ランサムウェアとは ～Acronis Active Protectionを活用するには～

ランサムウェアは、現在ビジネスや消費者を苦しめている、もっとも蔓延しており、犠牲者も多いマルウェアです。ランサムウェアは、サーバー、PC、ノートパソコン、タブレット、スマホ、そしてATMや飛行機のチェックイン端末のようなコンピューター化された装置に侵入する、広義における悪意あるコンピューターウィルスです。

ランサムウェアはデバイスから貴重な情報を盗むのではなく、デバイスに保管されているファイルやデータへのユーザーアクセスを拒否することが目的です。シンプルな「ブロッカー」形式のものは、ユーザーがコンピューターのデスクトップにアクセスできなくなる画面を表示します。

より高度で破壊力のある「暗号化」形式のランサムウェアははるかに上を行き、ユーザーのファイルを暗号化（スクランブル化）してしまいます。両方とも、身代金を追跡不可能な受取人に対してオンラインでユーザーに支払うように指示し、支払いがあれば攻撃者はシステムのロック解除を約束します。

ランサムウェアを巧みに扱う犯罪者は、ユーザーの恐れと無知を利用して支払いを強要し、支払い期限の日数や時間が近づいていることを表すカウントダウンなどを用いて、犠牲者にプレッシャーをかけて早く支払わせようとします。

ユーザーが身代金を支払うと、攻撃者はファイルのスクラブ解除に使われる数学的キーを提供するか、ブロッカーを解除する方法を開示します。

過去数年間で着実にランサムウェア攻撃の量は増え、高度化しており、歴史上、もっとも蔓延しており、損害が大きいオンライン犯罪脅威の１つになっています。米国のFBIは、２０１６年にランサムウェア犯罪組織は犠牲者から１０億ドル以上を脅し取っていると推定しており、その数字は２０１７年末までに３倍もしくは４倍になると予測しています。悪名高いWannaCryランサムウェアが２０１７年５月に大流行した際に、ほんの数時間で１５０カ国に拡がり、数十万ものシステムが影響を受け、多くのユーザーがその脅威を認識するようになりました。

その後の何回もの攻撃が示すように、ランサムウェア問題は悪化する一方です。組織化された犯罪組集団は正当なサービスとしてのソフトウェア業界のビジネスやテクノロジーモデルを模倣し、スキルの低い犯人でもランサムウェアをばらまき、収益を上げやすくなっています。あなた、ご家族、会社、あなたの知人がランサムウェアの被害者になる可能性は日に日に高まっています。ユーザーはランサムウェアの脅威について学びし、身を守る方法を学ばなければなりません。

ランサムウェア攻撃に対して守る確立されたテクノロジーの１つが Acronis Active Protection です。Acronis Cyber Backup (企業向け) および Acronis True Image (個人向け) というバックアップソフトに組み込まれています。Acronis Active Protection は、常にユーザーのシステムを監視し、見慣れないプロセスが突然一連のファイルの名前を変更し暗号化するような、ランサムウェアに典型的な疑わしい行動がないかを探します。人工知能と機械学習を応用し、Active Protection は素早くランサムウェアに似た動作を識別し、そのような動きの処理を停止させ、明らかに悪意あるアクティビティであればユーザーに通知します。「正当なアクションであれば許可」または「そのアクティビティが怪しければブロック」というユーザーの反応に基づき、Active Protection は処理を再開させるか、処理を停止し、バックアップコピーから復元して破損を受けたファイルを自動修復します。

Active Protection は AI ベースのパターン認識を使用し、ランサムウェア攻撃に一般的な疑わしい行動を特定します。ユーザーの防御を阻止する新たな戦略を犯罪者が試みるのにあわせ、機械学習が時間をかけて攻撃行動の理解を深化させます。これは、従来のウイルス対策製品に重要な保護を加えることになっています。脅威を特定するためにマルウェア内に共通するセグメントコード（シグネチャ）を使用していますが、シグネチャが幅広く知られていないまったく新しい脅威を特定することができない点がウイルス対策ソフトの弱点です。

これを別の方法で説明すると、ウイルス対策ソフトはランサムウェア脅威を見かけに基づいて検知します。Active Protection はランサムウェア脅威を振る舞いに基づいて検知するので、ウイルス対策ソフトのシグネチャデータベースにまだ追加されていないまったくの新しい変異株でも阻止できます。

Active Protection は、ユーザーが問題ないと判断したプログラムのホワイトリストも保持しており、正当なファイルの名前変更や暗号化のような、ランサムウェアの振る舞いと見誤りかねない挙動のプログラム使用時に、意図せずブロックするのを防ぎます。検知・ブロックされたランサムウェア攻撃は自動でブラックリストに追加され、同じランサムウェアによるその後の攻撃は完全に実行回避できます。

ランサムウェアからの攻撃を迅速に検知し、停止させることは重要です。脅威を迅速に停止させればさせるほど、暗号化によりファイルを破壊する時間が短くなります。ランサムウェアで暗号化されたファイルの復元は便利な機能ですが、その効果はバックアップ頻度によります。ランサムウェアにより暗号化されたファイルを復元できますが、復元されたファイルは数日前または１週間前にバックアップしたバージョンかもしれません。

Active Protection は、Acronis Cyber Backup とAcronis True Image を補完し、メモリー、ローカルディスク、外付けドライブ、ユーザーのローカルネットワーク上のドライブ、リモートロケーションやクラウドデータストレージのいずれかの場所から損傷を受けたファイルを復元します。多くの場合、損傷を受けたファイルはユーザーシステムのローカルキャッシュから即時に復元できます。

攻撃を検知・阻止するだけでなく、損傷を受けたファイルを迅速に復旧させるこの機能は、Active Protection の特徴です。ランサムウェア対策として販売されている多くの製品は、攻撃を阻止できますが、攻撃を検知する前に損傷を受けてしまったファイルを復旧することはありません。攻撃後の復旧をサポートする製品もありますが、サイズの小さなファイルのみに限られます。

Active Protection はランサムウェア攻撃を検知、阻止し、ファイルサイズにかかわらず、損傷を受けたファイルを素早く自動で復旧します。

ランサムウェア攻撃から復旧するためにバックアップされたファイルを使用することは、有益で推奨される防御技法です。この戦術を学んだ多くのマルウェア開発者達は、ユーザーのバックアップファイルを探して暗号化しようとするランサムウェアを作成するようになりました。アクロニスでは、Active Protection による防御をバックアップファイルとその他のファイルに適用し、この戦術を無効化します。社外に保管されているバックアップファイル（たとえば Acronis Cloud Storage）への攻撃は、転送中および保存時の暗号化、およびクラウドバックアップファイルへのアクセスをアクロニスが承認した処理のみに制限することで、さらに保護されます。

Acronis Cyber Backup とAcronis True Image に Acronis Active Protection が組み込まれていることで、個別に導入されているマルウェア対策やバックアップ製品に比べて明確なメリットがあります。

個別の製品を組み合わせても、バックアップとランサムウェア対策保護が緊密に統合されたアクロニスのような高度に自動化されたランサムウェア攻撃の検出、終了、および復旧を実現することはできません。

このデモンストレーションでは、警戒心のないユーザーが見覚えのある送信者からの正当なメールのように見えるメールのリンクをクリックしたり、添付ファイルを開いたりすることで起こる、一般的なランサムウェア攻撃における一連の流れを表しています。

それは、実際にはオンライン犯罪者からの「フィッシング」メールで、ユーザーにメールを信頼させようと細工されています。リンクをクリックしたり、添付ファイルを開いたりしても、予想していたスプレッドシートやおもしろいGIFは表示されず、ユーザーのシステムがランサムウェアウィルスに感染します。一部のランサムウェアには（悪名高い WannaCry ウイルスのように）ワーム技術が含まれ、ユーザーのローカルネットワークや Wi-Fi ネットワーク上で見つかるその他のシステムすべてに自動で拡散します。

下のビデオでは、人気の高いテレビ番組の今後のエピソードに関する興味をそそられる正当に見えるメールを受信しています。興味を持ったユーザーがメールの添付ファイルをダウンロードして開くと、実際は WannaCry ランサムウェアを含むファイルであることが判明します。このウイルスはユーザーのファイルを暗号化し、まったくアクセスできないようにし、カウントダウン付きの身代金要求文を表示します。タイマーが切れる前に、追跡不能なオンライン通貨であるビットコインで３００ドルの支払いを要求します。ユーザーは、顔の見えない犯罪者にすぐに支払うか、永久にファイルにアクセスできなくなるという選択を迫られます。（警察やセキュリティ専門家は一般的に身代金の支払いを推奨していません。身代金を支払った犠牲者の２０％が約束のキーを受け取っていません）

デモは続いて、Acronis Active Protection を所有していた場合に、同じユーザーが同じ感染した添付ファイルを開いた際に、何が起きるかを示します。Active Protection はファイルの名前変更や暗号化アクティビティを悪意ある行為であると見なし、直ちに処理を止めます。それから攻撃を検知する前に暗号化されたファイルを自動で復元します。

ビデオはさらに続き、Active Detection の許可/ブロック決定により機械学習が時間をかけて進化する方法、そしてホワイトリストやブラックリストでさらに洗練される方法について説明します。

ランサムウェアに対するシグネチャを作成できると知られ、ユーザーがシステムのウイルス対策シグネチャのデータベースを更新していれば、ウイルス対策ソフトがランサムウェア攻撃を検知・ブロックすることができる場合もあります。マルウェアの犯罪者はシグネチャベースの検知を回避するために、ランサムウェアを絶えず進化させています。そのため、ウイルス対策ソフトは既知のランサムウェア攻撃の防御には役立ちますが、まったく新しい攻撃にはまったく役に立ちません。

より優れた解決策が、バックアップファイルから暗号化されたファイルを復元することですが、最後のバックアップ後に新規作成されたファイルや更新した作業を失う可能性があることを意味しており、それは数時間、数日、数週間分のファイルである可能性があります。

 Acronis Cyber Backup と Acronis True Image に含まれている Active Protection はより優れたソリューションで、未知のバージョンを含むランサムウェア攻撃を検知・阻止する能力と、攻撃検出前に損傷を受けたファイルを即座に復元させる能力を組み合わせています。ランサムウェアのシグネチャではなく、振る舞いに基づいて特定・阻止する能力は、ウイルス対策ソリューションと比較して防御上大きなメリットです。

損傷を受けたファイルをバックアップから自動復元する能力と統合されることで、純粋なマルウェア対策ソリューションよりも優れたソリューションになっています。ランサムウェア防御機能とバックアップ機能を1つの統合された自動化パッケージにした製品は他にありません。

システムに保存されるデータ量とその価値は時間の経過とともに増加する一方です。ランサムウェアを開発して配布する犯罪産業はすでに膨大な利益を上げており、時間の経過とともに、攻撃の量と巧妙さは増すばかりです。ランサムウェア攻撃を回避する数多くの基本的な手順があります。

1. ウイルス対策プログラムを使い、そのシグネチャデータベースを頻繁に更新する
2. OS とアプリを最新に保ち、製品提供者が脆弱性を発見したときに、それを修正するソフトウェアパッチを入手できるようにします。たとえば、WannaCry は、多くの Windows ユーザーが即座にWindows アップデートで修正しようと思わなかった既知の弱点を悪用して、世界中を混乱させました
3. フィッシングメールに用心し、絶対に信用できる送信元ではない限り、家族、友人や同僚にメールのリンクをクリックしたり、添付ファイルを開いたりしないようにします

ランサムウェアを操る悪党に対して優位に立ちたいなら、ランサムウェア攻撃を検知、阻止、自動復元できるほぼ唯一の統合型ソリューションである、Active Protection が付いた Acronis Cyber Backup または Acronis True Image を導入ください。