ランサムウェアとは何ですか？

特に過去2年間、私たちがよく耳にし、読んでいる用語は、主に一部の組織がランサムウェア攻撃の犠牲になったという否定的な文脈で、この専門用語に出くわしました。

ランサムウェアは悪意のあるソフトウェアの一種であり、マルウェア（非常に頻繁に使用される別の専門用語）とも呼ばれ、データの制限や公開フォーラムでの公開に対する潜在的な脅威であり、潜在的なビジネスリスクを引き起こします。 これは通常、データを暗号化することによって行われ、被害者はデータを解放するために攻撃者に身代金を支払う必要があります。 通常、そのような場合、被害者が身代金を支払う期限があります。 被害者が期限に間に合わなかった場合、攻撃者はデータを消去します。 最良のシナリオでは、攻撃者は期限を変更して身代金の価値を高めます。

マルウェア攻撃は最近かなり一般的であり、北米やヨーロッパの多くの組織がそのような攻撃の犠牲になっているのを見てきました。 これらのサイバー攻撃者は、業界全体のあらゆる顧客や組織を攻撃する可能性があるため、設定された基準はありません。

FBIや一部の政府などの多くの機関は、そのような身代金の支払いを控えています。 実際、サイバー攻撃者に身代金を渡さないことを目的とした非営利組織であるNo RansomProjectと呼ばれる特別なプロジェクトがあります。 さらに、身代金を支払う被害者は、ランサムウェア攻撃を繰り返し受けることが観察されています。

ランサムウェア攻撃の背景

ランサムウェア攻撃の歴史を見ると、1989年にサイバー攻撃者が「エイズウイルス」を使って被害者から資金を強要したことにさかのぼります。 この攻撃の支払いが（メールで）パナマにリリースされると、復号化キーもメールでリリースされました。

1996年、コロンビア大学の2人の個人であるMotiYungとAdamYoungがランサムウェアの定義を導入し、「暗号ウイルスによる恐喝」という用語を作り出しました。 これらの2人の学者は、セキュリティとプライバシーの会議であるIEEEの会議で、1996年に最初の暗号ウイルス学攻撃を発表しました。

一定期間にわたって、サイバー攻撃やランサムウェア攻撃の分野でイノベーションが見られました。 サイバー攻撃者は、追跡することが事実上不可能な身代金の支払いを要求することで創造的になりました。 このようにして、これらのサイバー犯罪者は彼らの居場所の匿名性を維持します。 ビットコインなどの暗号通貨の使用が急増したため、ランサムウェア攻撃が大幅に増加しました。

このパターンを見ると、ランサムウェア攻撃はすべての業界を犠牲にしており、最も有名な攻撃は長老派記念病院への攻撃です。 研究所、薬局、救急治療室がすべてこれの犠牲になった大規模な攻撃でした。

ランサムウェアはどのように機能しますか？

前述のように、ランサムウェアは、データを暗号化してアクセスをブロックすることにより、組織から金銭を強要するために作成されるマルウェアの一種です。 主に2種類のランサムウェアが見られます。1つは暗号化装置と呼ばれ、もう1つは画面ロッカーと呼ばれます。 名前は一目瞭然であるため、暗号化機能によってデータが暗号化され、復号化キーなしでデータが冗長になります。 ただし、スクリーンロッカーは、「ロックスクリーン」を展開することにより、システムへのアクセスをブロックするだけです。

このシナリオでは、通常、被害者には、身代金を支払うためにビットコインなどの暗号通貨を購入するようにというメッセージが表示されたロック画面が表示されます。 身代金が支払われるとすぐに、組織は復号化キーを受け取り、ファイルの復号化を試みることができます。 ただし、これらのサイバー攻撃者が従うルールや倫理はありません。 身代金が支払われた後でも、被害者が復号化キーを受け取らない場合があります。 最悪の場合、身代金が支払われた後もマルウェアはインストールされたままです。

通常、このようなエンタープライズマルウェア攻撃は、疑わしい電子メールから始まります。 ユーザーは何も疑わずにその電子メールを開く可能性があり、それはワームの缶を開くだけです。

誰が危険にさらされていますか？

ランサムウェアについて話すとき、インターネットに接続されているガジェットやデバイスは、マルウェア攻撃の犠牲になる潜在的なリスクです。 ランサムウェアは通常、ローカルデバイスとネットワークに接続されているすべてのデバイスをチェックします。これは、組織内のローカルネットワークも被害者になるリスクがあることを意味します。

したがって、デバイスがインターネットに接続されている場合、これらのサイバー攻撃者によるあらゆる種類の悪意のある侵入を回避するために、組織が最新のセキュリティ更新とエンドポイントセキュリティシステムを確実に導入することが前提条件になります。

ランサムウェアがビジネスに与える影響は？

ランサムウェアの被害者である企業は、数百万ドルに達する可能性のある損失を被るというのは、書かれていない声明です。 それに加えて、それは新規事業の喪失という波及効果を生み出します。 たとえビジネスが回収されたとしても、従業員は失ったデータを構築するために多くの時間を費やさなければならず、それによって何千時間もの生産性の損失を引き起こします。 マルウェア攻撃が最初に行うことの1つは、組織の生産性を停止することです。 したがって、組織が最初のタスクとして封じ込めを行うことは適切です。 根本原因分析を実施することは脆弱性を特定するのに役立ちますが、それが遅延を引き起こす場合、それは生産性と収益に深刻な影響を及ぼします。

ランサムウェアの例

ランサムウェアの例は、すべての企業が参照できるものがたくさんありますが、目立つ重要な例がいくつかあります。これは、そのようなランサムウェア攻撃を回避するための組織の基盤を確立するのに役立ちます。 いくつかの例を見てみましょう

WannaCry –これらのサイバー攻撃者が250,000以上のシステムに感染するために利用したのは、マイクロソフトの脆弱性を取り巻くパワーウイルスでした。 ただし、それがより多くのシステムに広がる前に、キルスイッチが作動して停止しました。 Proofpoint –セキュリティとプライバシーの分野での名前は、ランサムウェアの詳細を取得するために展開されました。

BadRabbit –これは目に見えるランサムウェアと見なされ、その主なターゲットはロシアとウクライナ地域のメディア企業でした。 身代金が支払われるとすぐに、BadRabbitは復号化コードを提供しました。 ウイルスは偽のFlashPlayerを介して拡散した疑いがあります。

NotPetya – BadRabbitの兄と言われる、NotPetyaは最も破壊的なマルウェア攻撃の1つでした。 WannaCryのような脆弱性を利用して、急速に広がり始めました。 ビットコインで身代金を要求しましたが、NotPetyaはマスターブートレコードへの変更を元に戻すことができなかったため、ターゲットシステムが回復不能になりました。

これらは、マルウェアの上位の例の一部です。 CryptoLocker、REvil、Ryukなどの他のものがあります。

最終的な考え

ランサムウェアはなくなることはありません。 悪意のある人がいる限り、この分野でのイノベーションは常に見られます。 これは、毎日約4000件のランサムウェア攻撃が発生していることを示すFBI統計から明らかです。 ランサムウェアとウイルスは異なる種類のマルウェアですが、ランサムウェアはウイルスのように複製されないため、本質的にウイルスではありません。

組織がこのようなランサムウェア攻撃から身を守る唯一の方法は、セキュリティシステムを革新し続け、悪意のある電子メールやその他のソースを含む潜在的なランサムウェアの脅威についてユーザーを教育することです。