バックアップだけでは不可 二重脅迫ランサムウェアに対抗する方法：二重脅迫ランサムウェアの脅威【後編】

二重脅迫ランサムウェアは、盗み出したデータを「ネットにさらす」ことをネタにするためファイルをリストアするだけでは対抗できない。だが、二重脅迫ランサムウェアに対抗する効果的な方法がある。

[Nicholas Fearn，Computer Weekly]

　前編（Computer Weekly日本語版　10月21日号掲載）では、ランサムウェアを使った「二重脅迫」の手口を解説した。

　後編では、実際に二重脅迫ランサムウェアの被害に遭った組織の悲惨な結末と二重脅迫ランサムウェアに対抗する方法を紹介する。

関連記事

• ランサムウェア攻撃の可能性を示す5つの兆候
• 全ての防御機能を無効化できる、カーネルモードで動作するランサムウェア
• 身代金を支払うその前に、対ランサムウェア復号ツール
• ランサムウェアに感染したらまず見るべき復号ツール配布サイト
• 「ランサムウェア」の脅威を避ける基本的な方法

重大な結末

　組織が二重脅迫ランサムウェアの被害に遭った場合、重大な結果を招くこともある。BCL Solicitorsのパートナー、ジュリアン・ヘイエス氏によると、「Maze、Netwalker、REvilといったグループはますます大胆になり、盗んだデータをオンラインでトロフィーのように誇示したり、自分たちのマルウェアを見せびらかすためにアンダーグラウンドのハッキングコンテストを主催したりさえしている」

　「被害者の結末は悲惨だ。外貨両替サービスのTravelexはランサムウェア攻撃を受けてサイバー犯罪グループから48時間以内に600万ドル（約6億3600万円）の支払いを要求された。応じなければ顧客のクレジットカード情報と保険証番号、生年月日を公開すると脅迫されて経営破綻に追い込まれ、英国で1300人の雇用が失われた」

　重大な被害が発生する前に攻撃を発見して阻止できるよう、企業ができる限りの対策を講じなければならないことは明らかだ。「まず攻撃を阻止した方が、あらゆる金銭的コストや評判の低下を伴う影響を緩和するよりも、ずっといい」とヘイエス氏は話す。

　「ほとんどの攻撃者は人的なミスを通じてアクセスを確立する。従って内部データのアクセス管理やバックアップといった技術的な対策に加え、従業員のトレーニングや警戒態勢が組織の防衛の鍵を握る」

　被害者には基本的に2つの選択肢しかなく、いずれにしても代償は大きい。ヘイエス氏によると、組織は「要求を拒んで壊滅的なデータ流出に直面し、規制当局の罰金と民事訴訟にさらされる」か、「データを取り戻せるという保証がないまま身代金を支払う」かの選択を迫られる。

二重脅迫ランサムウェアへの対応

　ランサムウェアの影響はどんな企業にとっても壊滅的な打撃となり得るが、身代金を要求された際は慎重な対応が求められる。ESETのセキュリティスペシャリスト、ジェイク・ムーア氏は、要求に応じればさらに大きなリスクを招きかねないと述べ、「攻撃者がさらなる要求をしてこないという保証はない。どちらにしてもデータが公開されてしまうかもしれない」と指摘した。

　Mimecastの脅威インテリジェンス・オーバーウォッチ担当データサイエンス責任者キリ・アディソン氏は、二重脅迫ランサムウェアを防ぐ最善の方法は、強力な対抗策を講じることだと語る。「ランサムウェアは二次的な感染の場合もある。攻撃者は既知の脆弱性、特にRDP（リモートデスクトッププロトコル）や、在宅勤務に欠かせないサーバやアプリケーションの脆弱性を悪用しようとする」

　「これを阻止するために欠かせないのは、脆弱性にタイミング良くパッチを当て、ネットワークのログをモニターして、普段と違う挙動やデータ流出を検知することだ。そうすることで、この間に初期の感染に対処して、ランサムウェア攻撃へと発展する前に阻止できるチャンスがあるかもしれない」

教育

　組織は二重脅迫ランサムウェアとそれを拡散させる手口について、従業員を教育しておく必要がある。「個々のユーザーが潜在的に危険な添付ファイルを認識することは大いに役に立つ。また、最近になってEmotetが再燃する中で、どのような連絡であろうと、電子メールで届いた一切のリンクについてはクリックに対して慎重にならなければならない」

　NominetのCISO（最高情報セキュリティ責任者）キャス・ゴールディング氏によると、二重脅迫ランサムウェアに対処するための防御戦略は2つある。「第1に、バックアップを取っておけば攻撃者にデータを制御されても追い詰められずに済む。第2に、暗号化しておけばデータをさらすと脅迫された場合でも対抗できる」

　「そうしたアプローチは、基本的なサイバーセキュリティ対策を含む広範な戦略の中に組み込む必要がある。データを抜き取られる前に攻撃者を切り離せるようにするためのネットワークのモニタリングから、事案の原因となることが多いフィッシング詐欺に従業員がだまされないようにするための教育に至るまで、全てがサイバー防御態勢を構築する上で重要な役割を果たす」

　二重脅迫ランサムウェアの脅威は疑いようがない。サイバー犯罪グループは念入りに標的を選んで攻撃を展開し、身代金を引き上げようとする。重要なデータが公開されるのを防ぐためには身代金を支払う以外に選択肢がないと組織が感じることもある。だがそれはロシアンルーレットであり、盗まれた情報はそれでもネットで公開されてしまうかもしれない。従って、重点は予防と緩和に置く必要がある。