ランサムウェアとは?被害に遭わないために企業がとるべき感染対策
国内においても多数の被害が報告されており、企業活動に重大な影響が出るランサムウェア攻撃について、現状とその対策について解説します。
- ランサムウェアとは?
- ランサムウェアの状況
- 被害に遭わないために企業がとるべき感染対策とは
- まとめ
ランサムウェアとは?
ランサムウェアとは、Ransom(身代金)とSoftware(ソフトウェア)を組み合わせた造語です。
つまり、身代金を要求するために使用されるソフトウェアがランサムウェアと呼ばれています。
よく聞かれる質問に、マルウェアとランサムウェアの違いは何か?というのがあります。
ピンチアウトで拡大
マルウェアとは大きく、悪意を持ってコンピューターシステムに被害をもたらすソフトウェアの事です。
ランサムウェアはマルウェアの一種で、被害を受けた組織に身代金を要求するために、コンピューターシステムに保存されている重要情報を暗号化し、流出させたり、コンピューターをロックして使用できなくしたりするようなソフトウェアです。
一般的なランサムウェアによる攻撃の流れを解説します。
ピンチアウトで拡大
① 攻撃者はメールの添付ファイルやネットワーク侵入などの手段を用いてマルウェアを仕掛けます。
② メールやWebサイトを通じて、ランサムウェアが攻撃対象組織のコンピューターシステムに送り込まれ感染します。
③ ランサムウェアはコンピューターシステム上のファイルを暗号化する、流出させるなどの方法を用いて、コンピューターシステムを使用不可にしたり、重要情報を搾取したりします。
④ 攻撃者はこれらを被害から回復する代償として身代金を要求します。
実際のランサムウェアグループによる攻撃では他にも、管理者権限を乗っ取る事によって活動を隠蔽し、またバックアップ等も使用不可にして復旧を困難にするといった事も行います。
ランサムウェアの状況
先日、メジャーなランサムウェアグループContiの内情が流出したConti Leaksで明らかになったように、ランサムウェアの運用は組織化・ビジネス化され、ほとんど会社組織と言っても良い構成になってきています。ランサムウェア運用者グループは、ダークウェブ等を通じて専門的な知識を持つ技術者、実際の運用に関わる多数の人員などを雇い入れ、非常に高度な技術と実行力を身につけてきています。
それにより、報道等で伝わっている通り、海外では企業が活動停止に追い込まれ、それにより重要インフラが停止するような被害も発生しており、身代金の額が数億から数十億円に高騰するなど、最も深刻な被害を発生させている脅威の一つとなっています。
国内においても、製造系企業が操業停止に追い込まれると行った被害が発生しており、IPAの「情報セキュリティ10大脅威 2022」においても、2021年から2年連続して、「ランサムウェアによる被害」が「組織」における脅威の1位として取り上げられているなど、ランサムウェアに対して適切な防御策を講じる事は、企業活動を継続する上で重要な課題となっています。
ピンチアウトで拡大
被害に遭わないために企業がとるべき感染対策とは
では、ランサムウェアの被害に遭わないようにする、また万が一被害に遭っても復旧できるようにするためには、どのような準備、対策を行えば良いか具体的に見ていきます。
●OS、アプリケーションの定期的なアップデート
ランサムウェアはその活動の様々な過程において、OS、アプリケーション(サービス)の脆弱性を利用するため、OS・アプリケーションを適切にアップデートする事は最も基本的な対策です。
●パスワードポリシーの強化
特に企業や組織の内部ネットワークに攻撃者が侵入する、「侵入型」と呼ばれるランサムウェア攻撃では、攻撃者はネットワーク盗聴等の手段を用いてアカウントのクレデンシャル情報を入手、解析し、権限を持つアカウントの乗っ取りを行う事が一般的です。
そのため、パスワードポリシーを強化し、より複雑なパスワードを用いる事で、パスワード解析の難易度を高める事が可能です。
●セキュアなバックアップソリューションの導入
企業や組織においては、重要な情報は適切にバックアップを取られている事がほとんどだと思いますが、不運にもランサムウェアの攻撃を受けてしまった場合、ランサムウェアの攻撃過程において、バックアップやスナップショットの消去を行い、復元を困難にするような攻撃も実施されるため、これらのバックアップが有効に働くとは限りません。
このような攻撃に対しては、Rubrikのような、ランサムウェアによる暗号化や削除に対応した、よりセキュアなバックアップソリューションを導入する事でバックアップの安全性を担保する事が可能です。
●エンドポイントセキュリティ製品の導入
ランサムウェアによる被害を防ぐためには、エンドポイントセキュリティ製品は非常に有効です。
もしPCのユーザーが誤ってランサムウェアを実行してしまったとしても、適切なエンドポイントセキュリティ製品が導入されていれば、活動を抑え込む事が可能です。
しかしながら、昨今の標的型サイバー攻撃に用いられるランサムウェアは、従来型の製品で用いられているパターンマッチングによる検出手法ではほとんど捉える事が出来ません。
それに対し、SentinelOneの様なEDR(Endpoint Detection and Response)は、AIを活用した高度な振る舞い検知機能を持ち、未知のランサムウェアに対しても効果的に対処する事が可能で、例えランサムウェアが実行されてしまったとしても、ファイル暗号化のプロセスを遮断します。
また、EDRの統合管理機能により、これらの問題に対して頼迅速に対応する事が出来、問題発生後の原因解析も容易にします。
●NDR(Network Detection and Response)の導入
ランサムウェアに限らず、様々なマルウェアやネットワークに侵入する攻撃者は、ラテラルムーブメントと呼ばれる、内部に侵入後 ネットワーク内のコンピューターシステムに被害を拡大し、より多くの機器の乗っ取りを行うといった行為を行います。
これらの活動の発見は、一般的にインターネットとの境界に設置されるIDS/IPSでは困難であり、内部ネットワークの状況を監視、可視化できる製品が必要となります。
ARISTA Awakeの様なNDR製品は内部ネットワークの状況を監視、可視化を可能にし、攻撃者のネットワーク侵入、ランサムウェアのラテラルムーブメントなどを監視する上で有効に働きます。
●ランサムウェア攻撃シミュレーションの実施
これまでに記載した対策や、セキュリティ製品を導入するだけでは不十分で、本当に効果的な対策が取れているかの検証を行う事も同様に重要となってきます。
また、ランサムウェアは一般的なマルウェアと異なり、ファイルの暗号化やバックアップ削除といった操作を行うため、これらの挙動も再現できる手法が必要となります。
そこでPENTERAが提供するランサムウェアエミュレーションを用いる事で、実在するランサムウェアグループによる攻撃フローの全てを忠実に再現した検査を実施する事が出来、導入しているセキュリティ製品や各種対策が有効に働いているのか、対策に漏れは無いのを把握する事が出来るようになります。
まとめ
ランサムウェアは昨今企業活動に最も影響を与える重大な脅威となっています。
従来のセキュリティ対策から、より高度なセキュリティ製品の導入、置き換え、セキュアなバックアップ手法の導入に加え、セキュリティ対策の有効性を検証するツールも導入する事で、ランサムウェアのリスクを大幅に軽減できるようになります。
新たな脅威に対抗できるよう、攻撃手法などの最新のセキュリティ情報の収集や、必要に応じてセキュリティーツールの導入などの継続的な対策を実施し、ランサムウェアの脅威に備えておくことが重要です。