ランサムウェアは、マルウェアの中でも最も顕著で目につくタイプに急速になりつつある。最近のランサムウェア攻撃は、病院の重要なサービス提供能力に影響を与えたり、都市の公共サービスを麻痺させたり、様々な組織に大きな損害をもたらしました。
ランサムウェア攻撃とは
ランサムウェアはマルウェア攻撃の一種であり、攻撃者は被害者のデータや重要なファイルをロックして暗号化し、データのロック解除と復号化のための支払いを要求します。
この種の攻撃は、人間、システム、ネットワーク、ソフトウェアの脆弱性を利用して、被害者のデバイス(コンピュータ、プリンタ、スマートフォン、ウェアラブル端末、POS端末、その他のエンドポイント)に感染します。
ランサムウェア攻撃の例
ランサムウェアには、何千種類ものマルウェアが存在します。以下に、世界的な影響を与え、広範な被害をもたらしたマルウェアの例をいくつか挙げます。
1. WannaCry
WannaCryは、Windows SMBプロトコルの脆弱性を悪用する暗号化ランサムウェアで、他のマシンに感染させる自己増殖メカニズムを持っています。WannaCryは、暗号化/復号化アプリケーション、暗号化キーを含むファイル、Tor通信プログラムを抽出する自己完結型プログラムであるドロッパーとしてパッケージ化されています。難読化されていないため、検出と削除は比較的容易である。
2017年、WannaCryは150カ国に急速に拡散し、23万台のコンピューターに影響を与え、推定40億ドルの損害をもたらした。
2. Cerber
Cerberはランサムウェア・アズ・ア・サービス(RaaS)であり、サイバー犯罪者が利用可能で、マルウェア開発者とともに攻撃を実行し、戦利品を拡散する。
Cerberはファイルを暗号化している間、静かに実行され、ウイルス対策やWindowsセキュリティ機能の実行を阻止し、ユーザーがシステムを復元できないようにすることもある。マシン上のファイルの暗号化に成功すると、デスクトップの壁紙に身代金のメモを表示します。
3. Locky
Lockyは160種類のファイルを暗号化することができ、主にデザイナー、エンジニア、テスターが使用するファイルを暗号化します。2016年に初めてリリースされました。主にエクスプロイトキットやフィッシングによって配布され、攻撃者はユーザーに悪意のあるマクロを含むMicrosoft OfficeのWordファイルやExcelファイル、または抽出時にマルウェアをインストールするZIPファイルを開くよう促すメールを送信します。
4. Cryptolocker
Cryptolockerは2017年にリリースされ、50万台以上のコンピューターに影響を与えた。通常、電子メール、ファイル共有サイト、保護されていないダウンロードを通じてコンピュータに感染する。ローカルマシン上のファイルを暗号化するだけでなく、マップされたネットワークドライブをスキャンし、書き込み許可を得たファイルを暗号化することもできる。Crypolockerの新しい亜種は、従来のウイルス対策ソフトウェアやファイアウォールをすり抜けることができる。
5. NotPetyaとPetya
Petyaはマシンに感染し、マスターファイルテーブル(MFT)にアクセスすることでハードディスク全体を暗号化するランサムウェアだ。これにより、実際のファイルは暗号化されないものの、ディスク全体がアクセス不能になる。Petyaは2016年に初めて確認され、主にDropboxに保存された感染ファイルにリンクする偽の求人応募メッセージを通じて拡散した。感染したのはWindowsコンピュータのみだった。
Petyaはユーザーに、管理者レベルの変更を行う許可を与えることに同意するよう要求する。ユーザーが同意すると、コンピュータを再起動し、偽のシステムクラッシュ画面を表示し、裏でディスクの暗号化を開始する。その後、身代金要求の通知が表示される。
オリジナルのPetyaウイルスはあまり成功しなかったが、Kaspersky LabsによってNotPetyaと名付けられた新しい亜種はより危険であることが証明された。NotPetyaは伝播メカニズムを備えており、人間の介入なしに拡散することができる。
NotPetyaはもともと、ウクライナで広く使われている会計ソフトのバックドアを利用して拡散し、その後、Windows SMBプロトコルの脆弱性であるEternalBlueとEternalRomanceを利用した。NotPetyaはMFTだけでなく、ハードドライブ上の他のファイルも暗号化する。データを暗号化すると同時に、復元できないようなダメージを与えます。身代金を支払ったユーザーは、実際にデータを取り戻すことはできません。
6. Ryuk
Ryukは、フィッシングメールやドライブバイダウンロードを介してマシンに感染します。被害者のマシン上でトロイの木馬を抽出し、持続的なネットワーク接続を確立するドロッパーを使用します。攻撃者はその後、Ryukを高度な持続的脅威(APT)の基盤として使用し、キーロガーなどの追加ツールをインストールし、特権の昇格や横移動を実行します。Ryukは、攻撃者がアクセスできるようになった追加のシステムそれぞれにインストールされます。
攻撃者が可能な限り多くのマシンにトロイの木馬をインストールすると、ロッカー・ランサムウェアを起動し、ファイルを暗号化します。Ryukベースの攻撃キャンペーンでは、ランサムウェアの側面は、攻撃者がすでに損害を与え、必要なファイルを盗んだ後の、攻撃の最終段階に過ぎません。
7. GrandCrab
GrandCrabは2018年にリリースされた。ユーザーのマシン上のファイルを暗号化し、身代金を要求するもので、攻撃者が被害者のポルノ視聴習慣を暴露すると脅すランサムウェアベースの恐喝攻撃を仕掛けるのに使われた。いくつかのバージョンがあり、いずれもウィンドウズ・マシンを標的としている。現在、GrandCrabのほとんどのバージョンに対して、無料の復号化ツールが利用可能です。
ランサムウェアの仕組み
ランサムウェアが成功するためには、ターゲット・システムにアクセスし、そこにあるファイルを暗号化し、被害者に身代金を要求する必要がある。
実装の詳細はランサムウェアの亜種によって異なりますが、すべてのランサムウェアは同じ核となる3つの段階を共有しています。
ステップ 1. 感染と配布ベクター
ランサムウェアは、他のマルウェアと同様に、いくつかの異なる方法で組織のシステムにアクセスすることができる。しかし、ランサムウェアの運営者は、いくつかの特定の感染ベクトルを好む傾向がある。
その1つがフィッシングメールだ。悪意のある電子メールには、悪意のあるダウンロードをホストするウェブサイトへのリンクや、ダウンローダー機能が組み込まれた添付ファイルが含まれていることがある。電子メールの受信者がフィッシングに引っかかると、ランサムウェアがダウンロードされ、コンピュータ上で実行される。
もう1つの一般的なランサムウェアの感染経路は、リモート・デスクトップ・プロトコル(RDP)などのサービスを利用するものです。RDP を使用すると、従業員のログイン認証情報を盗んだり推測したりした攻撃者は、その認証情報を使用して企業ネットワーク内のコンピュータに認証し、リモートアクセスすることができます。このアクセスにより、攻撃者はマルウェアを直接ダウンロードし、制御下にあるマシン上で実行することができる。
また、WannaCryがEternalBlueの脆弱性を悪用したように、システムに直接感染しようとする場合もある。ほとんどのランサムウェアの亜種は、複数の感染ベクターを持っている。
ステップ2. データの暗号化
ランサムウェアがシステムにアクセスした後、ファイルの暗号化を開始することができる。暗号化機能はオペレーティング・システムに組み込まれているため、単純にファイルにアクセスし、攻撃者が管理するキーで暗号化し、オリジナルを暗号化されたバージョンに置き換えるだけです。
ほとんどのランサムウェアの亜種は、システムの安定性を確保するため、暗号化するファイルの選択に慎重です。また、一部の亜種はファイルのバックアップやシャドウコピーを削除することで、復号化キーなしでの復旧をより困難にする手段を講じる。
ステップ3. 身代金の要求
ファイルの暗号化が完了すると、ランサムウェアは身代金を要求する準備をします。さまざまなランサムウェアの亜種が多数の方法でこれを実行しますが、ディスプレイの背景が身代金メモに変更されたり、身代金メモを含む暗号化された各ディレクトリにテキストファイルが配置されたりすることは珍しくありません。
通常、これらのメモは被害者のファイルへのアクセスと引き換えに、一定額の暗号通貨を要求します。身代金が支払われた場合、ランサムウェアの運営者は、対称暗号化キーを保護するために使用される秘密キーのコピーか、対称暗号化キー自体のコピーを提供します。この情報を復号化プログラム(これもサイバー犯罪者が提供する)に入力することで、暗号化を解除し、ユーザーのファイルへのアクセスを復元することができる。
これら3つの中核的なステップはすべてのランサムウェアの亜種に存在しますが、異なるランサムウェアには異なる実装や追加のステップが含まれることがあります。例えば、Mazeのようなランサムウェアの亜種は、データ暗号化の前にファイルスキャン、レジストリ情報、データ盗難を実行し、WannaCryランサムウェアは感染して暗号化するために他の脆弱なデバイスをスキャンします。
ランサムウェアの保護
ここでは、組織におけるランサムウェア感染の防止と保護に役立つベストプラクティスをいくつか紹介します:
1. エンドポイント保護
ウイルス対策はランサムウェア対策の第一歩として当然ですが、従来のウイルス対策ツールでは一部のランサムウェアの亜種からしか保護できません。
最新のエンドポイント保護プラットフォームは、次世代アンチウイルス(NGAV)を提供し、回避型または難読化されたランサムウェア、WannaCryのようなファイルレス攻撃、またはシグネチャがマルウェアデータベースでまだ見つかっていないゼロデイマルウェアから保護します。
また、デバイスファイアウォールやEDR(Endpoint Detection and Response)機能も提供しており、セキュリティチームがエンドポイントで発生する攻撃をリアルタイムで検出してブロックするのに役立ちます。
2. データのバックアップ
バージョン管理および3-2-1ルール(2つの異なるメディアに3つのバックアップ・コピーを作成し、1つのバックアップは別の場所に保存する)を使用して、データを定期的に外付けハードディスク・ドライブにバックアップする。可能であれば、バックアップ・データの暗号化を防ぐため、ハード・ドライブをデバイスから切り離す。
3. パッチ管理
デバイスのオペレーティング・システムとインストールされているアプリケーションを常に最新の状態に保ち、セキュリティ・パッチをインストールする。脆弱性スキャンを実行して既知の脆弱性を特定し、迅速に修正する。
4. アプリケーションのホワイトリスト化と制御
デバイスにインストールされるアプリケーションを一元管理されたホワイトリストに制限できるよう、デバイス制御を確立する。ブラウザのセキュリティ設定を高め、Adobe Flashやその他の脆弱なブラウザ・プラグインを無効にし、Webフィルタリングを使用してユーザーが悪意のあるサイトにアクセスするのを防ぐ。ワープロやその他の脆弱なアプリケーションのマクロを無効にする。
5. 電子メールの保護
ソーシャル・エンジニアリングメールを見分けるためのトレーニングを従業員に実施し、従業員がフィッシングを見分け、回避できるかどうかをテストする訓練を行う。スパム対策やエンドポイント保護技術を使用して、疑わしいメールを自動的にブロックし、ユーザーが悪意のあるリンクをクリックしてしまった場合はブロックする。
6. ネットワーク防御
ファイアウォールやウェブ・アプリケーション・ファイアウォール(WAF)、侵入防御/侵入検知システム(IPS/IDS)などを使用して、ランサムウェアがコマンド&コントロール・センターと通信できないようにする。
ランサムウェアの検出
リアルタイムのアラートとブロッキングを使用して、ランサムウェア固有の読み取り/書き込み動作を自動識別し、ユーザーとエンドポイントによるデータへのさらなるアクセスをブロックします。
欺瞞ベースの検出を使用します。これは、ファイル・ストレージ・システム上に隠しファイルを戦略的に配置し、ランサムウェアの暗号化動作を攻撃の初期段階で特定するものです。隠しファイルへの書き込み/リネーム操作は、感染していないユーザーやデバイスのアクセスを許可し続けながら、感染したユーザーやエンドポイントのブロックを自動的にトリガーします。
きめ細かなレポートと分析を使用して、誰が、何を、いつ、どこで、どのようにファイルにアクセスしたかに関するフォレンジック調査のための詳細な監査証跡をサポートします。
欺瞞に基づく検知手段により、感染したユーザーのみがデータへのアクセスをブロックされる。
ランサムウェアの除去: アクティブなランサムウェア感染を軽減する方法
ネットワーク内でランサムウェアの感染を検出した場合、ランサムウェアの脅威を軽減するために直ちに取るべき手順は以下のとおりです:
- 隔離 – 感染したマシンを特定し、ネットワークから切り離し、共有ドライブをロックして暗号化を防ぎます。
- 調査 – 暗号化されたデータのバックアップを確認する。どのようなランサムウェアに感染したか、利用可能な復号化ツールがあるかどうかを確認する。身代金の支払いが実行可能なオプションかどうかを理解する。
- 復元 – 復号化ツールがない場合は、バックアップからデータを復元する。ほとんどの国では、当局は身代金の支払いを推奨していませんが、極端なケースでは実行可能な選択肢となる場合があります。標準的な方法でランサムウェアを削除するか、感染したシステムをワイプして再イメージする。
- 強化 – 内部システムがどのように感染したか、また再発防止策を理解するための教訓セッションを実施する。攻撃者の侵入を許した主な脆弱性やセキュリティ対策の欠如を特定し、それらを是正する。
- 評価 – 危機が去った後は、何が起こり、どのような教訓が得られたかを評価することが重要です。ランサムウェアはどのように実行されたのか?どの脆弱性が侵入を可能にしたのか?ウイルス対策やメールフィルタリングはなぜ失敗したのか?感染はどこまで広がったのか?感染したマシンのワイプや再インストールは可能だったか、バックアップからの復元は成功したか?セキュリティ体制の弱点に対処し、次の攻撃に備えましょう。
