ランサムウェア

サポートヒーローバナー

ランサムウェアとは?

ランサムウェアはサイバー攻撃者が金銭目的で使用するマルウェアの一種と定義され、要求した身代金をデータやシステムの所有者が支払うまで、それらへのアクセスを遮断します。さらに、所有者が支払わない場合、サイバー犯罪者は機密データを公開または開示すると脅迫します(一般に「データ流出」と呼ばれています)。ランサムウェアには複数の種類がありますが、最も一般的で壊滅的な結果をもたらすのは、マルウェアがクリプトウイルス脅迫を使用してファイルを暗号化するタイプです。つまり、攻撃者が保有する数学的な鍵なしでは、ファイルの暗号化を解除できなくなります。ファイルのロック解除は、セキュリティ専門家でもできません。通常、被害者には暗号化されたことが通知され、ビットコインなどの追跡不能な暗号通貨で身代金を支払うように要求されます。

ランサムウェアについて知っておくべきことはありますか?

ランサムウェア攻撃は以前からありましたが、近年急速に増え、手口がますます巧妙になり、その修復にコストがかかるようになっています。標的データであり、それは組織の最も貴重な資産であると同時に、サイバー犯罪者が狙いを定めれば最も脆弱な資産でもあります。攻撃者は、金融機関、医療機関、政府機関など、日常業務に必要な貴重な機密データを大量に所有している組織を選ぶ傾向にあります。これまでになく多くの人々がリモートで働いているため、ランサムウェアの脅威が高まり、攻撃者はデータのロック解除にさらに高額な身代金を要求しています。

攻撃者は大きな報酬を求めているため、本番システムとデータの攻撃に加えて、バックアップデータやインフラストラクチャも標的にしています。攻撃者は、組織が保険と見なしている「バックアップ」を「負債」に変えることができることを理解しています。

ランサムウェアについて組織が知っておくべきことは、以下のとおりです。

  • サイバー犯罪者は現在、バックアップデータを積極的に狙い、データを完全にコントロールするか、最悪の場合、破壊して業務に停止させる可能性があります。
  • レガシーバックアップ製品は、サイロ間でより多くのデータを収集し保存するため、この大量データの断片化は、多くのインフラをランサムウェア攻撃にさらす攻撃対象領域を拡大させます。
  • 早期検知がランサムウェアの抑制につながります。外部攻撃者に対する警戒としては、機械学習による最新のバックアップ機能を使用して、悪意のある挙動を検知し、異常をリアルタイムで突きとめることです。
  • 事態が悪化したときは迅速にバックアップから復元する必要がありますが、復旧されたデータが確実にクリーンでなければなりません。データの可視性と侵入不可能なスナップショットの両方が欠けていると、特定の時点へのクリーンなリストアはさらに困難になります。
  • バックアップとリカバリの長いサイクルがランサムウェアの苦痛に加わります。最近の調査結果によると、リカバリの所要時間が長くなるほど、復元されるデータが少なくなります。

いつ誰に攻撃されるかに関係なく、ランサムウェア攻撃が成功してしまうと、勝ち目はありません。身代金を支払うかどうかに関わらず、業務に何らかの影響を受け、早期に対処しなければ風評被害を受けることにあります。そして、多くの場合、データは戻ってこないので、専門家は身代金を支払わないように助言します。

今や、「もし」攻撃されたらではなく、「いつ」攻撃されるかの問題であることが広く認識されるようになっており、ランサムウェアのインシデントがビジネスに与える影響と時間は、バックアップをどのように構築したかに大きく依存します。

ランサムウェアはどのような仕組みですか?

今日のビジネスの成功は、堅牢なデジタル機能に依存しています。サイバー犯罪者は、ランサムウェア攻撃によって組織のデータ依存を悪用します。このタイプのマルウェアは、多くの場合、不正なリンクをユーザーにクリックさせるフィッシング攻撃や、既存のシステムソフトウェアの脆弱性を通して組織に侵入します。いずれの場合も、ランサムウェアを使用する攻撃者は、データを暗号化またはロックした後、ロックを解除または復号化するためのデジタルキーと引き換えに金銭の支払いを要求します。組織が支払う対価をランサム(身代金)と呼ぶことから、このマルウェアにランサムウェアという名前が付けられました。サイバー犯罪者は独創的で、絶えず新種のマルウェアを開発し、侵入したシステムを暗号化して金銭的な利益を得ています。

ランサムウェアは、どれほど蔓延していますか?

大まかな推測では、ランサムウェアは最も急速な広がりを見せているサイバー犯罪で、年々指数関数的に増加しています。ランサムウェアは、医療業界と金融業界で特に蔓延しています。その理由は、これらの業界のシステムに保存されているデータが機密情報であり、邪悪な攻撃者がダークウェブなどに販売できる利用価値の高い情報と見なされているからです。

Cybersecurity Venturesは、2031年までにはランサムウェアが2秒に1回の速さで企業、消費者、デバイスを攻撃するようになると予測しています。攻撃の成功による推定コストには、ダウンタイムによる経済的損失、生産性の低下、および風評被害が含まれます。2021年の損失は200億ドルで、年々増加して2031年までには2,650億ドルになります。

2021年の代表的なランサムウェアと、ここ数年間に検知されたその他の例は、REvil/Sodinokibi、Hades、DoppelPaymer、Ryuk、Egregor、BadRabbit、BitPaymer、Cerber、Cryptolocker、Dharma、GandCrab、Locky、Maze、MeduzaLocker、NetWalker、NotPetya、Petya、SamSam、WannaCryです。

ランサムウェアはどのように拡散するのですか?

兵士を城内に侵入させる有名なトロイの木馬のように、ランサムウェアはハッカーが他のコンピューター、サーバー、デバイスなどを乗っ取ります。ウイルスと同様に、IT環境に侵入したランサムウェアは東西トラフィックによって、速やかに他のシステムに拡散します。

ランサムウェアウイルスには、「アイランドホッピング」を可能にする新しい手法が設計されました。このシナリオでは、既にランサムウェアに侵入された組織が知らないうちに内部システムから顧客やパートナーのシステムにマルウェアを起動し、結果的に別の組織に「ホップ」します。このアプローチにより、サイバー攻撃者は新たな攻撃を開始しなくても新しい被害者を手に入れることができます。

残念ながら、マルウェアがどこにどのように出現するかは目まぐるしく変化するため、企業は新しい攻撃の可能性に逐一対抗することは不可能です。企業がランサムウェアからバックアップを防御するための包括的で近代的なデータ管理ソリューションを必要とするのはそのためです。

ランサムウェアに対抗することはできますか?

はい。多くの組織がしているように、攻撃者に身代金を支払ってデータのロックを解除する「鍵」を手に入れることもできます。しかし、これは高くつき、風評被害を受けます。

代わりに、バックアップが攻撃対象になるのを防ぐランサムウェア保護機能を備えた近代的なマルチクラウドデータ管理プラットフォームがあれば、ITチームは攻撃者を阻止して身代金を支払わないという選択ができます。

Cohesityなどの強力なランサムウェアリカバリソリューションを使用すると、ランサムウェアに感染していないクリーンなシステムを立ち上げて、データを正常に復元できます。読み取り専用状態のスナップショットを使用するイミュータブルなファイルシステムがその1つです。このファイルシステムは、バックアップデータへのアクセスと外部アプリケーションによるマウントを禁止してデータを保護します。Cohesityは、ランサムウェアがイミュータブルなスナップショットに感染するのを防止します。

Cohesityが提供するバックアップ用のWORM (Write-once-read-many: 書き込みは1回だけ、読み取りは何度でも) のような機能では、特定のロールが選択したジョブに対して変更不可のDataLockポリシーを設定することを可能にします。それぞれに時間的な制約があり、削除不可のデータ保護を適用できます。

ランサムウェアのコストはどの程度ですか?

Cybersecurity Venturesは、 ランサムウェアの2021年のコストが200億ドルになり、年々増加して2031年までに2,650億ドルになると予測しています。この損害の見積りには、ダウンタイムによる経済的損失(電子商取引の収益など)のほか、業務の生産性低下や風評被害も含まれます。攻撃の被害額が大きいため、組織は近代的なマルチクラウドデータ管理ソリューションによってランサムウェアを予防するようになっています。

ランサムウェアはどのようにシステムに感染しますか?

サイバー犯罪者は、人が間違いを犯すことを当てにしています。ランサムウェアがシステムに感染する主な手法がEメールフィッシング攻撃であるのはそのためです。通常、マルウェアの一種であるランサムウェアが含まれたEメールには、悪意のある添付ファイルや不正なWebサイトへのリンクが含まれています。感染したソフトウェアがそこからダウンロードされ、ユーザーの同意も認識もなく、システムやデバイスにインストールされます。組織に侵入したランサムウェアは、侵害されたシステムを介してネットワーク経由で拡散されます。この攻撃モードを「アイランドホッピング」と呼んでいます。

ランサムウェア攻撃から復旧するためのCohesityの最新アプローチ

サイバー犯罪者はバックアップがどれほど重要であるかを知っているため、バックアップをランサムウェア攻撃のターゲットにすることが多くなっています。

Cohesityは、バックアップがランサムウェアの被害に遭わないよう、多層的な対策を行っています。Cohesityのイミュータブルなアーキテクチャは、バックアップデータの暗号化、改ざん、削除を確実に防止します。Cohesityは、機械学習を使用して、データを可視化し、異常がないか継続的に監視します。最悪の事態が発生した場合は、パブリックマルチクラウドを含めたグローバルデータからクリーンデータのコピーを探し出し、瞬時に復旧してダウンタイムを最小限に抑えます。

バックアップを守る – イミュータブルなバックアップスナップショットをDataLock (WORM)、RBAC、エアギャップ、多要素認証と組み合わせることにより、バックアップデータが標的になるのを阻止します。

検知 – 機械学習によるインテリジェンスでパターンを確立し、異常を自動的に検知して報告します。

迅速な復旧 – シンプルな検索と任意の時点への大規模で迅速なリカバリによってビジネスを迅速に再開します。Cohesity独自のインスタントマスリストアは、数百台の仮想マシン (VM) と大規模なOracleデータベースを迅速に復旧し、ダウンタイムを短縮します。

X
Icon ionic ios-globe

英語版のコンテンツを見ようとしています。このまま続けますか?

この警告を再度表示しないでください