ランサムウェア攻撃を阻止する

身代金を支払うべきかどうかについては、サイバーセキュリティの研究者の間で意見が分かれています。FBIは身代金を支払うことに反対しています。被害者の中には、身代金を支払うことでファイルへのアクセスを取り戻すことができた場合もあれば、身代金を支払ってもアクセスするためのキーを受け取ることができなかった場合もあります。Petyaのケースでは、ソフトウェア開発者はデータを復号する手段を用意していませんでした。

全体的に見ると、身代金を支払わずに損失を抑えるというのがエキスパート達の推奨事項のようです。しかし、データ損失は組織に重大な影響を与える場合があり、ランサムウェアのハッカー達による身代金の要求額は増え続けています。Petyaの開発者は、最初は300ドル相当のビットコインを要求していました。より新しいバージョンのランサムウェアでは、数十万ドル相当の暗号通貨が要求されています。ランサムウェアのビジネスモデルは、背後にいる悪意のあるアクターに身代金が支払われ続けることによってのみ存続します。支払いが行われなくなると、ランサムウェアのビジネスモデルは崩壊します。

身代金を支払っても、データを復元するためのプライベートキーを受け取ることができる保証はありません。代わりに、日々の運用の中に防御対策を取り入れてファイルを保護するようにしてください。そうすることで、攻撃に遭ってもファイルを元の状態に戻すことができます。したがって、攻撃に遭った後の復旧作業においてバックアップは非常に重要です。

防御対策

• バックアップ
• ユーザのトレーニング
• 疑わしいメールの隔離
• コンテンツフィルタ
  
  
   

ランサムウェアを検知するためのユーザのトレーニング

ユーザのトレーニングは感染のリスクを大きく減らします。ランサムウェア攻撃は、通常は悪意のあるメールによって開始されます。ユーザをトレーニングすることによって、ランサムウェア、フィッシング、ソーシャルエンジニアリングなどのサイバー脅威を特定する能力を高めることができます。悪意のあるメッセージを特定できるようにトレーニングされたユーザは、感染した添付ファイルを開かないようになります。

ハッカーは時として、攻撃にソーシャルエンジニアリングを取り入れる場合があります。攻撃者は、ネットワーク上にいる高い権限を持った特定のユーザをソーシャルエンジニアリングのターゲットにします。攻撃者は、そうしたユーザがローカルストレージに重要なデータを保存している、またはビジネス上重要なシステムやインフラストラクチャにアクセスできると考えています。このような場合、企業が身代金を支払う可能性は高まります。

ソフトウェアにパッチやアップデートを適用して最新の状態にしておく

ファームウェア、不正プログラム対策アプリケーション、オペレーティングシステム、サードパーティ製ソフトウェアに最新のパッチがインストールされている状態にしておきます。新しいバージョンのランサムウェアは定期的に出現しています。ソフトウェアのアップデートを適用することにより、不正プログラム対策アプリケーションはより新しい脅威を認識できるようになります。

WannaCryはオペレーティングシステムに対する脅威の一例です。WannaCryは、米国の国家安全保障局（NSA）によって開発されたEternalBlueという攻撃手法を取り入れています。EternalBlueはWindowsオペレーティングシステムのSMB（Server Message Block）プロトコルの脆弱性を利用するものでした。Microsoftは感染が発生する30日前にWannaCryを防止するためのパッチを公開しました。このパッチを適用しなかったWindowsオペレーティングシステムは脆弱な状態のままです。

最近では、ランサムウェア攻撃でZeroLogonの利用が観察されています。

ランサムウェアからの復旧のための最良の方法は、バックアップからデータを復元することです。バックアップを取っておくことにより、暗号化されたファイル以外のソースからデータを復元でき、身代金の要求に応じる必要がなくなります。ハッカー達はこのことを知っているため、ネットワークをスキャンしてバックアップファイルを探すことのできるランサムウェアを開発しています。バックアップから復元した後は、ネットワークからランサムウェアを削除する必要があります。

マルウェアによってバックアップファイルが暗号化されるのを防ぐための有効な手段として、バックアップのコピーをオフサイトに保持しておくという方法があります。オフサイトのバックアップソリューションを必要としている企業の一般的な選択肢として、クラウドバックアップがあります。クラウドバックアップを使用することにより、ファイルのコピーを安全に保持し、ランサムウェアや他のサイバーセキュリティの脅威から保護することができます。

通常、ランサムウェア攻撃は実行可能ファイルによって発生するか、または実行可能ファイルをダウンロードして実行するスクリプトによって発生します。すべてのランサムウェア攻撃がすぐに開始されるとは限りません。ランサムウェアの中には、特定の日付になるまで休眠状態を維持するものもあります。たとえば、CryptoLockerの模倣品であるLockerという名前のランサムウェアは、2015年5月25日の深夜まで休眠状態を維持し、その時になってペイロードの実行を開始しました。

ネットワーク管理者は、疑わしいネットワークトラフィックを監視するアプリケーションを利用することによってランサムウェアを検出できます。これらのアプリケーションは、マルウェアが多数のファイルの名前を変更したときに通知を送信します。不正プログラム対策ソフトウェアは、多くの種類のランサムウェアに対する保護を提供します。デジタルシグネチャを保持し、ランサムウェアが実行される前にそれを特定します。ただし、ゼロデイ攻撃を常に検出できるとは限りません。そうした攻撃は、開発者がまだ知らない脆弱性をターゲットにする場合があるためです。

現在の不正プログラム対策ソリューションは、人工知能（AI）、機械学習、挙動監視を取り入れています。これらのソリューションは、変更やファイルアクセスのリクエストに照らし合わせて現在のファイルの状態を評価します。疑わしい動作が検出された場合は管理者にアラートが送信されるため、攻撃を早期に解決したり、ファイルの暗号化やデータの破壊を阻止したりすることができます。

早期の検出が防御に役立つ

ランサムウェアに対して効果的な防御体制を築くには、適切な監視アプリケーション、頻繁なファイルバックアップ、不正プログラム対策ソフトウェア、ユーザのトレーニングを組み合わせる必要があります。リスクを完全になくすサイバー防御は存在しませんが、これらの組み合わせを活用することによって、攻撃者が成功を収める可能性を大きく低下させることができます。