェアが何であれ、本番システムの動作低下を伴わずにすべてのデータ変更をコピーします。

HPE Aruba NetworkingのセキュリティファーストのAIを活用したネットワークは、セキュリティチームとネットワークチームがサイバーセキュリティ保護を犠牲にせずに、IoTおよびAI主導のビジネスイニシアチブを推進するために利用できる共通のゼロトラスト基盤を提供します。

HPE Aruba Networking Centralは、IDS/IPS脅威インテリジェンスシグネチャを使用してネットワークの悪意のあるアクティビティを監視し、ネットワークトラフィックを検査してランサムウェアキルチェーンに一致するパターンを検出し、脅威イベントを生成し、(セキュリティ管理者が有効にしている場合) 悪意のあるデータパケットを破棄します。これらの機能は、ネットワークをアクティブに分析し、通知を送信し、トラフィックフローに対してルールに基づくアクションを実行して、ランサムウェアなどの脅威をリアルタイムで防止する追加の保護レイヤーを提供します。HPE Aruba Networking CentralのWebhookを構成して、予防措置のためにHPE Zerto Softwareに通知を送信することもできます。

マルウェアベースの攻撃が拡散する前に対抗するため、HPE Aruba Networking SSEのサンドボックス機能により、組織は安全な仮想環境で疑わしいファイルをテストし、悪意のあるファイルが被害をもたらす前に破壊することができます。