ランサムウェアとは

実際のランサムウェア攻撃では、身代金が支払われるまでデータへのアクセスをブロックします。

要するに、ランサムウェアとは、コンピューター、サーバー、またはデバイス上のファイルやフォルダーを破壊あるいは暗号化するマルウェアまたはフィッシングによるサイバー セキュリティ攻撃の一種です。

デバイスやファイルがロックまたは暗号化されれば、サイバー犯罪者は、暗号化されたデータのロックを解除するためのキーと引き換えに、企業やデバイスの所有者から金銭をゆすることができます。 しかし、身代金が支払われた場合でも、サイバー犯罪者は、企業やデバイスの所有者にキーを "渡さず"、アクセスを "永続的に" ブロックすることがあります。

ランサムウェア攻撃の仕組み

ランサムウェアは自動化されていることもあれば、キーボード上の人間の手を借りた "人間によって操作される" 攻撃の形をとることもあります。たとえば、最近では LockBit ランサムウェアを使用した攻撃でそれが確認されています。

人間が操作するランサムウェア攻撃は以下の段階からなります。

  1. 初期の侵害 - 脅威アクターは、防御の弱点を特定するための偵察の期間の後、まずはシステムや環境へのアクセスを取得します。

  2. 永続化と防御回避 - 脅威アクターは、インシデント応答チームによる検出を回避するためにステルスで動作するバックドアなどのメカニズムを使用して、システムや環境内に足場を構築します。

  3. ラテラル ムーブメント - 脅威アクターは、最初の侵入点を使用して、セキュリティ侵害されたデバイスやネットワーク環境に接続された他のシステムに移動します。

  4. 資格情報へのアクセス - 脅威アクターは、偽のサインイン ページを使用してユーザーやシステムの資格情報を収集します。

  5. データの盗難 - 脅威アクターは、セキュリティ侵害されたユーザーやシステムから財務データなどのデータを盗みます。

  6. 影響 - 影響を受けたユーザーや組織は、物質的被害や評判に対する被害を被る可能性があります。

ランサムウェア攻撃の自動化

"コモディティ ランサムウェア攻撃" は多くの場合、自動化されています。 これらのサイバー攻撃は、ウイルスのように拡散し、メールフィッシングやマルウェア配信などの方法でデバイスに感染し、マルウェアの修復を必要にします。

そのため、マルウェアやフィッシング配信に対する防御を提供する Microsoft Defender for Office 365 を使用してメール システムを保護することができます。 Microsoft Defender for Endpoint は Defender for Office 365 と連携して、デバイス上の疑わしいアクティビティを自動的に検出してブロックするのに対して、Microsoft Defender XDR はマルウェアやフィッシングの試みを "早い段階で" 検出します。

人間が操作するランサムウェア攻撃

人間が操作するランサムウェア」 は、組織のオンプレミスまたはクラウドの IT インフラストラクチャに侵入し、特権を昇格させ、重要なデータにランサムウェアを配置する、サイバー犯罪者による積極的な攻撃の結果です。

これらの "キーボード上の手を借りた" 攻撃は、通常、単一のデバイスではなく組織をターゲットとします。

"人間によって操作される" ということはまた、一般的なシステムとセキュリティの構成ミスに関する知識を活かせる人間の脅威アクターがいるということを意味します。 彼らの狙いは、組織に侵入し、ネットワーク内を移動し、環境とその弱点に適応することです。

このような人間が操作するランサムウェア攻撃の特徴には、通常、資格情報の盗難と、盗まれたアカウントでの特権の昇格による横移動が含まれます。

アクティビティは、メンテナンス期間中に行われ、サイバー犯罪者によって検出されたセキュリティ構成のギャップを含む場合があります。 その目標は、脅威アクターが選択した "ビジネスへの影響が大きいリソース" にランサムウェアのペイロードを展開することです。

重要

これらの攻撃は事業運営に壊滅的な損害を与える可能性があります。また、クリーンアップが困難であるため、将来の攻撃から保護するには、攻撃者の完全な排除が必要になります。 通常、マルウェアの修復のみを必要とするコモディティ ランサムウェアとは異なり、人間が操作するランサムウェアは、最初の遭遇の後も事業運営を脅かし続けます

人間が操作するランサムウェア攻撃の影響と、攻撃が今後も続く可能性

ランサムウェアからの組織の保護

まず、Microsoft Defender for Office 365 でフィッシングやマルウェアの配信を防止して、マルウェアやフィッシングの配信からの保護を行います。さらに、Microsoft Defender for Endpoint でデバイス上の不審なアクティビティを自動的に検出してブロックし、Microsoft Defender XDR でマルウェアやフィッシングの試みを早期に検出します。

ランサムウェアと脅迫の包括的なビューと組織を保護する方法については、 Human-Operated Ransomware Mitigation Project Plan (人間が操作するランサムウェアの軽減策プロジェクト計画) という PowerPoint プレゼンテーションの情報を使用してください。

ガイダンスの概要を次に示します。

人間が操作するランサムウェアの軽減策プロジェクト計画のガイダンスの概要

  • ランサムウェアと脅迫ベースの攻撃の身代金は高額です。
  • ただし、攻撃には、攻撃される可能性を減らすことができる弱点があります。
  • 攻撃の弱点を利用するためにインフラストラクチャを構成するには 3 つの手順があります。

攻撃の弱点を利用するための 3 つの手順について、「組織をランサムウェアと恐喝から保護するための解決策」を参照して、最適な保護を実現できるように IT インフラストラクチャを迅速に構成します。

  1. 身代金を支払うことなく組織が攻撃から回復するように、組織を準備します。
  2. 特権ロールを保護することで、ランサムウェア攻撃の損害の範囲を制限します。
  3. 段階的にリスクを除去することによって、ご利用の環境に、脅威アクターが侵入するのを困難にします。

ランサムウェアと脅迫から保護するための 3 つの手順

ポスター "ランサムウェアから組織を保護しよう" をダウンロードすれば、ランサムウェア攻撃に対抗する保護レイヤーとしての 3 つのフェーズの概要を確認できます。

ランサムウェア防止に関するその他のリソース

Microsoft からの重要な情報:

Microsoft 365:

Microsoft Defender XDR:

クラウド向けのMicrosoftディフェンダー Apps:

Microsoft Azure:

Microsoft セキュリティ チームのブログ記事:

Microsoft セキュリティ ブログのランサムウェアに関する記事の最新の一覧については、ここをクリックしてください。