ランサムウェア攻撃の手法や攻撃者にとっての優先事項に変化がある。被害を拡大させないために、企業が注意するべきポイントとは何か。
ランサムウェア(身代金要求型マルウェア)攻撃は一般的に、以下4つのフェーズに分かれる。
感染とは、企業ネットワーク内の特定のコンピュータがランサムウェアに感染する瞬間を指す。感染は通常、メールに添付された悪意のあるプログラムを実行したり、アクセスすべきでないWebサイトを訪問したりすることが原因で起こる。ランサムウェアは一般的に、あるコンピュータに最初に感染すると、攻撃を制御するコマンド&コントロール(C&C)サーバと通信して、攻撃者から指令を受ける。
従来C&Cサーバは、ランサムウェアに対し、感染後すぐにファイルの暗号化を開始するよう指示していた。特に狙われたのは、新しく変更が加わったファイルや重要なファイルだ。攻撃の目標は、なるべく時間をかけずにシステムに損害を与え、ランサムウェアがファイルの暗号化を続ける間に身代金要求メッセージを送信することだった。
ところが近年、ランサムウェアはファイルの暗号化よりも感染範囲の拡大を優先する傾向にあるという。企業ネットワーク内のコンピュータがランサムウェアに感染した後、ランサムウェア被害が発覚するファイル暗号化の前に、攻撃者は他システムへの感染範囲拡大を試みる。攻撃者は以下のようなプロトコルを利用してランサムウェアに指示を送る。
攻撃者は感染範囲を拡大する際、バックアップサーバを標的にすることがある。バックアップサーバがランサムウェアに感染し機能不全に陥れば、復旧が難しくなり、企業が身代金を支払う可能性が高まるからだ。
それだけではなく、攻撃者は気付かれにくい手法を用いてファイルの暗号化を進めることがある。古いファイルは利用頻度が比較的低いため、暗号化の対象として狙われる可能性がある。ランサムウェアの目的は、感染の検出前にできるだけ多くのファイルを暗号化することだからだ。
ランサムウェアの挙動を理解する上で重要なことは、感染範囲拡大とファイル暗号化の2つのフェーズが同時に起き、検出されない場合は数カ月にわたって攻撃が続く可能性があることだ。セキュリティベンダーのMandiantが2019年10月〜2020年9月にかけて全世界のインシデントを対象に実施した調査では、攻撃者が企業のIT環境に侵入してから検知されるまでの時間の中央値は24日だった。攻撃の期間中、ランサムウェアは何台ものコンピュータ内のファイルを暗号化し続ける可能性がある。
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
TikTokのトレンドに変化 なぜ「1分超え」動画が見られている?
Bufferのデータによると、TikTokでは最近、長めの動画が人気を集めている。
アドビが「10種類のAIエージェント」を発表 顧客体験はどう変わる?
アドビの年次イベント「Adobe Summit 2025」が開催された。初日の基調講演では、アドビの...
「ブランドは叩かれて強くなる」 ジャガーのCMOが語った炎上の乗り越え方
SXSWで開催された「Female Quotient」のイベントにおいて、Jaguar Land Roverの米国CMOは...