ランサムウェアとは何か?
万が一、現在サイバーセキュリティで最も急速に拡大している脅威をご存知ない方がいらっしゃるかもしれないが、ランサムウェアとは、システムに密かにインストールされ、中のデータをロックまたは暗号化し、その解除や解放のために身代金を要求するマルウェアの一種である。
2016年にランサムウェアが隆盛を極めたのは、消費者や中小企業によるセキュリティポリシーの不十分さ(定期的なバックアップの欠如を含む)が一因であり、サイバー犯罪者による巧妙なソーシャル・エンジニアリングの手口も一因である。
Ciscoのこのビデオが示すように、パーカーを着たハッカーのイメージはとっくに時代遅れだ。「サービスとしてのランサムウェア」の登場により、プログラミングのスキルが限られている、あるいはゼロの人々が、きちんとパッケージ化されたランサムウェア・キットを使ってマルウェアのペイロードを落とし、不注意な企業から金銭をゆすり取ることができるようになった。ランサムウェア・キットは、ダークウェブ上で100ドルから購入することができる。
企業はランサムウェアを警戒する必要がある
ランサムウェア・モデルの儲かる性質は、サイバー犯罪者にとって魅力的である。サービスとしてのランサムウェアの収益性が高まるにつれ、ランサムウェアはもはや中小企業や消費者だけの問題ではなくなっている。
残念ながら、企業の一般的な認識では、ランサムウェアは消費者やSMBの問題であり、それほど心配する必要はないと考えられています。これはいくつかの理由から危険な思い込みである:
- Malwarebytesの調査(via ZDNet)によると、2016年には調査対象となった企業の40%がランサムウェアの被害を受けています。
- 組織のセキュリティ・モデルが成熟し、復旧モデルが明確に定義されていたとしても、不完全なバックアップのコスト、ミッション・クリティカルなデータの限られた復旧メカニズム、完全な復旧にかかる時間などを考慮する必要がある。
- ランサムウェアは急速に進化しており、新しい亜種はファイルレスアプローチを使用しているため、ファイルスキャンによる検出が難しくなっている。Lockyと呼ばれる最近の亜種は、非常に強力なRSA暗号とAES暗号を使用し、感染したシステム上のファイルだけでなく、感染ポイントに接続されているマッピングされていないネットワークドライブも暗号化し、ボリュームシャドースナップショットを削除します。つまり、シャドウコピーを削除することでファイルの復元を阻止するよう設計されているのです。
攻撃ベクトル
ほとんどのサイバーセキュリティ研究者によると、2016年は恐喝の年だった。2016年にマルウェアのペイロードを落とすために採用された人気のある手法には、以下のようなものがある:
悪意のある添付ファイルやリンクを含む標的型フィッシングメール(Locky、Torrentlocker、CTB-Locker)
2016年によく見られた攻撃手法は次のようなものだった:企業の従業員が、添付ファイル(請求書など)が付いた正規のメールと思われるものを受信する。添付ファイルを開くと、文書のエンコーディングが文字化けしている(文字化けしている)。不正なデータエンコーディングが表示される場合は、マクロを有効にしてください。ユーザーがマクロを有効にすると、すぐにランサムウェアがダウンロードされ、ペイロードが実行される。
ソーシャル・エンジニアリング
サイバー犯罪者は、ほとんどの現代企業において、最も脆弱なセキュリティ・リンクはユーザーであることを認識している。ソーシャル・エンジニアリングの手口は、通常、無意識のうちに従業員を騙し、個人情報やシステム・パスワードなどのデータを渡すように仕向けるものです。
エクスプロイト・キットの使用
エクスプロイト・キットとは、潜在的な標的が侵害されたウェブサイトを訪問した際に、既知または未知の脆弱性を悪用するマルウェアのツールキットである。これらの攻撃は、多くの場合、不正広告を通じて実行される。現在存在する最も悪名高いエクスプロイト・キットの1つに、Anglerエクスプロイト・キットがある。CiscoのMidyear Security Reportによると、2015年、それまでに観測されたサイバー攻撃において、Anglerはユーザー侵入の36%を占めていた。
ランサムウェアの被害に遭わないためには?
1.強力なマルウェア対策ソリューションを使用する。理想的には複数のソリューションを使用する。 OPSWAT の比較表が示すように、マルウェアの発生を検知できる可能性は、マルチスキャンを利用することで飛躍的に高まります。OPSWAT's MetaDefender Coreの脅威検知・防御プラットフォームは、100種類以上のマルウェア対策、データサニタイズ、脆弱性対策、その他のセキュリティエンジンを活用し、既知および未知の脅威に対する最高の防御を実現します。マルチスキャンは、検出率を大幅に向上させるだけでなく、脅威が発生するまでの時間を短縮するのに役立ちます。さらに、MetaDefender のAPIにより、既存のソリューションと簡単に統合することができます。 MetaDefender についてもっと読むCore.
2.2. 明確に定義された企業セキュリティポリシー組織内のすべてのレベルで実施される。
3.バックアップ、バックアップ、バックアップ!ファイルのバックアップが定期的に行われ、バックアップと災害復旧計画がきちんと定義されていることを確認する。重要なインフラが打撃を受けた場合の完全復旧にかかる費用と時間については、必ず事前にプロバイダーに確認してください。
4.優れたWebプロキシや安全なWebゲートウェイに投資することで、防御のレイヤーを追加し、サーバを感染から保護する。 MetaDefender ICAP Serverは、システム管理者がOPSWAT のマルチスキャンとデータ無害化技術を既存の Web プロキシに簡単に統合し、すべての HTTP ダウンロードとアップロードをマルウェア対策スキャンできるようにするICAP インターフェイスを公開します。詳しくはこちらをご覧ください。
5.脆弱性に対処する。脆弱性を減らしたりなくしたりすることは、悪意のあるユーザーが安全な情報にアクセスするための選択肢を減らすことになる。パッチが適用されていない脆弱性は深刻な問題です。セキュリティポリシーで定期的な更新を義務付けていても、従業員の中には、常に更新の通知が来ることに苛立ち、自動更新をオフにする人もいるかもしれません。
MetaDefender Core 「脆弱性エンジン」を使えば、それが可能になる:
- システムの電源を入れることなく、稼働中の既知の脆弱性をスキャンする。
- ソフトウェアをインストールする前に、既知の脆弱性をチェックする。
- システム全体と実行中のアプリケーションの脆弱性を素早くスキャン
無料の脆弱性評価ツールをダウンロードして、エンドポイントの脆弱性レポートを素早く入手しましょう。
6.組織内のセキュリティ意識を高める。 最も一般的な攻撃経路であるフィッシングやソーシャルエンジニアリングについて、従業員に認識させる。強力なメールセキュリティソリューションに投資する。 MetaDefender Email Security既存のセキュアなメールゲートウェイに、より強力な保護レイヤーを追加する。
7.BYOD(Bring Your Own Device)ポリシーを導入している組織では、ユーザが署名されていないアプリやサードパーティのアプリをインストールしないようにする。仮想環境、データ分類、デバイスの整合性スキャン・ソリューションなど、より安全な BYOD の実践を可能にするエンタープライズ・モビリティ・ソリューションに投資する。
すでに感染していたら?
- 感染したデバイスをできるだけ早くネットワークから隔離する。これにより、ランサムウェアの拡散を防ぐことができます。
- ファイルを復元するために使用できる健全なシステム復元ポイントがあるかどうかを確認します。
- バックアップとディザスタリカバリのソリューションに投資している場合は、データが復旧可能かどうかをサポートチームに確認してください。
- 場合によっては、ファイルを復号化できる可能性があります。マルウェア対策会社が提供する、自由に利用できるランサムウェア復号化ツールをいくつかご紹介します:
ファイルのロックを解除するための無料のランサムウェア復号化ツールの完全なリストは、Windows Clubの善良な人々によって維持されています。また、No More Ransomプロジェクトをチェックして、暗号化されたファイルを復元できるかどうかを確認してください。
最後に、OPSWAT は身代金の支払いを推奨していません。身代金を受け取った後、攻撃者がファイルを復号化するという保証はありませんし、追加の身代金要求を受ける可能性があります。
OPSWAT 、ランサムウェアから組織を保護する方法の詳細については、今すぐお問い合わせください。
