ランサムウェア攻撃者が“暗号化”よりも優先し始めた手口とは?ランサムウェア攻撃への備え【前編】

ランサムウェア攻撃の手法や攻撃者にとっての優先事項に変化がある。被害を拡大させないために、企業が注意するべきポイントとは何か。

2022年08月10日 05時00分 公開
[W. Curtis PrestonTechTarget]

 ランサムウェア(身代金要求型マルウェア)攻撃は一般的に、以下4つのフェーズに分かれる。

  • 感染
  • 感染範囲の拡大
  • ファイルの暗号化
  • ランサムウェア被害の発覚

 感染とは、企業ネットワーク内の特定のコンピュータがランサムウェアに感染する瞬間を指す。感染は通常、メールに添付された悪意のあるプログラムを実行したり、アクセスすべきでないWebサイトを訪問したりすることが原因で起こる。ランサムウェアは一般的に、あるコンピュータに最初に感染すると、攻撃を制御するコマンド&コントロール(C&C)サーバと通信して、攻撃者から指令を受ける。

ランサムウェアに変化――攻撃者は何を「優先」するのか?

 従来C&Cサーバは、ランサムウェアに対し、感染後すぐにファイルの暗号化を開始するよう指示していた。特に狙われたのは、新しく変更が加わったファイルや重要なファイルだ。攻撃の目標は、なるべく時間をかけずにシステムに損害を与え、ランサムウェアがファイルの暗号化を続ける間に身代金要求メッセージを送信することだった。

 ところが近年、ランサムウェアはファイルの暗号化よりも感染範囲の拡大を優先する傾向にあるという。企業ネットワーク内のコンピュータがランサムウェアに感染した後、ランサムウェア被害が発覚するファイル暗号化の前に、攻撃者は他システムへの感染範囲拡大を試みる。攻撃者は以下のようなプロトコルを利用してランサムウェアに指示を送る。

  • 遠隔操作のための通信プロトコル「RDP」(Remote Desktop Protocol)
  • ファイル共有プロトコルの「NFS」(Network File System)や「SMB」(Server Message Block)

 攻撃者は感染範囲を拡大する際、バックアップサーバを標的にすることがある。バックアップサーバがランサムウェアに感染し機能不全に陥れば、復旧が難しくなり、企業が身代金を支払う可能性が高まるからだ。

 それだけではなく、攻撃者は気付かれにくい手法を用いてファイルの暗号化を進めることがある。古いファイルは利用頻度が比較的低いため、暗号化の対象として狙われる可能性がある。ランサムウェアの目的は、感染の検出前にできるだけ多くのファイルを暗号化することだからだ。

 ランサムウェアの挙動を理解する上で重要なことは、感染範囲拡大とファイル暗号化の2つのフェーズが同時に起き、検出されない場合は数カ月にわたって攻撃が続く可能性があることだ。セキュリティベンダーのMandiantが2019年10月~2020年9月にかけて全世界のインシデントを対象に実施した調査では、攻撃者が企業のIT環境に侵入してから検知されるまでの時間の中央値は24日だった。攻撃の期間中、ランサムウェアは何台ものコンピュータ内のファイルを暗号化し続ける可能性がある。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

譁ー逹€繝帙Ρ繧、繝医�繝シ繝代�

製品資料 ゾーホージャパン株式会社

「特権ID管理」などのIT統制に関する課題を解決する2つのアプローチとは?

2006年に金融商品取引法にて規定された内部統制報告制度(J-SOX)では、「ITへの対応」が構成要素となっているが、IT統制の評価プロセスは工数がかかり、業務負担や監査コストが課題となっている。これらを解決する2つのアプローチとは?

製品資料 ゾーホージャパン株式会社

攻撃者が狙うActive Directoryパスワード、手間をかけずに管理を強化するには?

企業のActive Directory(AD)にアクセスするためのパスワードが攻撃者の手に渡ると、ポリシー変更や権限昇格のリスクが発生する。だが実際は、使いまわしや共有など、パスワードのずさんな管理も目立つ。これを解決するには?

製品資料 Splunk Services Japan合同会社

金融業界のイノベーションに、オブザーバビリティの向上が必要な理由

金融業界は常にイノベーションの創出が求められるが、これを実現する上では、オブザーバビリティの向上が鍵となる。本資料では、金融業界でのイノベーション創出に、オブザーバビリティの向上が必要な理由について解説する。

製品資料 グーグル合同会社

ユーザーデータを適切に保護、Chromeの拡張機能をまとめて安全に管理する方法

Google Chromeの拡張機能は、導入が容易であることからユーザーが独自にインストールしているケースも多く、セキュリティ面でのリスクが危惧されている。この問題を解消するには、拡張機能をまとめて管理者が安全に管理する方法が必要だ。

製品資料 グーグル合同会社

廃止予定のレガシーテクノロジーはなぜ危険? 4つのリスクと特定するコツとは

近く廃止される予定の Web 技術を使用している Web サイトは多数存在するが、それらを放置しておくことは、さまざまな問題につながるという。その4つのリスクを解説するとともに、レガシーテクノロジーを特定する方法を解説する。

From Informa TechTarget

お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。

ITmedia マーケティング新着記事

news026.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...

news130.jpg

Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...

news040.png

「マーケティングオートメーション」 国内売れ筋TOP10(2025年4月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。