「四重脅迫」ランサムウェアの増加と、この攻撃から組織を保護する方法

ランサムウェアについては誰もが耳にしたことはありますが、サイバー犯罪者が企業に身代金を支払わせるための最新の戦術はご存知でしょうか？

暗号化攻撃で企業のファイルをロックし、ファイルのロックを解除する復号キー獲得のために暗号通貨による支払いを求める身代金要求書の時代は終わりました。サイバー犯罪者は一般的に、企業にさらにプレッシャーを与えるために追加の戦術を使用するようになっています。暗号化攻撃から復旧できたとしても、身代金の支払いを迫る強力な脅しが待っています。

この記事では、こうした新しい戦術による危険性や、これらから企業をどのように保護できるかについて見てみましょう。

ランサムウェア攻撃の進化

ランサムウェア攻撃者は攻撃を進化させてより巧妙になっており、組織への被害も大きくなっています。サイバー犯罪者が企業に対し金銭の支払いを強要するために使用する、進化を続ける戦術を表す「二重脅迫」、「三重脅迫」、「四重脅迫」といった用語が使用されています。これは、企業がたとえ最初の暗号化攻撃で失われた重要なデータを復元し、稼働できるようになったとしても、攻撃は終わりでないことを意味します。これらの戦術の最初の 3 つはますます広まっており、実際の事例が数多く知られています。

• 従来型ランサムウェアは、被害者のファイルを暗号化し、それを復号することと引き換えに身代金を要求する攻撃です。一般的に被害者は、復号キーとの引き換えに身代金を支払わずしてファイルのロックに使用されている強力な暗号化を解除することはできません。この戦術は、データ保護の効果的な使用により昨今では弱体化しています。万全に準備されテストされたバックアップテクノロジーとプロセスにより、暗号化されたシステムやデータは復元が可能です。さらに、司法機関、テクノロジーベンダー、ユーザーコミュニティの協力体制の向上により、早期攻撃への対応として復号キーが共有されるため、身代金を支払うことなくファイルを復号できるターゲット企業も存在します。

• 二重脅迫ランサムウェアは、暗号化されたデータを復元し、身代金を支払うことなくビジネスオペレーションを再開するためのバックアップからの復元が成功しやすくなっている状況を受けて開発された戦術として、ますます広まっています。この戦術においては、暗号化攻撃を仕掛ける前にターゲットから大量の機密データをひそかに抜き出す攻撃者の能力が重要です。身代金の要求には、被害者が支払えない場合、このデータを公開するといった脅迫も含まれるようになります。これは非常に効果的な場合があります。データの開示によりターゲットはさまざまな不利な状況にみまわれる可能性があります。顧客やパートナーによる信頼の低下、上場企業の場合は株価の下落、未発表の新製品情報や販売マーケティングの計画などの機密情報にあたる情報の漏えい、機密メールなどの非公開情報の漏えいなどがあります。法的規制対象のある業界における企業は、コンプライアンス違反の制裁に直面する可能性もあります。例えば、EU の GDPR では、EU 在住の顧客と取引する企業は、顧客データのプライバシーとアクセスを保護することが求められています。HIPAA コンプライアンス基準では、患者データのプライバシーを保護できなかった米国の医療機関には罰金を課すことを定めています。

• 三重脅迫ランサムウェアは、二重脅迫の脅威を新たなレベルに引き上げるものです。攻撃者は被害者の顧客やパートナーに連絡し、ターゲットが保有するこれらの人々のデータも公開の脅威にさらされていることを通知します。攻撃者は、データの公開による影響に苦しまないためにも身代金を支払うようターゲットを説得することを、顧客やパートナーに提案します。

ランサムウェア脅迫の様々なフェーズ

これらの戦術の概要を順に見ていきましょう。

従来型攻撃

• ランサムウェアの仕掛け人は、不注意なユーザーが悪意のあるリンクまたは添付ファイルをクリックするといった、フィッシングメールを主に使用し、ターゲットの外部防御を侵害して暗号化マルウェアをインストールすることにより、最初のアクセスを成功させます。このマルウェアは、ターゲットのシステムのファイルをひそかに暗号化した後、復号キーと引き換えに暗号通貨による身代金の支払いを要求します。暗号通貨ではなく、小売店のギフトカードなど追跡が困難な支払い方法を求める場合もありますがこれは比較的少数です。

• ランサムウェアのより洗練されたバージョンが最初のターゲットのローカルネットワーク上に広まり、他のデスクトップ PC、ノート PC、サーバーを暗号化する可能性があります。多くのバージョンがバックアップアーカイブ、シャドーコピー、暗号化されたファイルの復元に使用できそうなリソースを探し、暗号化していきます。

二重脅迫攻撃

• 暗号化攻撃を仕掛ける前に、ランサムウェアオペレーターは、大量の機密データをひそかに抜き出します。データは一般的にオペレーターが管理するクラウドサーバーといった外部にコピーされます。これには living-off-the-land（環境寄生）戦術が含まれることがあります。攻撃者は通常、有益な目的で使用されている IT ツール（例：バックアップソフトウェア）を乗っ取り、検出が困難な方法で抜き出しを行います。続いて攻撃の暗号化段階を進めます。

• ターゲットファイルがロックされると身代金要求書が表示され、身代金が支払われない場合、被害者の機密データを公開するといった脅威も含めます。

三重脅迫攻撃

• 二重脅迫攻撃フェーズを行った後、ランサムウェアオペレーターはターゲットの顧客やパートナーに連絡し、被害者が身代金を支払われなければ顧客やパートナーに関連した機密データもまた開示されることを知らせます。これらの「コラテラル被害者」つまり巻き添えを食った標的は、被害にあった組織に連絡し、身代金を支払い、情報を保護するよう促すことが奨励されます。

四重脅迫攻撃

• 上記 3 つの攻撃にある戦術に加え、身代金要求書に、身代金を支払わなかった場合にDDoS攻撃でパブリックサーバーをダウンさせる脅威を含めます。

従来型脅迫および二重脅迫の戦術は現在、最も広く見られており、その中で三重脅迫の使用が増加傾向にあります。四重脅迫は、これらの戦術の中でも最も稀ですが、最近のサイバーセキュリティ分析では、攻撃者が身代金の支払いを確保し、加速するための新たな方法を模索していることから、増加していることがわかっています。

暗号化にとどまらないランサムウェア攻撃

新しいランサムウェア脅迫戦術の台頭により、企業はランサムウェア攻撃を防止するための防御と、攻撃が防御を回避した場合に備えて攻撃から復元できる能力を強化することが迫られています。

ランサムウェア攻撃者は常にチャンスをうかがっており、規模、地域、業界問わずあらゆる企業をターゲットにしていることに注意が必要です。ターゲットになりやすい業界もあります。例えば、医療機関は重要システムがダウンすれば生死に関わります。金融機関は、業界や政府によるいくつもの規制要件を抱えています。教育機関は、限られた予算やサイバーセキュリティ問題に用心していない生徒に苦慮しています。テクノロジー企業は、サイバー犯罪の被害にあえば大きな風評被害にみまわれます。 しかし、攻撃はあらゆる分野で発生しており、中でも成功した攻撃の 75% は中小企業が占めています。これは、効果的なサイバーセキュリティ防御と復元操作を構えるリソースとスキルがしばしば不足しているためです。

最近の調査や新しいレポートでは、ランサムウェア攻撃の頻度、巧妙さ、範囲が高まっていることを強調しています。

• 1 月に発行された Cloudflare レポートによると、2021 年第 4 四半期においてランサムウェアにともなう DDoS 攻撃は、29% 増加しました

• グローバルクラウドコミュニケーション企業の Bandwidth.com は、DDoS 攻撃による 900～1200 万ドルの損失を報告しています。これは、企業への数多くある攻撃の一つにすぎず、中には、数百万ドルの身代金を要求したケースもあります

• The Register によると、英国に拠点を置く VoIP Unlimited は、DDoS 攻撃の後、「莫大な身代金の要求」にみまわれ、カナダのプロバイダー、VOIP.MS では、DDoS による身代金は 420 万ドルでした。企業がカスタマーサービスを復旧させるまでほぼ 2 週間かかりました

• BlackCat ランサムウェアグループは、四重脅迫の手法を利用し、身代金を支払うよう被害者に圧力をかけています。 最近では、このランサムウェアグループは250 万ドルへと要求額を上げています

すべてのランサムウェア攻撃が報告されているわけではないため、ランサムウェアの平均支払い額を見積もるのは困難です。発生するコストは、ターゲット組織の規模や性質、暗号化されたデータ量、身代金要求額に応じて大きく異なります。しかし、現在集計された合計金額は年間数百億ドルにのぼります。

あらゆる種類のランサムウェア攻撃の被害にあうリスクを減らすために、企業はサイバーセキュリティ防御とデータ保護対策に投資して攻撃に対抗するだけでなく、攻撃が発生した場合に迅速に復旧できるようにしておく必要があります。

ランサムウェア攻撃によるデータ損失とダウンタイムのリスクを低減する、包括的な詳細な防御計画には以下の手順が含まれます。

• 定期的にデータをバックアップする。ネットワークに接続されていないセキュアな場所にバックアップを保管。これにより、ネットワークが侵害されてもデータを復元することができます。

• メールフィルタリング、迷惑メールブロック、多要素認証、ユニバーサル復号キーといったセキュリティ対策を導入し、悪意のあるメールが従業員の受信トレイに届く可能性を低減する。

• 最新のセキュリティパッチでオペレーティングシステム、Web ブラウザ、アプリケーションなど、すべてのソフトウェアを最新の状態に維持。これにより、攻撃者が企業のシステムにアクセスするために既知の脆弱性を悪用するのを防ぎます。

• ウイルス対策・マルウェア対策ソフトウェアを使用してランサムウェア攻撃を検出・防止。最新のウイルス定義でウイルス対策・マルウェア対策ソフトウェアを最新の状態に維持します。

• ファイアウォール、侵入検出・防止システム、ネットワークセグメンテーションといったネットワークセキュリティ対策を実装し、攻撃者が企業のシステムにアクセスするのを防止します。

• DDoS 対策を導入し、パブリックサーバーへの攻撃リスクを低減します。

• ランサムウェア攻撃のリスクとその防止方法について従業員を教育。フィッシングメールや不審なリンクを認識し、攻撃の可能性が疑われる場合は報告する方法を伝えます。

• ランサムウェア攻撃発生時のインシデント対応計画を確立。これには通常、感染したシステムの分離、ネットワークからの接続解除、法執行機関への通知といった手順が含まれます。バックアップからデータを復元する計画の確立も重要です。

Acronis Cyber Protect は、企業をあらゆる種類のランサムウェアから守る、統合サイバープロテクションソリューションです。ML（機械学習）とAI（人工知能）の組み合わせでランサムウェア攻撃の検出・阻止を行い、攻撃時には復元オプションを提供します。

Acronis Cyber Protectは、多層防御アプローチを使用してランサムウェア攻撃を検出・阻止します。ヒューリスティックとシグネチャベースの検出により、既知のランサムウェア脅威を特定でき、振る舞い分析と機械学習の技術では、未知の脅威も検出できます。人工知能を使用し、差し迫った攻撃を示しうる振る舞いの変化を監視します。

攻撃が発生した場合、Acronis Cyber Protect は複数の復元オプションを提供します。例えば、暗号化された個々のファイルまたはフォルダやシステム全体を復元することができます。ランサムウェアにより行われた変更のロールバックも可能なため、データを攻撃が発生する前のバージョンに戻すことができます。

管理を効率化させながら、最新のサイバー脅威に対しセキュリティを向上させてみませんか？ Acronis Cyber Protect のウェビナーはこちらからお申し込みください。