今やランサムウェア攻撃を無視することは難しい。FBIのインターネット犯罪報告書によると、このような脅威に関する地域の苦情は2020年に20%増加した。世界的に見ても、2019年から2020年にかけて攻撃は60%以上もエスカレートしている。ランサムウェア攻撃は増加しているだけでなく、目立つようにもなっている。
ランサムウェアにデバイスを乗っ取られないために
お使いのデバイスがランサムウェアから保護されていることを確認してください。
Malwarebytes Premium 14日間無料でお試しください。
石油パイプラインや病院から学校、銀行、慈善団体に至るまで、ランサムウェア攻撃を免れる組織はないようだ。こうしたサイバーセキュリティ侵害に苦しむのは大企業だけではない。中小企業もまたランサムウェアの標的であり、通常、大企業よりも復旧するためのリソースが少ないため、生き残ることが難しくなります。
世界的なWannaCry攻撃は2017年に発生したが、それ以降も多くの種類のランサムウェアが出現している。ここでは、WannaCryについて、そしてなぜこのような重大なサイバー事件となったのかを見てみよう。
WannaCryランサムウェア攻撃とは何だったのか?
「ファイルは暗号化されています。
2017年5月、WannaCryランサムウェアはWindows実行しているコンピュータを通じて世界的に拡散した。その2カ月近く前に、マイクロソフトは、攻撃者がWannaCryランサムウェアの伝播に使用したエクスプロイトであるEternalBlueのセキュリティパッチをリリースしていた。しかし、世界中の多くのWindows ユーザーはソフトウェアをアップデートしていなかったり、古いバージョンのWindows使用していたため、大規模な攻撃を受けやすい状況にあった。
WannaCry攻撃者は世界中のWindows コンピューターを暗号化し、当初300ドル相当、後に600ドル相当のビットコインの身代金を要求した。わずか数時間で150カ国、推定23万台のコンピューターに感染した。当初は世界中に急速に広まったが、セキュリティ研究者のマーカス・ハッチンスがキルスイッチを発見し、攻撃の拡大を大幅に遅らせた。
WannaCry ランサムウェア感染ヒートマップ
WannaCryはなぜ成功したのか?
WannaCryのようなランサムウェアは通常、ファイルを暗号化したりシステムをロックしたりすることで動作する。そして、Bitcoinのような暗号通貨の形で支払いを要求します。このような通貨は、電子送金、小切手、または冷たい現金よりも追跡が複雑だからです。しかし、WannaCryには、今日よく目にする一般的なランサムウェア攻撃とは異なる特徴があります。
サイバー攻撃者は通常、純粋なランサムウェア株を標的型攻撃に使用する。カタパルトではなく弓矢のようなものだと考えてほしい。前者は一度に1つの標的を攻撃するのに適しており、後者は複数の標的を攻撃するのに適している。例えば、Colonial Pipelineランサムウェア攻撃の背後にあるマルウェアと犯罪集団は、一見1つのターゲットだけに焦点を当てているように見える。DarkSideランサムウェアを仕掛けるために、犯行グループはレガシーVPN(Virtual Private Network)アカウントの既知のパスワードを利用したようだ。
一方、WannaCryはむしろカタパルトだった。WannaCryはその名にふさわしく、わずか数時間で150カ国以上の数十万台のコンピューターを感染させた。WannaCryは、ビジネスネットワークを通じてあらゆる種類のシステムを急速に攻撃した。では、なぜWannaCryランサムワームはこれほど広範囲に拡散し、成功を収めたのだろうか?
1.ワーム成分
ワームは、ファイルを削除し、帯域幅を消費し、ホスト・ファイルを必要とせずに急速に拡散するマルウェアの一種である。ワームは自己増殖するため、ウイルスとは異なり、悪意のある活動を開始するために人間が起動する必要はありません。さらに、ワームはランサムウェアのようなマルウェアを落とすこともある。WannaCryは、そのワーム・コンポーネントのおかげで、ワイルドファイアのようにWindows PCを襲った。
2.エクスプロイト
エクスプロイトとは、サイバー犯罪者が悪意のある活動に利用できる、パッチが適用されていないシステムの脆弱性のことである。WannaCryが悪用した欠陥は、Windows SMB(Server Message Block)プロトコルを管理する方法にある。一言で言えば、SMBプロトコルはネットワークノードの通信を可能にする。マイクロソフトは2017年にこの脆弱性にパッチを当てたが、多くのWindows ユーザーはアップデートをダウンロードしないため、脅威行為者は現在でもトロイの木馬やランサムウェア攻撃にSMBの脆弱性を利用している。
WannaCryの被害が最も大きかったのはどの分野か?
WannaCry攻撃は急速に拡大し、世界中で非常に多くのコンピューターに感染したため、多くの産業が影響を受けた。これらには以下が含まれる:
- ヘルスケア
- 緊急事態
- セキュリティ
- 物流
- テレコム
- ガス
- ガソリン
- 自動車
- 教育
- 広告
WannaCryは何台のコンピューターに感染したのか?
WannaCryは推定23万台のコンピューターを襲った。このマルウェアは、病院、救急サービス、ガソリンスタンド、そして工場の運営にまで影響を及ぼした。この攻撃による経済的コストは数十億ドルに上るとの試算もある。
誰がWannaCryを作ったのか?
米国は公式にWannaCry攻撃について北朝鮮を非難し、マルウェアと2014年のソニー・ピクチャーズエンタテインメントのハッキングについて3人の北朝鮮人を起訴した。興味深いことに、NSA(国家安全保障局)もまた、不注意とはいえ、WannaCry攻撃に一役買った可能性がある。
伝えられるところによると、NSAはWannaCryが悪用するSMBの脆弱性を発見した。その後、このいわゆるEternalBlueエクスプロイト・ツールは、情報機関から盗まれ、The Shadow Brokers(TSB)によってリークされたと言われている。 hackerグループである。
WannaCryはまだ脅威なのか?
WannaCryが脅威でなくなったのは、マーカス・ハッチンスの英雄的な活躍によるところが大きい。この英国のコンピューター・セキュリティ研究者は、リバース・エンジニアリングとハニーポットを使ってキル・スイッチを開発し、WannaCryがこれ以上実行されないようにした。さらに、フランスの研究者チームは、身代金を支払うことなく感染した一部のコンピューターを復号化する方法を発見した。
しかし、WannaCryはまだ活動しています。Windows オペレーティング システムを定期的に更新し、最新のセキュリティ パッチを適用するようにしてください。また、Ransom.WannaCrypt を積極的に検出し、削除するMalwarebytesのインテリジェントなマルウェア対策技術も頼りになります。
WannaCryは支払われなければ何をするのか?
WannaCryはシステムをロックした後、ビットコインで300ドルを要求する。その後、恐喝料金は2倍になる。また、3日以内にデータを永久に削除すると脅してきます。Malwarebytes、ランサムウェアギャングにお金を支払わないことを推奨しています。手っ取り早く一攫千金を狙うランサムウェアギャングを助長することにもなるからです。さらに、ファイルやコンピュータのロックが解除される保証はありません。例えば、WannaCryの被害者全員が料金を支払った後にファイルを取り戻したわけではなく、おそらくランサムウェア自体に欠陥があったことが原因だろう。
ランサムウェアを軽減する良い戦略とは?
家庭で使用するデバイスには、ランサムウェア対策を含む、あらゆる種類の悪意のあるソフトウェアを防御するアンチウイルス/アンチマルウェア・ソフトウェアを使用する。企業の場合、ランサムウェアを軽減するための戦略には以下が含まれます:
- ランサムウェアの脅威を検出してブロックできるサイバーセキュリティソフトウェアを使用する。
- データを頻繁にバックアップし、重要なバックアップはエアギャップする。
- ネットワークをセグメント化する。
- セキュリティアップデートを定期的にチェックし、悪用を阻止する。
- フィッシングメールなどのランサムウェアの脅威ベクトルに注意すること。
- 複雑なパスワードを設定し、定期的に変更する。
- 二要素認証でシステムと重要なアカウントを保護します。
Malwarebytes ビジネス向けランサムウェア対策
Malwarebytes Endpoint Detection and Responseは、独自のLinking Engine RemediationやRansomware Rollbackなど、アラートにとどまらない対応オプションを提供します。