凶悪なランサムウェア、実は6種類もあるらしい

ランサムウェア攻撃では圧倒的に攻撃者が有利だ。攻撃に使うツールが販売されており、全ての企業が攻撃対象だ。防御は難しい。まずは何をすればよいのだろうか。

[Sebastian Goodwin，Cybersecurity Dive]

　過去10年間で、ランサムウェアは手っ取り早くもうけようとするサイバー犯罪者のお気に入りの戦術になった。

　不思議なことではない。ランサムウェア攻撃を受けた組織が支払う平均額は100万ドルに近づいている。多くの犯罪グループは現在、RaaS（Ransomware as a Service）専門のマーケットプレースで自分たちのツールやサービスを販売しており、攻撃者側のハードルが下がっている。

ランサムウェア ≠ データの不正な暗号化

　Cybersecurity Venturesの推計によると、世界のランサムウェア被害額は、この10年間で年間2650億ドルに達すると予想されている（注1）。ほぼ全ての企業がインターネットに常時接続しているため、これはひとごとではない。

　攻撃者はツールや戦術を進化させ続けており、全世界の組織が2秒に1回攻撃されるという現実が間近に迫っている。

　このような世界でビジネスを営むことは大変な重圧に思えるものの対抗策はある。最新のサイバーセキュリティのアプローチはランサムウェアの成長に追い付こうとしている。

　ランサムウェアの防御に先進的な考え方を適用しようとするCISO（最高情報セキュリティ責任者）は、サイバーセキュリティ戦略を策定する際に、新しいプロセスや戦術の統合を試みている。

ランサムウェアは6種類ある

　数多くの専門のグループがランサムウェア攻撃の機会を狙っており、一部の犯罪グループはサービスとしてのランサムウェアというビジネスモデルを通じて、攻撃用のツールを販売している。銀行口座や暗号通貨のウォレットを持つ誰もが、ダークWebを通じてランサムウェア攻撃を自動化できるようになった。

　最初にランサムウェアには複数の種類があることを理解しておこう。主に次の6つに分類できる。

（1）暗号型ランサムウェア
　このタイプのランサムウェアは個々のPCやシステムに侵入した後、特定の種類のファイルを見つけて暗号化し、使用不能にする。身代金を支払わないとデータを完全に削除されて、永久にアクセスできなくなる。

（2）ロッカー型ランサムウェア
　暗号型ランサムウェアが個々のファイルへのアクセスをブロックするのに対して、ロッカー型ランサムウェアはPCやサーバ全体に影響を与え、身代金を支払うまでユーザーがファイルやプログラムにアクセスできないようにする。一般的に、このタイプのランサムウェアはコンピュータシステムに影響を与えるものの、中にはIoT（Internet of Things：モノのインターネット）やスマートホームのデバイスをロックするために特別に作られたものもある。

（3）サービスとしてのランサムウェア
　この種のランサムウェアを販売するのは匿名のハッカー集団だ。企業をターゲットにして検疫ネットワークを破り、代金を回収してファイルを返却するプロセスを自動化する。このようなツールは収益の一定割合または定額で、高度なランサムウェアの手法を使用して、個人ユーザーや組織を攻撃することを容易にしている。

（4）スケアウェア
　ユーザーを脅してウイルス対策ソフトウェアを装ったマルウェアをダウンロードさせたり、身代金を支払わせようとしたりする。ポップアップ式の画像を表示したり、偽のプログラムを使用して、ファイルが盗まれたり暗号化されたように見せかける。

（5）リークウェア／ドックスウェア
　リークウェアはドックスウェアとも呼ばれ、システムに侵入して、ユーザーの機密データを公開すると脅す危険なランサムウェアの一種だ。個人情報を保管、管理する組織や企業にとって最も危険であり、データの返還を要求する身代金要求型の攻撃だ。

（6）二重恐喝
　現在のランサムウェアは上記に挙げた複数の攻撃を併せて仕掛けてくることが多い。二重の恐喝攻撃ではシステムに侵入して、機密データを暗号化し、流出させて、身代金を要求する手口を組み合わせる。他の攻撃と異なり、二重恐喝攻撃は盗み出したデータの返却とPCやサーバで暗号化されたファイルの復号のため、別々に身代金を要求する。つまり被害者は何度も支払いを強要される。

どうすればランサムウェア攻撃に対抗できるのか

　今日のランサムウェアの種類は非常に多様で複雑なため、従来のアンチウイルスソフトウェアやファイアウォールは効果がない。こうしたものに頼る企業はデータを失い、生産性が低下し、恐らく最も重要な顧客の信頼を失う可能性がある。

　最新のセキュリティ対策を講じなければどうなるだろうか。被害を受けた企業のITチームはサイバー攻撃に割く時間が増えて、新製品やサービスの開発支援に費やす時間が減る。被害を受けたストレージシステムを長時間かけて調査したり、データを復旧したり、コンサルタントや危機管理担当者とのやりとりに時間を割いたりするからだ。

未来のハッキングに対抗するハッキングとは

　セキュリティを近代化する方法の一つは、保護機能をストレージシステムに直接、プロアクティブに統合することだ。この方法によりセキュリティチームは、攻撃を検知してリスクを低減するだけでなく、攻撃ソースを分析しながら構造化データや非構造化データの復元が可能になる。

　また、このアプローチは、サイバー脅威に対してシステムを将来にわたって保護するための幾つかの機能を促進する。

動作異常を検出する

　一般的なランサムウェア攻撃では大量のファイルが暗号化されるため、大量の読み取り、書き込み、リネームイベントが起こる。このような動作を検出して、ランサムウェアの脅威に関するアラートを生成するための脅威モデルを統合する。

　異常な動作が実際の攻撃だと分かった段階で、設定可能な修正ポリシーが自動応答を起動し、問題のあるクライアントセッションまたはIPアドレスをブロックするという流れだ。

ファイルセットをイミュータブル化する

　ストレージに書き込まれたデータを読み取り専用に変更することで、イミュータブル（状態を変えることができない）ファイルセットを作成し、ファイルに保存期間を設定することで、保存期間が過ぎるまでデータを修正や削除から保護できる。

　一度書き込まれたデータは変更や削除ができないため、悪意のある攻撃やランサムウェアから最も重要なデータを保護できる。

管理ネットワークを分離する

　データサービスで使用される読み取り／書き込みトラフィックから管理ネットワークを分離することは、共有ファイルストレージに置いたデータの保護に役立つ。

　また、複数の仮想ネットワークをより効果的に管理すれば、攻撃対象領域を縮小して、侵入者がこれらのネットワークに存在する重要なデータにアクセスするのを防ぐことが可能になる。

どうしても避けられない攻撃に対抗するには

　サイバー攻撃はどうしても避けられない。ランサムウェアは全ての企業にとって重大な脅威であり、その脅威は拡大している。今日のサイバーセキュリティの状況では、企業はより積極的に脅威を捕捉し、リアルタイムで業務を回復、復元するために迅速に検出して対処し、その結果生じる規制や法的要求に効率的に対応することが求められている。

　CISOとセキュリティチームは企業を狙うランサムウェアを完全には防ぐことができない。だが攻撃件数は増加している。今こそより効率的なデータ管理とセキュリティ戦略を導入してシステムの将来性を高め、脆弱（ぜいじゃく）な集中型ストレージの保護を確立しなければならない。

出典：Battle of the breach: Prioritizing proactive ransomware defense（Cybersecurity Dive）

注1：Global Ransomware Damage Costs Predicted To Exceed $265 Billion By 2031