ランサムウェア
ランサムウェアとは
ランサムウェアはサイバー攻撃の一種で、システムへのアクセスを獲得し、そこに保存されているファイルを暗号化します。攻撃者が身代金を条件に提供する秘密キーがなければ、ファイルは復号できません。
ランサムウェアはどうしてこれほど広がっているのか
組織がデータに基づき意思決定することが増え、企業データが貴重な知的財産 (IP) とみなされるようになるにつれ、ランサムウェアはますます広がっています。一部の攻撃者は、データを暗号化するだけでなく、情報を盗み、それを別の悪人の手に渡すと脅して、身代金を払うよう組織に圧力をかけます。
ランサムウェア攻撃を防ぐにはどうすればよいか
残念ながら、身代金が払われても攻撃者が復号キーを渡すことはほとんどなく、身代金とデータの両方が被害者から奪われます。ランサムウェアの被害額は、2031年までに年間およそ2,650億米ドルに上り、企業、消費者、デバイスへの攻撃は2秒に1回のペースになると予想されます。
ランサムウェアの例
一部のランサムウェアは、最初にユーザーをうまく誘導し、メール添付ファイルを開かせて、ネットワークに感染をもたらす悪意のあるコードをダウンロードさせます。また、オペレーティングシステムの脆弱性、物理的なセキュリティシステムの脆弱性、ソフトウェアの弱点を利用してネットワークにアクセスし、システム内に根を下ろすものもあります。
最初の大規模なランサムウェア攻撃は、2013年9月、CryptoLockerの登場で始まりました。これは、ユーザーにファイルをうまくダウンロードさせ、ネットワークを感染させるトロイの木馬というマルウェアです。2014年5月、警察と治安当局の共同捜査の結果、CryptoLockerは活動を停止しました。しかし、多くの模倣ランサムウェアが依然として出回っています。
ほかの多くのランサムウェアファミリは、CryptoLockerの活動停止以降に開発されました。一般的なものに、Conti、Maze (Egregor)、Sodinokibi (REvil)、TorrentLocker、WannaCry、Petya (NotPetya)、Ryuk、MegaCortexがあります。名前が違っても狙いは同じで、データやファイルの復号と引き換えに被害者からお金を脅し取ります。
基本的なコンピュータースキルとインターネットアクセスがあれば誰でもランサムウェアビジネスを始められるような、Ransomware-as-a-Service (RaaS) という新たな仕組みが、この種の攻撃を大幅に増加させる原因となっています。ランサムウェア開発者は、暗号化ツール、被害者との交渉、身代金の回収などのリソースを、身代金の何割かと引き換えに、ほかのサイバー犯罪者に提供しています。
ランサムウェア攻撃から身を守るにはどうすればいいのか
今日のランサムウェア攻撃の多くは、システム管理者やエンドポイント保護機能に見つかりにくくなり、検出が難しくなっています。こうして攻撃者は長期的にデバイスに潜み、いつでも損害を与えることができます。ランサムウェアの平均潜伏期間は24日で、攻撃者には、組織のデータにアクセスして改ざんする十分な時間とチャンスがあります。
パスワード管理が甘かったり、フィッシングメールのリンクをクリックしたりするユーザーが1人いるだけで、企業のネットワークがリスクにさらされます。従業員のセキュリティ意識向上トレーニングを実施することにより、多くの企業で、ランサムウェアがネットワークに入り込むリスクを減らすことができます。このトレーニングは、攻撃手法の進化に合わせ、定期的に更新する必要があります。
ソフトウェアの脆弱性を突くマルウェアへの最良の保護対策は、オペレーティングシステムとクリティカルアプリケーションを、パッチとアップデートをすべて適用して最新に維持することです。ネットワーク監視、パスワード保護、多要素認証 (MFA)、エンドポイントセキュリティ対策はすべて、組織の脅威プロファイルを軽減するために有用な技術や戦術です。
ランサムウェア攻撃の脅威を完全に排除することは不可能なので、堅牢なバックアップ戦略をきちんと実施して、攻撃を受けたときに業務の中断を最小限に抑え、組織を迅速にリカバリできるようにします。ランサムウェアはバックアップも暗号化しようとするため、こうしたバックアップはネットワークとは別にしてマルウェアのアクセスを防止する必要があります。
ランサムウェアはどのように広がるのか
ホームオフィス、設置現場、店先、製造工場、病室、その他のエッジロケーションを含め、ユーザーが様々な場所から企業の重要なアプリケーションやワークロードにアクセスすることが増え、ランサムウェアの脅威が大きくなっています。また、モノのインターネット (IoT) を構成する接続デバイスが、企業ネットワーク経由で人の手を介さずにますますデータを共有し合うようになっています。デジタルトランスフォーメーションの取り組みが拡大するにつれ、セキュリティの脆弱性が明らかになり、企業にとって大きな脅威となっています。
ランサムウェアの変異体は膨大にあり、進化し続けていますが、一般的に、主要な3つの攻撃媒体のうちの1つ以上を使ってネットワークへのアクセスを獲得しています。
フィッシングメール
ランサムウェアによくある媒体として知られているのがフィシングメールです。攻撃者はターゲットに対し、信頼できるソースから来たように装ったメールを送信します。これらのメッセージは通常、偽のWebサイトに個人の認証情報を入力させようとしたり、マルウェアを含むファイルをダウンロードさせようとしたりします。
リモートデスクトッププロトコル (RDP)
リモートデスクトッププロトコル (RDP) はMicrosoftのプロトコルで、ユーザーがシステムにリモートで接続し、そこでコマンドを実行できるようにするものです。RDPセキュリティは、ユーザーが強力な一意のパスワードを使うことが大前提となりますが、残念ながらこれはあまり実践されていません。攻撃者はRDP認証を簡単に破ったり、盗まれたユーザー名やパスワードをダークWebで購入したりして、システムへのアクセスを獲得します。
ソフトウェアの脆弱性
ソフトウェアの脆弱性もまた、ランサムウェアのよくある侵入経路です。アップデートされていないソフトウェアはセキュリティアーキテクチャーに隙ができ、マルウェアの侵入を呼び込みます。こうした脆弱性は、クラッキングや認証情報の収集をする必要がないので、攻撃者にとって比較的扱いやすいターゲットになります。
HPEはランサムウェアからどのように守ることができるのでしょうか
残念なことに、最高のセキュリティシステムや対策であっても、ランサムウェア攻撃を完全に防ぐことはできません。攻撃発生時に業務を復旧しデータ損失を最小限に抑えるには、包括的なデータバックアップ/リカバリ計画が重要です。
HPE SimpliVityハイパーコンバージドソリューションはITインフラストラクチャを強化し、データ保護戦略とリカバリプロセスを簡素化します。特に、複数のリモートオフィスをサポートする必要がある企業に適しています。組み込みデータ保護のような統合型機能を提供するこうしたソリューションによって、リモートオフィスやブランチオフィス (ROBO) の負担を軽減し、企業全体をより適切に保護できます。データ効率に優れており、バックアップの頻度を増やしてもほぼ継続的なデータ保護、長期保持、迅速なリカバリを実現できるため、ランサムウェアに感染した場合でも、VMとそのデータをすばやく簡単に復元し、システムのダウンタイム、ビジネスの中断、利益の損失を最小限に抑えることができます。
HPE StoreOnceはバックアップ専用アプライアンス (または仮想マシン) で、ランサムウェア攻撃から重要データを効果的に隔離するHPE StoreOnce Catalystストアを含んでいます。そのため、攻撃者は、ハードウェアの一部または全部を破壊するような、直接の物理的作用に訴えなければ、データに影響を与えることはできません。マルウェアであれ天災であれ、1か所でハードウェアが破壊されたとしても、HPE StoreOnce Catalystストアの高度な実装 (分散型実装) によって、ランサムウェア攻撃者が利用する従来の通信ラインやコマンドセットからミッションクリティカルなデータを効果的に隔離し、保護します。
ヒューレット・パッカード エンタープライズ傘下のZertoがジャーナルベースの継続的データ保護 (CDP) を提供するとともに、エッジからクラウドまでの仮想化/コンテナ化アプリケーションおよびデータに対する卓越したリカバリ機能を提供します。Zertoのプラットフォームには、プライベート、パブリック、クラウドネイティブ環境など、あらゆる種類のクラウドの間で保護を実行できる柔軟性があります。スケールアウトアーキテクチャーによって、ペタバイトレベルのデータと何千ものVMを保護できます。ソフトウェアのみによるこのソリューションは、基盤ハードウェアが何であれ、本番システムの動作低下を伴わずにすべてのデータ変更をコピーします。