ランサムウェアとは何か?
ランサムウェアは、攻撃者に身代金が支払われるまで、コンピュータリソースへのアクセスを永久にブロックしたり、データを暗号化したりするように設計された悪意のあるソフトウェア(マルウェア)の一種です。
最も一般的なランサムウェアの種類には、以下のようなものがある:
- 暗号化ランサムウェア:暗号化マルウェアとしても知られ、最も一般的なタイプのランサムウェアです。暗号化ランサムウェアは、コンピュータシステム上のデータやファイルを暗号化し、復号化キーの身代金を要求します。
- ロッカー・ランサムウェアLocker ランサムウェアは暗号化を使用しません。その代わりに、身代金が支払われるまでユーザーがデバイスを使用できないように、コンピューターの基本的な機能を無効にします。
- スケアウェア:常にランサムウェアのカテゴリーに分類されるわけではありませんが、スケアウェアは、ユーザーを脅してコンピュータがウイルスに感染していると信じ込ませ、金儲けやシステム侵害を目的としたクリーニングソフトウェアの購入を促します。
- Doxware(またはLeakware):Doxwareは、暗号化、流出、および身代金を支払わない限り機密情報や個人情報を公開すると脅迫します。
ランサムウェア攻撃は、製造業、企業、医療機関、学校などの重要なインフラ組織に深刻な被害をもたらす可能性があり、これらの組織は一貫したオペレーションを維持し、重要なデータを保護する必要があります。
身代金の支払いは、支払われた場合、1件あたり数千ドルから数百万ドルに及ぶこともある。また、攻撃の被害に遭った組織は、取り返しのつかない風評被害や、システムのダウンタイム、データ復旧、新しいハードウェアやソフトウェアの提供などの修復費用にも見舞われる。
しかも、身代金を支払った後に攻撃者が復号鍵を渡す保証はないため、組織のデータは危険にさらされている。鍵によってデータが復号化されたとしても、破損していることが多く、可能であれば組織による再生が必要となる。
ランサムウェアの仕組み
組織インフラのデジタル化が進んだことで、ランサムウェアの攻撃ベクトルは複数に及んでいる。最も一般的な方法は、正規の送信者を装い、悪意のあるリンクや添付ファイルを含むフィッシングメールです。攻撃者はまた、怪しいウェブサイトやアプリケーションを通じてランサムウェアを拡散させ、ユーザーが気づかないうちにマルウェアを自動的にダウンロードさせることもあります。
システムインフラの脆弱性がランサムウェア攻撃の標的になることがある。例えば、攻撃者はセキュリティが不十分なRDP(リモート・デスクトップ・プロトコル)を通じて、リモートから企業ネットワークに侵入し、ランサムウェアに感染させることができます。
攻撃者がアクセス権を獲得すると、ランサムウェアは被害者のシステム上で実行され、ターゲットとなるファイルをネットワーク上でスキャンし、さらに拡散するために高い権限を求めます。そして、文書や記録などの貴重なファイルを暗号化します。つまり、ランサムウェアは前述のデータを公開鍵で暗号化し、(攻撃者側に保存されている)秘密鍵によってのみ復号化されます。
ファイルやデータへのアクセスを失うと、被害者は暗号化されたり盗まれたりした資産を取り戻すための支払いを要求する身代金要求書に遭遇する。
IT/OT 環境における独自の課題
ランサムウェアは、IT/OT環境に異なる方法で影響を与える可能性がある:
- IT 環境では、ランサムウェアは通常、データ損失やアクセス遮断を引き起こす。OT環境では、ランサムウェアは機能不全、物理的損害、安全上の危険を引き起こす可能性がある。最近、ドイツの製鉄所では、フィッシングによって開始されたサイバー攻撃が未知の脆弱性を悪用し、標準的なシャットダウン手順を回避したため、高炉に深刻な被害が発生した。
- IT 、OT環境間のネットワークは相互接続されているため、ランサムウェアの発信元がIT 、OTコンポーネントが侵害される可能性がある。このため、想定されるすべての攻撃対象領域を網羅する包括的な防御ラインが必要となる。
- 重要インフラのOTシステムは、電力網、水処理施設、製造ラインなど、最小限の待ち時間でリアルタイムの運用を維持する必要がある。このため、感染したコンポーネントのシャットダウンや隔離が遅れると、ランサムウェアの拡散や被害がさらに拡大する可能性があり、ランサムウェア攻撃への対応作業が複雑になる。
- 相互接続されたIT 、OT環境にランサムウェアが及ぼす可能性のある影響は重大である。石油サプライチェーンなどの重要インフラに対するランサムウェア攻撃は、ガソリンの生産や流通を混乱させ、市民活動や産業活動に広範な混乱を引き起こす可能性がある。
ランサムウェア攻撃を防ぐ12の専門家戦略
20年以上にわたり重要インフラを保護し、世界で1,700を超える組織から信頼を得ている当社は、ランサムウェア攻撃と事業継続の間に何が必要かを熟知しています。ここでは、ランサムウェアの脅威に対抗するための実証済みの12の戦略をご紹介します。
包括的なバックアップ戦略
ランサムウェアに対する予防的な防御戦略として、まず第一に重要なデータを定期的にバックアップし、損失や損害から保護することです。バックアップ・リポジトリーは、オフラインまたは独立した金庫室のネットワークに安全に保存することができ、攻撃の際に身代金を支払うことなくデータを復元することができます。この重要なプロセスは、次のような一方向セキュリティ・ゲートウェイ・ソリューションを使用することで保護することができる。 MetaDefender Optical Diode.
ランサムウェアへの認識を高める
どのようなサイバーセキュリティ戦略も、セキュリティ・チェーンの中で最も弱いリンクである人的要素を確保しなければならない。ランサムウェア攻撃者によるソーシャル・エンジニアリングの手口に対する強い意識を構築するには、必須のトレーニング・コース、ナレッジ・ベース、フィッシング・テスト、定期的なアセスメントが効果的な方法です。OPSWAT Academyは、包括的なサイバーセキュリティの知識、スキル、専門知識を学習者に提供する専門的なトレーニングコースとリソースを提供しています。
脆弱性パッチ
組織が成熟するにつれて、システムやインフラはより複雑になっていく。ランサムウェア攻撃者が悪用できる脆弱性を減らすために、最新のセキュリティ・アップデートとバージョンで継続的にパッチを適用し続けることが極めて重要です。MetaDefender Patch Management モジュールは、エンドポイントアプリケーションで利用可能な最新のアップデートを特定し、自動的にパッチを適用します。
堅牢なEndpoint
組織がリモートワークやより分散化された働き方を採用するにつれ、エンドポイントデバイスを保護し、セキュアにする必要も出てきます。MetaDefenderDeepEndpoint Complianceは、OSレベルのチェック、セキュリティソフトウェア、マルウェアスキャン、脆弱性管理、ディスク暗号化など、標準的なエンドポイントポリシーを超えた包括的なエンドポイントポリシーを実施します。
Email Security
ランサムウェアは、攻撃者がスピアフィッシングや詐欺の手法として送信する電子メールに添付されることもあります。洗練された電子メール攻撃は、正当な送信者に似せ、添付ファイルを開いたりダウンロードしたりしなければならないという切迫感を与えることができます。企業の電子メールシステムは、次のような効果的なマルウェア対策機能を統合する必要があります。 MetaDefender Email Securityゼロデイフィッシング、オンクリックURL、クレデンシャルやCCのハーベスティング、データ漏洩などを防止する。
ペリフェラルMedia セキュリティ
組織はまた、USB フラッシュ・ドライブやその他のポータブル・ストレージ・デバイスのような周辺機器やリムーバブル・メディアからファイルが媒介する脅威からも身を守る必要がある。悪意のあるコンテンツが組織のインフラに侵入するのを防ぐため、受信メディアはすべてスキャンされ、サニタイズされなければなりません。OPSWAT Media 、ほとんどの種類のメディアをスキャンし、99.2%の検出率を達成します。
Secure アクセス実装
Secure アクセスでは、ネットワークのエントリー・ポイントを監視・制御し、すべてのデバイスや接続をリアルタイムで確認できるようにします。MetaDefender アクセスは、すべての接続ノードのセキュリティ態勢を統合的に表示し、必要に応じてセキュリティ・コンプライアンスの実施を可能にします。
Threat Intelligence 実施
高品質のThreat Intelligence フィードを採用し、統合することで、脅威の検出オペレーションの有効性を高めます。 MetaDefender Threat Intelligenceは、ランサムウェアやその他の悪質なサイバー脅威の検知とブロックを推進するために、統合されたセキュリティコントロール全体にわたって重要な検知とコンテキスト化を提供することができます。
未知のマルウェアやゼロデイマルウェアからの保護
未知のマルウェアやゼロデイマルウェアは、発見されていない脆弱性を悪用するため、攻撃者は従来のソリューションを回避することができます。 MetaDefender Sandboxゼロデイマルウェアを検出する適応型脅威分析を活用する高度なマルウェア対策ソリューションを統合し、システムをランサムウェアに脆弱な状態にする回避型の巧妙な脅威を分析することに成功しました。
マルウェア対策Softwareインストール
強力で効果的なエンジンを備えた信頼できるマルウェア対策ソリューションは、あらゆるランサムウェア対策に不可欠です。組織は、悪意のあるファイルやアクティビティをリアルタイムで検出して隔離できる複数のAVエンジンを組み合わせたマルウェア対策ソリューションを採用すべきです。OPSWAT定評ある Multiscanningテクノロジーは、30以上の主要なマルウェア対策エンジンを組み込んでおり、既知の脅威をほぼ100%検出します。さらに、マルチスキャンのインスタンスと結果を効率的に管理するために MetaDefender Endpoint.
二重恐喝ランサムウェアに対するDLP(データ損失防止)の活用
現在、多くのランサムウェア攻撃は、攻撃者がデータを暗号化するだけでなく、身代金を支払わない限りデータを漏洩させると脅して盗み出すという、二重の恐喝を伴っている。OPSWAT'sのProactive DLP、PII(個人を特定できる情報)、財務記録、知的財産などの機密データがネットワークから流出する前に検知し、不正な転送をブロックすることで、これを防ぐことができます。ファイルや電子メールのリアルタイムのコンテンツチェック、AIを活用した分類、画像のOCRにより、DLPソリューションは流出のリスクを低減し、PCI、HIPAA、GDPRなどの標準への準拠を保証します。
多層防御
多層防御戦略は、IT/OTインフラの想定される攻撃面全体に適用することで、高い効果を発揮する。深層防御とは、多数の防御策を重ねることで、情報とデータの周囲を固めるアプローチである。ある防御策が失敗しても、他の防御策が残っていれば、攻撃者が侵入して損害を与えるのを防ぐことができる。OPSWATのMetaDefender Platformが提供する幅広い効果的なテクノロジーとソリューションを活用することで、組織はすべての攻撃面を包括的に保護する強固な防御を構築し、さまざまな段階でランサムウェア攻撃を防ぐことができます。
将来の脅威に対する警戒を怠らない
ランサムウェアは、攻撃者にとって大きな金銭的利益をもたらすため、依然として差し迫ったサイバー脅威となっている。その結果、ランサムウェアの犯罪者は、システム内のあらゆる脆弱なコンポーネントを標的にするため、より多くの戦術や方法を常に考案している。データのバックアップ、ネットワークのセグメンテーション、アクセス制御を通じて、攻撃に備えて重要なリソースを保護することは極めて重要である。さらに重要なこととして、組織は常にインフラを評価・監視し、先見の明を保ち、蔓延する攻撃ベクトルから防御しなければならない。
