ランサムウェアとその防止策
Risk Factors
Likelihood
Complexity
Business Impact
ランサムウェアとは
ランサムウェアはファイルの暗号化を目的とするタイプの悪意のあるソフトウェアであり、必要なデータまたはシステムに標的がアクセスできないようにします。攻撃者は身代金を要求し、身代金が支払われるまで制御を返しません。まず、ランサムウェアがダウンロードされます。ほとんどのランサムウェアは、リンクをクリックする、ポップアップをクリックする、悪意のある添付ファイルを開く、といった操作により実行されます。次に、ファイルが暗号化されます。個々のマシン上のファイルも、ネットワーク全体に広く分散しているファイルも、暗号化の対象になります。次に、攻撃者はファイルに再びアクセスできるようにするための復号鍵と引き換えに、身代金を要求します。ランサムウェアの、使用される暗号化の種類、暗号化されるデータの規模、コンピュータ間での拡散力はさまざまです。ランサムウェアはますます巧妙化しており、多くのホストを感染させるために、より高度な暗号化と新たな感染経路、そしてネットワーク・エクスプロイトを使用しています。
ランサムウェア攻撃からの保護 基本的な予防措置は以下のとおりです。
- ファイルを頻繁にバックアップする * すぐにパッチを適用する
- 送信元が不明なリンクのリスクについてユーザを教育する
- 可能であれば、RDPの使用を制限する
- 管理者特権を慎重に制御する 残念ながら、予防措置はある程度までしか効果がなく、攻撃者が足場を得るリスクが常にあります。そのため、内部の可視性(エンタープライズ内でEast-Westトラフィックを確認できること)が重要になります。可視性があれば、ランサムウェアをすばやく検知して、手遅れになる前に処置を講じることができます。
ランサムウェアを捕獲する1つの方法は、行動検知を使用することです。たとえば、ネットワーク上のあるクライアントが多数のファイルに対してデータを読み書きしている場合は、ランサムウェア攻撃の可能性を示している可能性があります。もう1つの検知方法は、SMB/CIFSプロトコルに固有のものです。最初の方法と同様に機能しますが、調査の詳細のほか、検知されたものがランサムウェアなのか、それほど深刻でないものなのかについての詳しい情報を得られます。この方法では、SMB/CIFSプロトコルが監視され、クライアントがSMB/CIFSを利用して異常なほどたくさんのファイルに対するデータの読み書きを行っている場合に、セキュリティ・チームに通知が送信されます。ネットワークでの検知と対応により、感染したコンピュータを直ちに切断し、悪意のあるIPアドレスを特定・ブロックして、バックアップからのファイルの復元を開始することができるよう、エンタープライズ内を移動する疑わしいトラフィックのライブ・アクティビティ・マップが提供されます。ランサムウェア攻撃の検知は復号を使用することで強化できます。多くのランサムウェア攻撃は、SMBv3など、ネイティブの暗号化機能を備えたMicrosoftのプロトコルを利用しています。そのため、一般的なプロトコルと同様に暗号化されるMicrosoftのプロトコル(Kerberos、MS-RPC、SMBv3など)のすべてに対応する復号機能が、セキュリティ・ツールに搭載されていることが重要です。