ランサムウェアは、初めて登場したときから進化を続けています。かつては熱心な人物が個別に作り上げていたものが、今では大きなアンダーグラウンド産業となり、開発者に大きな利益をもたらしています。それだけでなく、この闇世界への参入コストは下がる一方です。
今どきのサイバー犯罪者予備軍は、自分でマルウェアを作成する必要がなく、ダークウェブでの購入さえ可能です。また、Software-as-a-Service(サービスとしてのソフトウェア、SaaS)ならぬRansomware-as-a-Service(サービスとしてのランサムウェア、RaaS)のプラットフォームができあがっています。導入が簡単でプログラミングのスキルも不要なRaaSは、誰でも使えるツールであり、ランサムウェアによるインシデントが増加したのも当然の流れでした。
最近の傾向でもう一つ気がかりなのは、データを暗号化してしまって身代金を脅し取るという単純なランサムウェア攻撃から、暗号化前にデータを抜き取るという作業が加わる複合型攻撃にシフトしていることです。後者については、身代金を支払わなかった場合、情報の損失という結果ではなく、公の場所での情報公開またはオークションによる売却という結果が待っています。2020年夏に行われたオークションでは、ランサムウェアREvilを使って農業関連企業から盗み出されたデータベースが、55,000ドルの初値で売りに出されました(英語記事)。
残念ながら、ランサムウェア被害者の多くは、データが戻る保証はないと知りながらも、要求された額を支払わざるを得ないと感じています。それというのも、こういった攻撃では、データ復旧まで一刻の猶予も許されないような企業および団体がターゲットになりがちであるためです。例えば製造業の場合、製造中止によって生じる損害は1日当たり何百ドルにも達します。その一方で、インシデントの調査には何週間もかかる可能性があり、すべてを元どおり復帰させられるとは限りません。医療機関の場合はどうでしょうか?緊急事態に直面したとき、身代金を支払う以外の選択肢はないと感じる責任者もいるはずです。
昨年秋、FBIはランサムウェアに関する説明を特別に発行し(英語)、ハッカーに対して金銭を支払わないようにと明確に推奨しています。支払っても暗号化された情報の復旧は保証されない、支払うことでさらなる攻撃を促すことになる、という理由からです。
ヘッドラインを飾ったランサムウェアインシデント
2020年には多くのランサムウェア被害が発生しました。ここで紹介するのは、今年前半に発生したインシデントの一部であり、ランサムウェア問題の規模拡大を示しています。
2月、デンマークの設備サービス企業であるISS Worldが、ランサムウェアの被害を受けました(英語記事)。同社のデータベースが暗号化されてしまったため、60か国で勤務する何千人もの従業員が、会社の各種サービスに接続アクセスできなくなりました。同社は身代金の支払いを拒否。インフラのほとんどを復旧させ、調査を実施するのに約1か月を要し、損失額は合計で7500万〜1億1400万ドルと見積もられています。
この春には、米国の多国籍ITサービスプロバイダーであるCognizantも、ランサムウェアによる攻撃を受けました。4月18日、同社は著名なランサムウェアであるMazeにより被害を受けていることを公式に認めました(英語記事)。Cognizantの顧客は同社のソフトウェアとサービスを利用してテレワークする自社従業員をサポートしていましたが、中断を余儀なくされました。
Cognizantは、攻撃について報告した直後にパートナー企業に向けて声明を出し、その中でMaze関連サーバーのIPアドレス、ファイルのハッシュ(kepstl32.dll、memes.tmp、maze.dll)を脅威存在痕跡として掲載しました(英語記事)。
企業インフラの大部分を再構築するのには3週間かかり、Cognizantは2020年第2四半期の決算報告の中で、5000万〜7000万ドルの損失を報告しています。
2月には、英国のRedcar and Cleveland自治区議会が攻撃を受けました。英国紙のThe Guardianは、何千人もの住民が利用するITインフラを実質的に再構築するために要した3週間もの間、議会は「紙とペン」に頼るしかなかった、という議員の言葉を引用しています(英語記事)。
自衛のためにできること
最大の戦略は、準備を怠らないことです。不正アクセスの入口となる可能性のあるメールサービスには、スパムフィルターを導入し、メールに添付された実行ファイルをブロックまたは隔離するようにしましょう。
準備にもかかわらずランサムウェアに入り込まれてしまった場合に無駄な時間ができるだけ生じないように、また損害を最小限にとどめられるように、業務上重要な情報は日ごろから定期的にバックアップを取っておきましょう。バックアップデータは、安全なクラウド上に保管しましょう。
こうしたセキュリティ対策に加え、Kaspersky Anti-Ransomware Tool(英語)のような専用ソリューションを導入するとよいでしょう。Kaspersky Anti-Ransomware Toolは、クラウドネットワークとふるまい分析によって疑わしいアプリケーションのふるまいを検知することでランサムウェアの侵入を阻止し、感染してしまったシステムに対しては、悪意ある操作をロールバックすることが可能です。
一方、当社の総合セキュリティソリューションであるKaspersky Endpoint Security for Businessは、あらゆるタイプの脅威に対する保護機能を幅広く備えています。Kaspersky Endpoint Security for Businessには、Kaspersky Anti-Ransomware Toolが持つ機能に加え、Webコントロール機能、デバイスコントロール機能、アダプティブアノーマリーコントロール機能などが備わっています。また、ファイルレス攻撃のような最新の攻撃にも対抗すべく、セキュリティポリシーを構築することが可能です。