ランサムウェア攻撃

知的財産や個人識別情報、保護対象保健情報（PII/PHI）などの機密データがオンラインに保存されるにつれ、ランサムウェア攻撃のようなサイバー脅威がますます頻繁かつ巧妙になっています。ランサムウェアは、被害者のデータを暗号化し、アクセスを復元するための支払いを要求する悪意のあるソフトウェアです。これらの攻撃は、被害者のデータを混乱させ、制御することを目的としており、重大な財務損失を引き起こし、ビジネス運営に影響を与えます。これらの攻撃の成功は、ターゲットのセキュリティシステムの脆弱性を悪用する能力にあります。したがって、組織は機密データを保護するために警戒し、積極的に対策を講じることが不可欠です。そのため、組織はランサムウェアがもたらす潜在的な脅威を認識し、これらの攻撃を防ぐために必要な手順を踏むことが重要です。

ランサムウェア攻撃

ランサムウェア攻撃とは何か？

ランサムウェア攻撃は、ハッカーが悪意のあるソフトウェアでコンピュータやネットワークを感染させ、被害者のファイルを暗号化し、復号キーと引き換えに支払いを要求する際に発生します。攻撃者は通常、暗号通貨（ビットコインなど）での支払いを要求し、復号キーを提供して暗号化されたファイルへのアクセスを復元します。攻撃者は通常、フィッシングメール、ソフトウェアの脆弱性、または弱いパスワードを通じてターゲットのシステムにアクセスします。ランサムウェア攻撃は、組織に壊滅的な結果をもたらす可能性があります。暗号化されたファイルには、財務データ、顧客データ、企業秘密、機密ビジネス文書などの機密情報が含まれている可能性があります。この情報の喪失は、ビジネスの中断を引き起こし、財務損失、訴訟、長期的な評判の損害をもたらす可能性があります。さらに、身代金を支払っても、攻撃者が約束を守らないか、システムに追加のマルウェアを感染させる可能性があるため、暗号化されたファイルが返される保証はありません。

ランサムウェアの種類

過去10年間で、ランサムウェアは組織にとって大きな脅威となり、ビジネス運営に重大な混乱を引き起こしています。ランサムウェア攻撃から効果的に保護するためには、さまざまな種類のランサムウェアとその感染方法を理解することが重要です。さまざまな種類のランサムウェアとその攻撃方法を見てみましょう。

クリプトランサムウェア

クリプトランサムウェアは、被害者のデータを暗号化してアクセス不能にし、復号キーと引き換えに支払いを要求します。通常、暗号通貨（ビットコインなど）での支払いが求められます。クリプトランサムウェアは、フィッシングメールやソフトウェアやオペレーティングシステムの脆弱性を悪用して広がることが多いです。最もよく知られているクリプトランサムウェアの例は、2017年に150カ国以上で数十万台のコンピュータを感染させたWannaCryです。クリプトランサムウェアは通常、ユーザーをシステムから締め出すことはありません（下記の「ロッカーランサムウェア」を参照）。代わりに、攻撃者のみが持つ秘密鍵でファイルを暗号化し、対応する復号キーなしでは被害者がファイルにアクセスできないようにします。攻撃者はその後、暗号化されたファイルを解除するために必要な復号キーと引き換えに支払いを要求します。

ロッカーランサムウェア

ロッカーランサムウェアは、被害者のコンピュータシステムに感染し、ファイルを暗号化して、復号キーなしではアクセスできなくするように設計された悪意のあるソフトウェアの一種です。このランサムウェアは、被害者のファイルを「ロック」する能力に由来し、身代金が支払われるまでアクセスできないようにします。

ロッカーランサムウェアは通常、プリペイドカードでの支払いを要求しますが、クリプトランサムウェアは通常、ビットコインなどの暗号通貨での支払いを要求します。これは、暗号通貨の取引が追跡しにくいため、攻撃者が匿名性を保ちやすくなるからです。

スケアウェア

スケアウェアは、ユーザーにコンピュータがウイルスやその他のマルウェアに感染していると信じ込ませるランサムウェアの一種です。スケアウェアは、存在しない脅威を警告し、偽のまたは効果のないアンチウイルスソフトウェアを購入するよう促すポップアップウィンドウや偽の警告を表示することがよくあります。

スケアウェアは、ロッカーランサムウェアやクリプトランサムウェアとはいくつかの重要な点で異なります。ロッカーランサムウェアやクリプトランサムウェアは通常、ファイルを暗号化またはロックして身代金を要求しますが、スケアウェアは暗号化やファイルロックを伴いません。代わりに、スケアウェアはユーザーを怖がらせて行動を起こさせるためのソーシャルエンジニアリング戦術に依存しています。

ディスク暗号化ランサムウェア

ディスク暗号化ランサムウェアは、フィッシングメールやソフトウェアやオペレーティングシステムの脆弱性を悪用して広がることが一般的です。このランサムウェアは、被害者のハードドライブ全体を暗号化し、すべてのデータをアクセス不能にし、復号キーと引き換えに支払いを要求します。

モバイルランサムウェア

モバイルランサムウェアは、スマートフォンやタブレットなどのモバイルデバイスに感染します。通常、デバイスの画面をロックしたりデータを暗号化したりして、デバイスやデータへのアクセスを制限し、アクセスを復元するための支払いを要求します。モバイルランサムウェアは、フィッシングメールや安全でないアプリストアからの悪意のあるアプリのダウンロードを通じて広がることが多いです。

ランサムウェア攻撃から機密通信を保護する

多くの機密情報が電子的に保存および送信されているため、ランサムウェア攻撃やその他の潜在的な脅威からこの情報を保護することが不可欠です。機密通信の保護は、暗号化や多要素認証技術、セキュアサーバー、信頼できる第三者プロバイダーによって特徴付けられます。

例えば、メール暗号化は、送信時にメールメッセージや添付ファイルをスクランブルし、傍受された場合に読めないように設計されています。多要素認証（MFA）は、オンラインアカウントへのアクセスに2つ以上の独立した認証形式を必要とする認証プロセスです。MFAは、ユーザー名とパスワードだけでなく、アカウントへのアクセスを得るために追加の認証を要求することで、セキュリティの追加層を提供します。対照的に、セキュアサーバーは、ファイアウォール、侵入検知システム、アンチウイルスソフトウェアなどの堅牢なセキュリティ機能を備えています。最後に、マネージドセキュリティサービスプロバイダー（MSSPs）、クラウドアクセスセキュリティブローカー（CASBs）、システムインテグレーター（SIs）、一部のハードウェアおよびソフトウェアメーカーなどの信頼できる第三者プロバイダーは、通常、より防御可能なインフラストラクチャと高度または専門的なセキュリティトレーニングを受けた従業員を特徴としています。

ランサムウェア攻撃から機密通信を保護しないことは、企業にとって深刻な結果をもたらす可能性があります。リスクには以下が含まれますが、これに限定されません：

PCI DSSの不遵守

支払いカード業界データセキュリティ基準（PCI DSS）は、クレジットカード情報を受け入れ、処理、保存、または送信するすべての企業がカード保有者データを保護するための安全な環境を維持することを保証するために設計された一連のセキュリティ基準です。組織が不十分なセキュリティ対策によりデータ侵害を受け、顧客のカード保有者データを露出させた場合、PCI DSS要件に従わなかったとして罰金や罰則を受ける可能性があります。

データ侵害と個人識別情報（PII）の喪失

ランサムウェア攻撃では、PII、保護対象保健情報（PHI）、財務データ、その他の機密情報が侵害され、漏洩する可能性があります。これにより、評判の損害、顧客の信頼の喪失、機密顧客データを保護できなかったことによる集団訴訟が発生する可能性があります。

HIPAA違反

医療業界の組織がランサムウェア攻撃を受けた場合、医療保険の相互運用性と説明責任に関する法律（HIPAA）に違反する可能性があります。HIPAAは、PHIのプライバシーとセキュリティを保護するための基準を設定し、不遵守に対して罰則を課します。

身代金の要求

ランサムウェア攻撃は、攻撃者が暗号化されたデータと引き換えに支払いを要求する結果をもたらすことがよくあります。身代金を支払っても、攻撃者が暗号化されたデータを解放する保証はありません。組織が身代金を支払うことを拒否した場合、ハッカーは「シェーミングサイト」を使用すると脅すことがあります。シェーミングサイトには、身代金を要求されている企業のリストや取得したデータの詳細が掲載されることが一般的です。サイトには、データのスクリーンショット、情報をダウンロードするためのリンク、またはデータが投稿された他のウェブサイトへのリンクが含まれることもあります。シェーミングサイトの目的は、企業を公に恥をかかせ、身代金を支払うよう圧力をかけることです。

ビジネスの中断

ほとんどの場合、ランサムウェア攻撃は、重要なシステムやデータへのアクセスの一時的または恒久的な喪失を引き起こし、重大なビジネスの中断を引き起こします。これには、以下のような不便から生命に関わるものまでの範囲があります：

病院システムが患者を受け入れられなくなる
従業員が仕事用コンピュータにアクセスできなくなり、顧客サービスが中断される
製造工場やサプライチェーンが停止する
オンラインストアが注文を処理できなくなる
デジタル決済ネットワークが無効になる
政府サービスが影響を受ける
コンピュータ支援設計およびエンジニアリングシステムが停止する
銀行サービスが利用できなくなる
小売業者が支払いを受けたり顧客データにアクセスできなくなる
データセンターがオフラインになる
ファイル、文書、バックアップが暗号化され、アクセス不能になる
企業が重要なシステムやアプリケーションにアクセスできなくなる

ランサムウェア攻撃からの保護のためのベストプラクティス

ランサムウェア攻撃から保護するためには、堅牢なセキュリティ対策を実施し、ベストプラクティスに従うことが不可欠です。ランサムウェア攻撃から保護するためのベストプラクティスには、以下のものがあります：

定期的なソフトウェアの更新

定期的なソフトウェアの更新は、サイバーセキュリティにおいてランサムウェア攻撃から保護する上で重要な役割を果たします。攻撃者は、ソフトウェアの脆弱性を特定し、それを悪用してマルウェアやランサムウェア攻撃を開始します。

ソフトウェアの更新は、攻撃者がデバイスに不正アクセスしてランサムウェアをインストールするために悪用できる既知の脆弱性に対処します。ソフトウェアベンダーは、これらの脆弱性を修正するために更新をリリースし、ソフトウェアを定期的に更新することで、ユーザーは最新の脅威からシステムを保護することができます。

さらに、更新には、システムの攻撃検出および防止能力を向上させるセキュリティパッチも含まれています。これは、攻撃者が戦術を進化させ、新しいマルウェアの亜種を開発しているランサムウェア攻撃の場合に特に重要です。ソフトウェアを最新の状態に保つことで、ユーザーはこれらの増大する脅威に先んじて、攻撃の成功のリスクを減らすことができます。

強力なパスワード

強力なパスワードは、大文字と小文字、数字、特殊文字の組み合わせで構成されており、攻撃者がパスワードを推測したり解読したりするのを非常に困難にします。これにより、攻撃者が自動化ツールを使用してパスワードを総当たり攻撃で解読しようとすることが多いため、攻撃の成功のリスクが大幅に減少します。

さらに、各オンラインアカウントに対して一意のパスワードを使用すること（「パスワードの多様性」とも呼ばれます）が重要です。攻撃者が1つのアカウントにアクセスすると、同じパスワードを使用している複数の他のアカウントにもアクセスできる可能性があります。さまざまなアカウントで同じパスワードを再利用することは、攻撃の成功のリスクを高めます。

二要素認証（2FA）または多要素認証を実装することで、パスワードに追加のセキュリティ層を追加し、パスワードに加えて、電話に送信されたコードや認証アプリによって生成されたコードなどの追加の確認形式を要求します。これにより、攻撃者がシステムやそれが保持する機密コンテンツにアクセスするのが非常に困難になり、たとえパスワードを取得していても、アクセスを防ぐことができます。

バックアップ

重要なデータの頻繁で定期的なバックアップは、影響を受けたユーザーがデータを攻撃前の状態に復元し、身代金の要求を回避することを可能にします。バックアップは、外付けハードドライブ、クラウドストレージ、またはその他の安全なストレージソリューションに保存できます。バックアップは、攻撃が発生した場合に最新のデータバージョンが利用可能であることを確認するために、定期的に更新する必要があります。

さらに、バックアップデータの整合性を確認するための定期的なテストを含むバックアップ戦略を実施し、オフサイトの場所や切断されたバックアップデバイス（「エアギャップバックアップ」とも呼ばれる）などの別の安全な場所にバックアップデータを保存することが重要です。これにより、バックアップデータがランサムウェアによって感染または暗号化されるのを防ぎ、攻撃が成功した場合でも復元が可能であることを保証します。

メールセキュリティ

スパムフィルターやドメインベースのメッセージ認証、報告、適合（DMARC）、送信者ポリシーフレームワーク（SPF）、ドメインキー識別メール（DKIM）などのメール認証プロトコルなどのメールセキュリティ対策を実施することで、組織はフィッシング攻撃の成功のリスクを大幅に減少させることができます。

スパムフィルターは、悪意のあるメールの配信を検出し防止するのに役立ちます。一方、メール認証プロトコルは送信者の身元を確認し、メールが送信中に変更されていないことを確認します。これにより、信頼できる送信元からのように見えるフィッシングメールを防止し、受信者が悪意のあるリンクをクリックしたりマルウェアをダウンロードしたりする可能性を低くします。

さらに、フィッシングメールを識別し回避するためのユーザーの意識とトレーニングも重要であり、すべての組織のセキュリティリスク管理戦略の一部であるべきです。従業員にメールセキュリティの重要性を教育し、フィッシングメールを識別し回避するために必要なツールと情報を提供することで、組織は攻撃の成功のリスクを減少させ、ユーザーがフィッシング攻撃に対してより適切に対応できるようにします。

監視

監視は、サイバーセキュリティにおいてランサムウェア攻撃から保護するための重要な側面です。システム、ネットワーク、エンドポイントを継続的に監視して不審な活動を検出することで、組織は潜在的なランサムウェア攻撃を早期に検出し、迅速に対応して被害を防止または軽減することができます。

複数のソースからログデータを収集、分析、相関させるセキュリティ情報およびイベント管理（SIEM）ソリューションを実装することは、効果的な監視にとって重要です。これにより、機密データやネットワークインフラへのアクセス試行などの異常または不審な活動を検出し、それに応じて対応することができます。

さらに、エンドポイント検出および対応（EDR）などのリアルタイムエンドポイント保護ソリューションも重要です。これらのソリューションは、ラップトップやサーバーなどのエンドポイントを監視し、マルウェアやその他の悪意のある活動の兆候を検出し、ランサムウェア攻撃が重大な被害を引き起こす前に組織が検出し対応するのを支援します。

監視には、定期的なセキュリティ評価や脆弱性スキャンも含めるべきであり、これにより、組織のシステムやインフラの潜在的な弱点を特定し、攻撃の成功のリスクを軽減するための措置を講じることができます。

Kiteworksでランサムウェアから機密コンテンツを保護する

Kiteworksは、機密データの管理と共有のための安全なプラットフォームを提供するプライベートコンテンツネットワークです。高度なセキュリティ機能と暗号化技術を備えたKiteworksは、ランサムウェア攻撃やその他のセキュリティ脅威からプライベートデータと通信を保護するのに役立ちます。

Kiteworksの重要な機能の1つは、ユーザーの役割と権限に基づいて機密データへのアクセスを制限する管理者のための詳細なアクセス制御です。これにより、ランサムウェア攻撃が発生した場合でも、データへの不正アクセスを防ぐことができます。

Kiteworksのセキュリティのもう1つの重要な要素は、バックアップと災害復旧（BDR）機能です。Kiteworksは定期的にデータを自動的にバックアップし、攻撃が発生した場合にデータを復元できるようにすることで、組織に安心感を提供します。これにより、ランサムウェア攻撃の影響を最小限に抑え、組織がバックアップからデータを迅速に復元し、通常の業務に戻ることができます。

Kiteworksがどのようにして組織を保護するのに役立つかについて詳しく知りたい場合は、今日中にお問い合わせいただき、デモをスケジュールしてください。

リスクとコンプライアンス用語集に戻る