“身代金を払わない”では終わらない 「二重脅迫型ランサムウェア攻撃」の脅威：バックアップはもう効かない？

ランサムウェア攻撃が、データを人質に取る段階から、さらなる進化を遂げている。企業に甚大な被害を及ぼし得る「二重脅迫型ランサムウェア攻撃」の流れ、事例と対策を紹介する。

[Alexander S. Gillis，TechTarget]

　従来のランサムウェア（身代金要求型マルウェア）攻撃では、攻撃者は標的のデータを暗号化し、暗号化を解除するための復号キーを渡す対価として標的に身代金を求めるものだった。しかし、被害者はバックアップからデータを復元できる場合がある。そのため、ランサムウェア攻撃の有効性は限定的だった。

　そこで登場したのが、データを盗難して暴露すると脅す「二重脅迫型ランサムウェア攻撃」だ。この攻撃では、攻撃者は標的から盗んだ情報を別の場所に転送し、公開や売却を示唆する。被害者はバックアップからデータを復元できたとしても、情報が漏えいするリスクは残る。

　二重脅迫型ランサムウェア攻撃の被害を最小限にとどめるためには、どのような対策を講じればいいのか。本稿は、二重脅迫型ランサムウェア攻撃の流れや、攻撃に備えるための対策を紹介する。

“普通のランサムウェア攻撃”とは違う攻撃の流れ

併せて読みたいお薦め記事

ランサムウェア攻撃者との交渉ガイド

• 「身代金を支払う」のは得か損か？　ランサムウェア攻撃で迫られる苦渋の選択
• ランサムウェア集団への「身代金支払い」を企業が拒否し始めた理由

　二重脅迫型ランサムウェア攻撃は以下の手順で進行する。

手順1．初期侵入

　攻撃者は、標的のネットワークに侵入するためにさまざまな手段や情報を用いる。以下はその代表例だ。

• フィッシングメール
  • 実在する組織をかたって、被害者から認証情報やクレジットカード情報などを詐取する手口
• 水飲み場型攻撃（Watering Hole Attack）
  • 標的がよく訪れるWebサイトをマルウェアに感染させ、そのWebサイトを経由して標的の端末に侵入する手口
• ゼロデイ脆弱（ぜいじゃく）性
  • パッチ（修正プログラム）が提供されていない脆弱性
• 流出や盗難で不正に入手した認証情報

手順2．攻撃の拡大

　ネットワークへの侵入後、攻撃者はネットワーク内を移動し、脅迫に利用できる価値の高いデータへのアクセスを試みる。この過程で、システムの管理者権限を不正に獲得する場合がある。

手順3．データの窃取

　価値の高いデータを盗み出すことができた攻撃者は、自身のストレージにデータを転送して確保する。

手順4．データの暗号化

　攻撃者はランサムウェアを実行して標的のデータを暗号化する。標的はデータにアクセスできなくなる。

手順5．身代金の要求

　暗号化の解除を求める標的に対して、攻撃者は復号キーと引き換えに身代金を払うよう要求する。

手順6．支払いまたは復旧

　被害者はバックアップからデータを復元するか、身代金の支払いを済ませて復号キーを受け取る。

手順7．二重脅迫

　被害者がデータを復元でき、身代金の支払いを拒んだ場合、攻撃者はデータをダークWeb（通常の手段ではアクセスできないWebサイト群）に公開または売却すると脅し、新たな身代金を要求する。被害者が最初の身代金を支払ったとしても、攻撃者はより大きな金額を求めて再び攻撃を仕掛ける可能性がある。

二重脅迫型ランサムウェア攻撃の事例は

　これまで明らかになっている二重脅迫型ランサムウェア攻撃で利用されたランサムウェアと、標的になった主な企業を紹介する。

• Maze
  • 攻撃が発生した年：2020年
    • 標的：ITコンサルティング企業Cognizant Technology Solutions
• REvil
  • 攻撃が発生した年：2021年
    • 標的：システム管理ソフトウェアベンダーKaseya
• DarkSide
  • 攻撃が発生した年：2021年
    • 標的：石油パイプライン大手Colonial Pipeline
• BlackMatter
  • 攻撃が発生した年：2021年
    • 標的：農業技術企業New Cooperative
  • DarkSideまたはREvilの後継と指摘する報告もある

主要なランサムウェア攻撃対策ツール

　ランサムウェア攻撃から身を守るには、多層的なサイバーセキュリティ戦略が必要だ。そのための主要なツールを紹介する。

• Bitdefenderのマルウェア対策ソフトウェア
• Broadcomの「Symantec Enterprise Cloud」
• Cisco Systemsの「Cisco Secure Endpoint」
• Dell Technologiesの「Data Protection Suite」
• ESETの「ESET PROTECT」シリーズ
• F-Secureの「F-Secure Total」
• Kaspersky Labの「Kaspersky Premium」
• Malwarebytesの「ThreatDown」
• Sophosの「Intercept X Endpoint」
• トレンドマイクロの「Trend Cloud One」
• Veeam Softwareの「Veeam Data Platform」
• Webrootの「OpenText Managed Detection and Response」

二重脅迫型ランサムウェア攻撃に備えるには？

　企業が二重脅迫型ランサムウェア攻撃を受ければ、甚大な被害が発生する恐れがある。攻撃への備え、防御、復旧を強化するための対策を紹介する。

対策1．強固な認証方式とアクセスポリシーの導入

　二重脅迫型ランサムウェア攻撃の成否は、攻撃者がシステムに侵入できるかどうかにかかっている。安全な通信プロトコルとMFA（多要素認証）を用いてシステムとユーザー認証を厳格に制御することで、システムへの侵入難易度を引き上げることができる。

対策2．多層防御（Defense in Depth：DiD）の実現

　攻撃者の侵入を未然に察知するためには、防御層を多段的に配置するDiDの実現が有効だ。ファイアウォール、ネットワーク監視、侵入検知システム（IDS）／侵入防止システム（IPS）、フィルタリング、エンドポイント監視ツールを併用することが望ましい。

対策3．脅威ハンティングの活用

　脅威ハンティングは、内部に潜んだ脅威を能動的に見つけ出す行為を指す。既存のセキュリティ対策に加えて、未知の脅威に対しても備える手段として有効だ。

対策4．継続的なセキュリティ教育の実施

　従業員や委託業者に、定期的なセキュリティ意識向上トレーニングを実施する。ソーシャルエンジニアリング（人の心理を巧みに操って意図通りの行動をさせる詐欺手法）やフィッシング攻撃の手口に関する教育を定期的に実施することで、これらの攻撃による被害を軽減できる可能性がある。

対策5．データ損失防止（DLP）ツールの導入

　DLPはネットワークからの機密情報の漏えいを防ぐことに特化した技術であり、情報漏えいの対策として有効だ。

対策6．継続的なバックアップデータの取得と保持

　データの正規の所有者がデータにアクセスできないようにするのがランサムウェア攻撃の目的だ。企業は継続的にバックアップデータを取得し、データを安全かつ遠隔の拠点に保管しておくことで、万が一攻撃を受けた場合でも迅速な復旧が可能になる。

対策7．机上演習の実施

　実際にランサムウェア攻撃を受けた場合の対処能力を高めるために机上演習を利用するのは一つの手だ。ランサムウェア攻撃のシナリオを基に、インシデント対応を実践する。

対策8．システムの更新

　OS、アプリケーション、ファームウェアなどを常に最新の状態に保ち、既知の脆弱性を修正しておく。

対策9．ゼロトラストセキュリティの導入

　ゼロトラストセキュリティは、システムの内外を問わずあらゆるアクセスを信用しないことを前提としたセキュリティの考え方だ。必要最低限のアプリケーション、データ、サービス、システムへのアクセス権限を、認証済みのエンドユーザーや端末のみに与えることで、被害の最小化を図れる。

TechTarget.AIとは

TechTarget.AI編集部は生成AIなどのサービスを利用し、米国Informa TechTargetの記事を翻訳して国内向けにお届けします。