国際的なサイバー犯罪集団「LockBit(ロックビット)」の主要メンバーが摘発され、使用していたサーバーが閉鎖されたといったニュースがありました。

ランサムウェアは、世界中の企業や組織に甚大な被害を与えているサイバー攻撃の一種です。攻撃者は、重要なデータを暗号化し復号のために身代金を要求します。この攻撃は巧妙で予測不可能な手法を用いるため常に警戒が必要です。ここでは、ランサムウェアの種類、特徴、対策、および代表的なランサムウェアについて解説します。

※「LockBit(ロックビット)」は、ランサムウェアを使用して世界中の重要インフラに対するサイバー攻撃を行い、名古屋港や徳島県の病院など国内でも被害が確認されています。2020年ごろから始まったこれらの攻撃は、数十億ユーロの被害をもたらしました。

参照元:ランサムウェアによる暗号化被害データに関する復号ツールの開発について

ランサムウェアの種類と特徴

ランサムウェアは大きく4つのタイプに分類されます。

ファイル暗号化型ランサムウェア

ファイル暗号化型ランサムウェアは最も一般的な形態で、攻撃者は被害者のファイルを暗号化し、復号化の鍵と引き換えに身代金を要求します。このタイプのランサムウェアは、個人のPCから大企業のサーバーまで、幅広いターゲットに対して使用されます。暗号化されたファイルは、被害者が支払いを行うまで、または復号化キーが提供されるまでアクセス不可能となります。

ファイル消去型ランサムウェア

ファイル消去型ランサムウェアは、ファイルを暗号化する代わりに削除することで脅威を与えるランサムウェアです。このタイプは、ファイルのバックアップを行っていない場合、壊滅的な被害を与えます。攻撃者は、データの復旧を約束する見返りに身代金を要求しますが、支払い後にデータが実際に復元される保証はありません。

端末ロック型ランサムウェア

端末ロック型ランサムウェアは、デバイス全体またはその一部をロックすることで、被害者がデバイスを使用できなくします。このランサムウェアは、特にモバイルデバイスを対象としており、デバイスのロック画面を制御し、解除コードを入力するまでデバイスの使用を妨げます。

MBR(マスターブートレコード)破壊型ランサムウェア

MBR破壊型ランサムウェアは、コンピュータのマスターブートレコードを標的にし、システムの起動プロセスを妨害します。この攻撃により、コンピュータは正常に起動できなくなり、攻撃者はシステムへのアクセスまたは復旧の見返りに身代金を要求します。MBRを破壊することで、復旧作業は特に困難となり、被害の影響は大きくなります。

代表的なランサムウェアの詳細

ランサムウェアはそれぞれ特徴と攻撃手法を持ち、その対策も異なります。下記は代表的なランサムウェアの詳細になります。

WannaCry

2017年に世界的な被害を出したランサムウェアで、未更新のWindowsシステムに存在する脆弱性を悪用しました。世界150カ国、20万台以上のコンピュータが感染し、多大な被害をもたらしました。

LockBit

攻撃者によるカスタマイズが可能で、特に企業を狙った攻撃に用いられます。高速でファイルを暗号化し、ビジネスの運営を停止させることを狙います。

Petya/NotPetya

Petyaは当初、MBRを破壊することで知られていましたがNotPetyaはそれをさらに進化させ、全世界で広範囲にわたる被害を引き起こしました。

Bad Rabbit

主に東欧を中心に拡散したランサムウェアで、偽のAdobe Flashアップデートとして配布されました。感染すると、システムファイルを暗号化します。

Ryuk

主に大企業や公共機関を狙うランサムウェアで、特定のネットワーク内での活動を長期間にわたり隠密に行うことができます。復旧作業が困難であるため、高額な身代金が要求される傾向にあります。

Sodinokibi

別名REvilとも呼ばれ、脆弱性を悪用することで広範囲にわたる被害を出しました。データを暗号化するだけでなく、盗んだデータを公開することで二重の脅迫を行います​​。

ランサムウェア対策の強化

ランサムウェア対策の強化は複数の層での防御戦略を組み合わせることが重要です。以下に、対策を具体的に拡充した内容を紹介します。

  1. セキュリティソフトウェアの選定と更新
    高品質なセキュリティソフトウェアを選定し、常に最新の状態に保つことが重要です。ウイルス定義の更新を自動化し、新しい脅威に迅速に対応できるようにします。
  2. 定期的なバックアップ
    データのバックアップは、ランサムウェア感染の影響を最小限に抑える重要な対策です。外部ドライブやクラウドサービスを利用し、定期的にバックアップを行うことで、データ復旧の準備を整えます。
  3. 従業員教育
    従業員に対するセキュリティ意識の向上は、ランサムウェア対策において非常に効果的です。フィッシングメールの見分け方、不審なウェブサイトやリンクの扱い方など、基本的な知識を定期的に教育します。
  4. Eメールフィルタリングとスパム対策
    Eメールはランサムウェア感染の一般的な経路です。スパムフィルタリングや添付ファイルの自動スキャンを行い、不審なメールを事前にブロックします。
  5. アクセス権限の制限
    ユーザーに必要最低限のアクセス権限のみを付与し、管理者権限の使用を制限します。これにより、ランサムウェアがシステム内で拡散するリスクを減少させます。
  6. ネットワークセグメンテーション
    企業のネットワークをセグメントに分割し、各セグメント間のアクセス制御を厳格に行います。これにより、感染が拡大するのを防ぎます。
  7. 脆弱性管理
    システムやアプリケーションの脆弱性を定期的にチェックし、パッチを迅速に適用します。特に外部からアクセス可能なシステムは優先的に管理します。
  8. 多要素認証の導入
    重要なアカウントには、多要素認証を導入します。これにより、パスワードが漏洩しても不正アクセスを防ぐことができます。
  9. インシデント対応計画の策定
    万が一のランサムウェア感染に備え、対応計画を策定し、定期的な演習を行います。迅速な対応により、被害の拡大を防ぎます。

ランサムウェア攻撃は、予測が難しく、一度感染すると甚大な被害をもたらします。そのため、予防措置を講じること、そして万が一の際には迅速に対処できるよう準備をしておくことが極めて重要です。

アクトのサイバーセキュリティ対策支援

アクトが提供するEDR+SOCサービス「セキュリモ」は、サイバー攻撃に対してAIでリアルタイム検知し、攻撃内容の可視化と分析内容を報告するPCやサーバーのセキュリティサービスです。弊社SOCチームが、グローバルトップクラスの検知率・防御力を持ったEDR(SentinelOne、Cybereason)のおまかせ運用を実現します。

アクトはSentinelOneとMSSP契約を持つ正式パートナーかつ、国内唯一のIRパートナーであり、 平常時からインシデント対応までお客さま負担をかけることなく、最高レベルのサイバーセキュリティをご提供します。

また、IT導入補助金対象サービスの『データお守り隊』もご提供しております。
EDR+SOC+簡易サイバー保険をお手頃価格でパッケージしたサービスです。補助金を申請することで低コストで高度なサイバーセキュリティ対策を実現できます。
ご興味がございましたら下記よりご確認ください。