ランサムウェアの概要
ランサムウェア攻撃は、特殊かつ極めて被害が大きいマルウェアで、サイバー犯罪者が個人、組織、事業者から金銭をゆすり取るために行われるものです。感染により、ユーザーが「身代金」を支払うまで、データへのアクセスがブロックされます。支払った時点で、アクセスを再開できるものと思われていますが、実際には、支払いを行った被害者の約40%がデータを取り戻すことができず、その73%は後日再びターゲットとなっています。誰もがランサムウェアに対する防御を必要としている理由です。
広く知られたランサムウェア攻撃
- Dharma
- Ryuk
- Sodinokibi
- Netwalker
- Maze
影響:重大ステータス:アクティブDharma
Dharmaは、2016年以降、CrySisランサムウェアから進化し、現在は、そのほとんどをスパムメールによる悪意ある添付ファイルとして分散されます。また、2重のファイルエクステンションや正当なソフトウェアパッケージの内部インストーラーファイルといった様々なトリックを悪用しています。最近、このランサムウェアは、脆弱なパスワードや漏洩したパスワードをもつRDPサーバーを介して配信されるようになりました。身代金の要求は通常、1件の感染当たり1ビットコインで、中小企業やパーソナルユーザーに多数の被害者がいます。FBIによると、2019年、Dharmaは、800万ドル以上の不正利益をあげたと推測しています。2020年3月にDharmaのソースコードがいくつかのアンダーグラウンドフォーラムで販売されたことから、さらに亜種が作成されました。
ニュース
影響:中程度ステータス:アクティブRyuk Ransomware
Ryukランサムウェアは、国家が支援するハッキンググループのLazarusおよび初期のHermesランサムウェアの亜種に関連しているとされます。大規模なスパム攻撃活動やエクスプロイトキットで分散される一般的なランサムウェアとは異なり、この亜種はほとんどが標的型攻撃で使用されます。Ryukは、3層暗号化モデルを使用しています。このモデルでは、暗号化キーはRSAで暗号化され、ユーザーのファイルを暗号化するためにAESが使用されます。また、プロセスのインジェクションを利用してウイルス対策ソリューションから逃れます。Ryukは有名な標的を感染させ、何百万ドルもの身代金を要求しました。FBIの予想では、Ryukは月当たり300万ドルの不正利益を得ており、その戦略の確実性を示しています。
ニュース
影響:中程度ステータス:アクティブSodinokibi Ransomware
Sodinokibiは、悪名高いGandCrabランサムウェアを拡散させたハッカー達と連携した攻撃者により拡散されていると言われています。Sodinokibiは、イラン、ロシア、その他の旧ソ連に属していた国々のコンピューターの感染を避けています。Sodinokibiは、楕円曲線暗号(ECIES)を鍵の生成と交換に使用しています(楕円曲線Diffie-Hellman鍵交換アルゴリズム)。このランサムウェアは、セッションキーの暗号化にAESアルゴリズム、ユーザーのファイルの暗号化にSalsa20アルゴリズムを使用しており、AESはコントロールサーバーに送信されるネットワークデータの暗号化にも使用されています。このランサムウェアは、一般に、暗号化されたファイルへのアクセスの回復に0.32806964BTC(約$2,500)を要求します。
ニュース- SodinokibiランサムウェアのNASDAQ攻撃により、株価下落
- Sodinokibiランサムウェアの攻撃により、Gedia Automotive GroupのITネットワークが停止
- Travelexへの攻撃は憂慮すべき事態
アクロニスで: Sodinokibi の詳細をご紹介
影響:重大ステータス:アクティブNetwalker
GrujaRSによると、NetWalker(別名Mailto)は、Kokoklockランサムウェアのアップデート版との事。このランサムウェアは、ネットワークに侵入し、接続されているすべてのWindowsデバイスを暗号化した後に高額な身代金を要求します。近頃では、サイバー犯罪者は、NetWalkerランサムウェアを拡散するためにコロナウイルス関連のメールスパム攻撃を始めています。2020年3月末、この犯罪者グループはアフィリエイト攻撃を開始し、NetWalkerをランサムウェア・アズ・ア・サービス(RaaS)として拡散しました。
ニュース
影響:重大ステータス:アクティブMaze
以前、ChaChaと呼ばれていたMazeが始めてランサムウェアの舞台に登場したのは2019年でした。このグループは世界中で暗躍しており、スパムメールやエクスプロイトキット、脆弱なパスワードを利用するリモートデスクトップ接続といった様々なな方法を通じてマルウェアを拡散しています。Mazeランサムウェアは非常に複雑で、デバッガーやリバースエンジニアリングツールを停止するなど、分析を回避するためのトリックが含まれます。Mazeは、被害者が身代金を支払わなかった場合に盗まれたデータを公開した最初の大規模なランサムウェアファミリーの1つでした。その他多くのランサムウェアと違い、Mazeランサムウェアの背後にいるグループはソーシャルメディアで積極的に活動し、研究者やジャーナリストを挑発しています。
ニュース
クリプトジャッキングとランサムウェアの関係
サイバー犯罪者は、WindowsマシンとLinuxマシンをマルウェアに感染させ、ユーザーが知らない間に演算リソースをハイジャックして、暗号通貨を発掘するために利用します。クリプトジャッキングは、コンピューターパフォーマンスの低下、電力コストの増大、ハードウェアのダメージを引き起こしますが、これらだけでなく、通常、感染によるマルウェアの効果を最大化させるためのランサムウェアが組み込まれています。
幸い、Acronisがリアルタイムで自動的にランサムウェアとクリプトジャッカーの両方を検知、停止します。最先端のエンドポイントサイバーセキュリティよりもはるかに高い性能を示します。
実証されたランサムウェアプロテクション
3種類の異なる調査で、独立調査機関であるNioGuard Securityは、アクロニスが最先端のサイバー攻撃に対して最も優れた防御機能を提供していると判断しました。
被害者にならないために
アクロニスのソリューションがユーザーのデータ、アプリケーション、システムを保護する方法
- 攻撃を検知
AI(人工知能)を利用して、Acronisはリアルタイムでシステムを監視します。ランサムウェアやクリプトジャッキングで典型的とされる挙動のパターンを示すアクティビティを識別するため、プロセススタックを検証します。
- 暗号化の停止
プロセスがデータの暗号化や悪意あるコードの挿入を試みると、Acronisは直ちにそのプロセスを停止して、ユーザーに疑わしい動作が検知されたことを通知します。ユーザーは、アクティビティをブロックするか、あるいはそのアクティビティを継続させることができます。
- 影響を受けたファイルを復元
攻撃が停止する前にファイルが改変または暗号化された場合、Acronis Cyber Protectionによるソリューションは、バックアップまたはキャッシュからこのようなファイルを自動的に復元します。あらゆる攻撃の影響を直ちに解消します。
- サイバープロテクションの5つの特徴の説明
最先端のサイバー保護は、安全性、アクセシビリティ、プライバシー、真正性、セキュリティを保証しなければなりません(SAPASとして知られています)。アクロニスは、すべての必要なテクノロジー、すなわちハイブリッドクラウド、AI、暗号化、ブロックチェーンを1つの簡単で効率的、安全なソリューションとして統合しました。
セキュリティに関する業界全体への貢献
栄誉あるAMTSOのメンバー
アクロニスは、アンチマルウェアテスト標準化機構(AMTSO)の一員としてセキュリティソリューションのテストに使用される適正な基準の開発を支援しており、またAMTSO基準の順守に関するテストに参加しています。
VirusTotalに対するML(機械学習)の提供
アクロニスはAMTSOのメンバーとして、VirusTotalにML(機械学習)エンジンを提供しており、これにより世界中のすべてのユーザーが、多岐にわたるオンラインデータの脅威を検出できるアクロニスのテクノロジーによるメリットを享受できます。
Joel S.
ネットワーク管理者
“Acronis アクティブ Protectionなどのランサムウェアに対する革新的な機能で、アクロニスは、今日の市場で最強のサイバー保護を実装しています。”
サポートが必要ですか?
よくある質問
- ランサムウェアとは
ランサムウェアはマルウェアの一種で、サイバー犯罪者が個人や組織、企業から金銭を脅し取るために使用します。ランサムウェアには多くの種類がありますが、代表的な攻撃では被害者のデータを暗号化し、身代金(ランサム)の支払い(通常、BitcoinやMoneroなどのデジタル通貨)を要求、脅迫されることがあります。
「身代金され支払えば、解読キーを送ってやる」と言われますが、身代金を支払った被害者の約40%は自分のデータには2度とアクセスできません。
- ランサムウェアを阻止する方法は?
通常、ランサムウェアはメールや感染済みのウェブサイトを通じて広がります。ほとんどのランサムウェアは「フィッシング」として知られるマルウェア感染テクニックを使用して配布されますが、これはユーザーが知っている、または信頼している人を装ったメールなどで受け取ることが多いとされます。その手口は、だまして添付ファイルを開けさせたり、あるいはメール内のリンクをクリックさせたりして、そこからランサムウェアをシステムに侵入させるというものです。
常に警戒を怠らず、不審なリンクや添付ファイルを避けることが一番の防御ですが、サイバー犯罪者は非常にガードの固いユーザーでさえも巧みにだまそうと狙っています。システムを守るランサムウェア対策ソフトウェアが必要です。
残念ながら、従来のアンチウイルスソリューションでは既知のランサムウェアは検出できても、常に変化を続ける最新の脅威には対応できません。Windows 10やMacのデバイスにランサムウェア保護が必要かどうかにかかわらず、不審な活動に基づいて攻撃を検出するランサムウェア対策技術を確実に使用してください。なぜなら、行動ベースの防御はゼロデイ攻撃を識別、阻止する上でさらに強力だからです。
- ランサムウェアを削除する方法は?
ランサムウェアの被害に遭った場合、削除は困難です。対応には3つのオプションがあります。
第1に、バックアップからシステムを復元できます。しかし、新しいランサムウェア攻撃はバックアップファイルやバックアップソフトウェアを標的にするため、バックアップファイルが被害に遭っていないのを確認する必要があります。
第2のオプションはハードドライブを再フォーマットしてすべてのデータを消去し(感染も含めて)、それからオペレーティングシステムとアプリケーションを再インストールすることです。しかし、バックアップがなければ、すべての個人データを失い、将来発生するランサムウェア攻撃の脅威に直面し続けることになります。
最後に、身代金を払い、解読キーを使ってデータを復元できることに望みをかけることになります。支払った人の40%は、2度とデータを取り戻せていないことにご注意ください。そのため、損害が発生する前に攻撃を予防するほうがはるかに良いアプローチです。
- ランサムウェアの背後にいるのは誰か?
一般的に、ランサムウェアを開発し流通させるのは組織犯罪グループによるものと言われています。
組織犯罪者はできるだけ多くの金銭を脅し取ることを目指しており、誰でも使用できるランサムウェアキットとして、マルウェアを流通させ、被害を拡大させています。このRansomware as a Service (RaaS) モデルは犯罪者のソフトウェアを迅速に拡散します。犯罪者は支払い、解読、その他の操作要件を実行させ、回収した身代金から一定割合を着服します。
一般的に、ランサムウェアをしている流布している国家は、厳しい国際的制裁の対象になっている国であることが多々あります。こうした国家はランサムウェアを利用して、被害者から金銭を集めたり、経済、コミュニティ、政府の活動を妨害したりします。
- ファイルを復号するには?
ランサムウェアファミリーは多岐にわたり、ファミリー内の個々の種類によって、攻撃後のデータの復号方法は異なります。
特定の種類のランサムウェアに対する復号ソフトウェアパッケージがオンラインで入手可能な場合もあります。このようなパッケージは、その種類が登場してから十分な検証が行われたため、あるいは研究者が犯罪者に使用される暗号化の欠陥を発見したことにより、作成されます。ファイルを暗号化したランサムウェアのタイプを特定できる場合、復号ユーティリティが利用可能かどうか確認を試みることができます。
しかし、多くの場合、蔓延している種類のランサムウェアは、強力な暗号化を備えているためファイルの復号は不可能で、最新のランサムウェアファミリーの大部分に対しては、復号する選択肢はありません。
挙動ベースのランサムウェアブロッカーも、将来の感染を予防します。