ランサムウェア攻撃者が“暗号化”よりも優先し始めた手口とは？：ランサムウェア攻撃への備え【前編】

ランサムウェア攻撃の手法や攻撃者にとっての優先事項に変化がある。被害を拡大させないために、企業が注意するべきポイントとは何か。

[W. Curtis Preston，TechTarget]

　ランサムウェア（身代金要求型マルウェア）攻撃は一般的に、以下4つのフェーズに分かれる。

• 感染
• 感染範囲の拡大
• ファイルの暗号化
• ランサムウェア被害の発覚

　感染とは、企業ネットワーク内の特定のコンピュータがランサムウェアに感染する瞬間を指す。感染は通常、メールに添付された悪意のあるプログラムを実行したり、アクセスすべきでないWebサイトを訪問したりすることが原因で起こる。ランサムウェアは一般的に、あるコンピュータに最初に感染すると、攻撃を制御するコマンド＆コントロール（C＆C）サーバと通信して、攻撃者から指令を受ける。

ランサムウェアに変化――攻撃者は何を「優先」するのか？

併せて読みたいお薦め記事

ランサムウェア対策

• ランサムウェア攻撃者をすぐに追い払ってはいけない？　意外な対策とは
• “バックアップ万能論”は幻想　ランサムウェア対策の誤解と真実

　従来C＆Cサーバは、ランサムウェアに対し、感染後すぐにファイルの暗号化を開始するよう指示していた。特に狙われたのは、新しく変更が加わったファイルや重要なファイルだ。攻撃の目標は、なるべく時間をかけずにシステムに損害を与え、ランサムウェアがファイルの暗号化を続ける間に身代金要求メッセージを送信することだった。

　ところが近年、ランサムウェアはファイルの暗号化よりも感染範囲の拡大を優先する傾向にあるという。企業ネットワーク内のコンピュータがランサムウェアに感染した後、ランサムウェア被害が発覚するファイル暗号化の前に、攻撃者は他システムへの感染範囲拡大を試みる。攻撃者は以下のようなプロトコルを利用してランサムウェアに指示を送る。

• 遠隔操作のための通信プロトコル「RDP」（Remote Desktop Protocol）
• ファイル共有プロトコルの「NFS」（Network File System）や「SMB」（Server Message Block）

　攻撃者は感染範囲を拡大する際、バックアップサーバを標的にすることがある。バックアップサーバがランサムウェアに感染し機能不全に陥れば、復旧が難しくなり、企業が身代金を支払う可能性が高まるからだ。

　それだけではなく、攻撃者は気付かれにくい手法を用いてファイルの暗号化を進めることがある。古いファイルは利用頻度が比較的低いため、暗号化の対象として狙われる可能性がある。ランサムウェアの目的は、感染の検出前にできるだけ多くのファイルを暗号化することだからだ。

　ランサムウェアの挙動を理解する上で重要なことは、感染範囲拡大とファイル暗号化の2つのフェーズが同時に起き、検出されない場合は数カ月にわたって攻撃が続く可能性があることだ。セキュリティベンダーのMandiantが2019年10月〜2020年9月にかけて全世界のインシデントを対象に実施した調査では、攻撃者が企業のIT環境に侵入してから検知されるまでの時間の中央値は24日だった。攻撃の期間中、ランサムウェアは何台ものコンピュータ内のファイルを暗号化し続ける可能性がある。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。