ランサムウェア攻撃への対処

ランサムウェア攻撃は、ネットユーザーが直面する最大脅威の1つです。ここでは、ランサムウェア攻撃の際に何が起こるのか、また、攻撃の直後に組織を守るために必要な措置について説明します。

ランサムウェア攻撃への対処法について

ランサムウェア攻撃は、その90%が組織の業務遂行能力を阻害し、攻撃からの復旧に平均で1カ月を要するため^*1、組織にとって大きな脅威となります。事業に対する破壊力が強く、脅威ベクトルとして台頭しているのです。2031年には、2秒おきに^*2ランサムウェア攻撃の被害を受ける事業者が現れると予想されています（2021年の11秒おきから増加）。

ランサムウェア攻撃とは？

ランサムウェアとは、組織のデータを暗号化し、アクセスできなくするマルウェアの一種です。攻撃の過程は、加害者が身代金（ランサム）を要求し（2022年の身代金支払い平均額は前年比71％増^*3 ）、支払い次第、復号化キーを渡し、アクセスを戻すというものです。

ランサムウェアの影響を受けない業種は存在しませんが、悪意のある攻撃者は通常、以下の2つの要素に着目して、組織を狙うことを決定します：

機会： 例えば、セキュリティチームが小規模である場合、ITに関するリソースが不足している場合、またはデータが豊富な組織である場合など。

金銭的な利益の見込み：ファイルの即時復旧を必要とし、身代金を迅速に支払う傾向がある事業者（法律事務所や政府機関など）。

悪意者は、以下をはじめとする様々な手口で組織のデータにアクセスします。

フィッシング： ソーシャル・エンジニアリングの手法を用いて、電子メール内の不正なリンクをクリックさせるなど、ユーザーを騙して目的を遂げること。

リモート・アクセス： インターネット上でリモート・デスクトップ・プロトコルなどのポート開放状態を調べ、リモート・アクセス・ソリューションによる認証に有効な認証情報を入手すること。

特権アカウントの侵害： 管理者アカウントを利用して、更に多くのシステムや機密データへアクセスすること。

既知のソフトウェアまたはアプリケーションの脆弱性： 既知の脆弱性を悪用したもので、修正パッチが提供されているにもかかわらず組織が適用しなかったもの。

悪意者は、データを暗号化する前にコピーを取り、身代金を適時に支払わないとデータを漏洩すると脅すこともあります。これを「二重脅迫」といいます。暗号化は一度始まると、高速に進行します。一般的な種類のランサムウェアでは、10万近いファイル、合計54.93GBをわずか42分52秒で暗号化することができます^*4。従って、攻撃後の対策は時間が勝負になります。

ランサムウェア攻撃時の対処法について

ランサムウェア攻撃を受けたと分かったらすぐに、通常は画面に大きな通知が表示されるため、感染したデバイスを切り離すことが必須となります。ネットワークケーブル、データケーブル、USB、ドングルを取り外し、Wi-FiとBluetoothを無効にして、脅威を拡大させる原因となる接続をデバイスが行わないようにします。

こうした最初の瞬間は、ショック、怒り、恐怖などの感情とともに、アドレナリンが活性化するでしょう。しかし、こうした時は決して慌てず、冷静に状況を判断することが大切です。その一つの方法として、ランサムウェアの模擬攻撃を実施し、事業者が攻撃後にどのように対応するかを訓練することで、冷静かつ迅速に侵害を食い止めるための手順を身につけることが挙げられます。

事業者・連絡先に通知する

誤報や混乱を防ぐために、あらゆるコミュニケーションを組織内で一元的に管理することが重要です。その際、メディアの誰とも話をしない、あるいはSNSで何も公開しないという指示も必要です。広報発表は、株主やステークホルダー、さらには市場全体を不安にさせないよう、慎重に行わなければなりません。

攻撃が判明した時点で、事業の関係者全員に警告を発する必要があります。端末が感染している疑いがある場合は、すぐにネットワークから隔離する措置を講じることが大切です。また、ベストプラクティスとして、悪意者がさらなる攻撃に利用できる貴重なデータを採取するのを防ぐため、認証情報、特に特権アカウントをリセットすることがユーザーに求められます。

ランサムウェアの種類を特定する

デバイス上でマルウェア検査ツールを使用するか、社内のセキュリティ・オペレーション・センターを通じて、マルウェア検査を実行し、どのようなランサムウェアが使用されたかを特定する必要があります。

更に、日付、時間、狙われたファイルの詳細、ランサムウェアが現れた初発の様子、感染したデバイス、攻撃の直前に行われていた作業の内容、デバイスが接続された時間など、攻撃に関する情報を記録しておきましょう。また、不審なプログラム、ファイル、ポップアップを撮って記録しておきましょう。

こうした情報はすべてランサムウェア識別ツールに取り込まれ、事業者が何に感染したのか、そして今取るべき是正措置の判断材料となります。

身代金の支払いについて

サイバーセキュリティの専門家や連邦政府機関は^*5 、「身代金を支払ってはいけない」という点で同意見を示しています。

調査によると、身代金を支払ったことによりデータおよびシステムへのアクセスを回復した組織は5社に3社のみであり^*6データやコンピュータへのアクセスを回復できる保証はありません。また、仮にデータを取り戻したとしても、安心できる保証はありません。要求を支払ったランサムウェアの被害者のうち18%は^*7 依然としてダークウェブ上の悪意者に機密データを暴露されたままです。

デバイスからランサムウェアを駆除する

残念ながら、デバイスからのランサムウェアの駆除は、「削除」をクリックするだけの簡単なものではありません。多くの場合、完全なファクトリーリセットが必要ですが、これは元に戻せず、データが失われる危険性があります。そのため、適切な復号化ツールを使用し、安全に事業を再開できる専門家の力を借りることが最善です。

バックアップからのデータ復旧

ランサムウェアの攻撃から復旧するには、バックアップを常に最新状態に保つことが最も有効な手段です。ベストプラクティスは、「3-2-1ルール」に従うことです。これは、データのコピーを3つ、異なる2つの場所に保管し、そのうち1つはオフラインにすることです。

データの復元を行う場合は、まずマルウェアのスキャンを行い、再感染を防ぐため、バックアップは必ず事前に安全が確認されたデバイスに接続するようにしてください。

将来のランサムウェア攻撃から守るために

ランサムウェアの脅威に対処する際、エンドユーザー側が正しい行動を取ることが、脅威を阻止する上で最も有効な手段の一つとなります。関係者全員が基本的な知識を身につけ、その重要性を継続的に確認し、以下の行動を徹底することが肝心です：

• デバイスのアップデートを実施し、自動アップデートを設定すること。
• 多要素認証を有効にすること。
• 定期的なバックアップを行うこと。
• デバイスの何にアクセスできるかを制御すること。
• 可能な限りランサムウェア保護機能を有効にすること。
  

ランサムウェアからの復旧はオントラックにご相談ください。

ランサムウェア攻撃はそれぞれ異なり、複雑性も異なりますが、データの復旧は決して不可能ではありません。オントラックでは、データ復旧に特化した独自のツール群を開発しています。現在、138種類のランサムウェアに対する復号化能力を有し、271種について継続的に追跡調査を行っています。

世界各地にある開発拠点から、24時間365日体制でスペシャリストが対応し、万が一の事態においてサポートいたします。

ランサムウェアに関する究極ガイドをご覧ください

オントラックが60万以上の人々や企業からデータ復旧を信頼されている理由

参考文献一覧：

1. ソフォス｜ランサムウェアの現状 2022 年版　
2. Cybersecurity Ventures｜Global Ransomware Damage Costs Predicted To Exceed $265 Billion By 2031
3. Cyber Security Connect | Average ransom payment has gone up to 71% in 2022
4. Splunk Inc. | Ransomware Encrypts Nearly 100,000 Files in Under 45 Minutes
5. MIT Sloan School of Management | How to respond to a ransomware attack: Advice from a federal agent
6. Statista | Outcomes for organizations following ransom payments according to IT professionals worldwide in 2020
7. Venafi, Inc. | Study: Seventy-four Percent of IT Decision Makers Say New Extortion Tactics Make Ransomware a National Security Threat