活発化するランサムウェア攻撃。巧妙化するその手口に対抗するためには、歴史から学ぶことが大切だ。ランサムウェア攻撃は、そして対策はどのように変わってきたのか。取るべき対策は。
事業継続に影響を与える重大な脅威であるランサムウェア(身代金要求型マルウェア)。この連載では、ランサムウェアの出現から流行、高度化といった変遷と、その巧妙化する手口を解説してきました。今回は、ランサムウェアを使った攻撃の変遷とともに「組織における課題や対策がどのように変わってきたのか」「どのような対策を講じればランサムウェアによる被害を軽減できるのか」を考えます。
ポイントとなるランサムウェアの変遷と、組織が講じるべき対策の変遷を時系列で示します(図1)。ランサムウェアの攻撃手口の変化に応じて、組織の対策も変化する必要があったことが分かります。
1989年ごろ、ランサムウェアの存在が知られるようになった当初は、不正なWebサイトやフィッシングメールを経由してランサムウェアを拡散させる「ばらまき型」による攻撃活動が主流でした。組織は、
といった予防策を実施することでランサムウェア攻撃に対抗してきました。
ランサムウェアにはデータを暗号化する挙動が仕込まれています。ランサムウェアによる暗号化の被害が広がったことで、データの破損や紛失の対策が本来の目的であったバックアップが、ランサムウェアにも有効な対策であることが認知されるようになりました。
特に重要なファイルを保護するためには、「US-CERT」(米コンピュータ緊急事態対策チーム)が提唱するバックアップの「3-2-1ルール」を実践することが重要です。3-2-1ルールとは、「3つ」のデータコピーを保持し、それらを「2つ」の異なる記録媒体に保存し、そのうちの「1つ」をネットワークから分離した場所に保存することを指します。これはデータが暗号化されてしまった際の有効な復旧策となります。
2013年にランサムウェア「CryptoLocker」が発見されて以降、ランサムウェア攻撃の被害は深刻度を高めます。CryptoLockerは復号に必要な情報を毎回新たに作成して遠隔のサーバにのみ保持することで、検体解析による復号ツールの作成を難しくしました。これにより、サイバー犯罪者はCryptoLockerを、身代金を確実に獲得できる手段だと見なすようになります。
同時期からは、JavaScriptファイルを添付したスパムメール経由で拡散する「CrypTesla」や、身代金要求メッセージを複数言語で送る「Locky」といった、さまざまな種類のランサムウェアファミリー(ランサムウェア群)が確認されるようになります。加えてランサムウェアを「サービス」として提供する「Ransomware as a Service」(RaaS)が登場するなど、攻撃のハードルを下げる手段が充実し始めます。こうした中、ランサムウェアの亜種(既に出回っているマルウェアの一部を改変して作成されたプログラム)が日々発見されるようになり、組織は亜種を検出するためのセキュリティ対策の必要性に迫られることとなります。
ランサムウェアに限らずマルウェアの検出において、組織はセキュリティ対策の基本として「パターンマッチング」方式によるマルウェア対策ソフトウェアを導入してきました。パターンマッチングとは、マルウェア内の特徴的な部分をパターンとして登録した「パターンファイル」という一種のデータベースと、検査対象のファイルを照合することでマルウェアを検出する方式です。
パターンマッチングは、マルウェアだと確認できているプログラムを漏れなく検出しやすいという確実さに長所があります。一方、新たに作成された亜種がパターンファイルに登録されていなかったり、デバイスが最新のパターンファイルへの更新前に侵害されたりする場合には、マルウェアが検出をすり抜けてしまう短所があります。
まだパターンファイルに登録されていない未知の脅威を検出するためには、「振る舞い検知」や「機械学習型検索」(図2)、「サンドボックス分析」といった技術が効果的だと考えられます。それぞれどのような技術なのかを見てみましょう。
これらの技術は未知のランサムウェアを検出できるので、既存のパターンマッチングと組み合わせることでセキュリティ強化につながります。その半面、これらの技術には、業務で利用している安全なアプリケーションの挙動を「疑わしい」と判定してしまう「過検知」の課題があります。そのため業務への影響を鑑みて、機能の有効化をためらっている組織もあると考えられます。
振る舞い検知や機械学習型検索、サンドボックス分析が未知の脅威に対して有効であることは間違いありません。事前にテスト環境で検証をしてから機能を有効化する、業務アプリケーションを除外リストに登録しておくなど、業務に影響が出ないように事前準備を実施することを推奨します。その上で、できる限り未知の脅威に対抗する技術を活用することが重要です。
第4回は、脆弱(ぜいじゃく)性の悪用と標的型ランサムウェア攻撃に対する課題と対策を取り上げます。
国内通信企業でネットワークサービスのプロジェクトマネジャー経験を経てトレンドマイクロに入社。主に「EDR」(Endpoint Detection and Response)と「XDR」(Extended Detection and Response)関連のセールスエンジニアとして、製品の提案や検証を担当。現在はシニアスレットスペシャリストを務め、セキュリティリスクの考察や、組織が取るべきセキュリティ対策の啓発に携わる。セキュリティの実用的な知識の認定資格「GIAC Security Essentials」(GSEC)を取得。
Copyright © ITmedia, Inc. All Rights Reserved.
自社のWebサービスやアプリの安全性をチェックする脆弱性診断は、これまでIT部門で担当することが多かったが、開発部門や事業部門でも実施したいというニーズが高まっている。求められているのは、より手軽な脆弱性診断ツールだ。
クラウドの活用や拠点の分散が進む中で、従来型SD-WANの脆弱性がランサムウェア攻撃を増大させる一因になっている。今こそゼロトラスト型アーキテクチャのアプローチが求められているといえるだろう。本資料では、その方法を解説する。
企業のITシステムがクラウドに移行するに伴い、サイバー脅威のリスク増大やネットワークパフォーマンスの低下が問題視されている。そこで本資料では、世界の50以上の地域にデータセンターを擁するNetskope SASEソリューションを紹介する。
ネットワークの機器やソフトウェアなどの脆弱性を突く手法であるゼロデイ攻撃は、修正プログラムがリリースされるまでの期間に攻撃を行うため、抜本的な対策が難しいといわれている。本動画では、その理由と有効な対策を紹介する。
事業者が運用してきたドメインを手放した直後に、第三者がそれを取得し、偽サイトなどを公開して悪用する「ドロップキャッチ」という攻撃の手口がある。このような不正を未然に防ぐための対策を、2分弱の動画で解説する。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
