最高峰のAIアンチウイルスをカンタンに

CPMS Cyber Protection Managed Service

CPMSブログ

セキュリティ

2021.09.30

更新2021.10.18

セキュリティ

【最新】ランサムウェア攻撃とその対策について

目次

米国東海岸のアメリカ最大級のガソリンパイプラインをもつコロニアル・パイプライン社が、ランサムウェアの攻撃を受けました。これまで多くの記事が出回っていますが、日本企業にも影響が波及していることもありまとめました。
また、エムオーテックスが取り扱うBlackBerry Protect(旧名称:Cylance PROTECT)では同ランサムウェアをブロックしたことを確認しています。


ランサムウェア対策
ランサムウェアについて知り、今すぐ対策を始めよう!

ランサムウェアが流行している背景やどのように防ぐのかを詳しく解説しています。

資料をダウンロードする

資料をダウンロードする

直近のダークサイド(DarkSide)ランサムウェアの攻撃事例

ニュースメディアのBloombergによると、この攻撃者は、その前日から同社に対する攻撃を開始し、約100ギガバイトに及ぶ大量のデータを盗み出した後、ランサムウェアでコンピュータをロックして支払いを要求しました。いわゆる二重の脅迫と呼ばれる手段です。コロニアル社は金曜日遅くに、東海岸のガソリン、ディーゼル、ジェット燃料の主要供給源であるパイプラインの停止を決定しましたが、再開時期については言及していません*1  更新:同社は5/15土曜日に声明を出し、通常運転に戻しています。この停止により、一時的なガソリン不足を招き、米国もサイバーセキュリティに関する大統領令を出すなど、多方面に影響が出ました。*2
*1 参考:Cybersecurity Colonial Hackers Stole Data Thursday Ahead of Shutdown - Bloomberg
*2 参考:ランサムウェア攻撃受けたColonialは「通常」運用に--攻撃関与のDarkSideは運用停止か - CNET Japan

米連邦捜査局は、コロニアル・パイプラインへの攻撃の背後にランサムウェア組織「ダークサイド(DarkSide)」が存在することを確認しました。同組織は月曜日に声明を発表し、政府や国が支援しているものとは関係がないとしたうえで、 "我々の目的は金儲けであり、社会に問題を起こすことではない "と述べました。しかし、コロニアル・パイプラインへの攻撃については直接言及していません。*3
*3 参考:U.S. Blames Criminal Group in Colonial Pipeline Hack - THE WALL STREET JOURNAL

米執筆現在時点では調査中となっていますが、同攻撃グループは日本企業のフランス拠点も同様に攻撃したとされていることが、報道などで明らかになっています。*4
*4 参考:東芝子会社 “サイバー攻撃で情報流出の可能性高い”と発表 - NHK
米私たちが取り扱っているBlackBerry Protectでは、「DarkSideランサムウェア」の攻撃を認識しており、このDarkSideマルウェアをブロックした証拠を持っています。

DarkSideはランサムウェア・アズ・ア・サービス(RaaS)型のマルウェアで、脅威アクターが攻撃を行い、被害者から金銭を搾取し、その収益をマルウェアの作成者に分配します。FBIは、2020年10月にDarkSideが発見されて以来、積極的に追跡しています。攻撃は2段階で行われることが多く、ネットワークにアクセスした後、脅威となる行為者はまず可能な限りデータを流出させ、その後ドライブを暗号化します。

BlackBerry Protect提供元であるBlackBerryの脅威リサーチチームは、すべての既知の亜種をテストし、BlackBerry Protectによって検知対象となることを確認しています。AIアンチウイルスであるため、定義ファイルではなく学習によって得られたモデルを用いているため、攻撃が行われる前の、2021年4月3日の時点で、DarkSideランサムウェアの攻撃をProtectが見事に防いだことも確認しています。万一に備えて、既知のハッシュをすべてグローバルブラックリスト(GBL)に追加し、徹底的な防御を行っています。*5 *5 参考:BlackBerry Prevents DarkSide Ransomware — Years Before It Ever Existed - BlackBerry ThreatVector Blog

なお、この件に関してダークサイドは攻撃活動停止を表明しました。*6しかし、すでに広まったマルウェアがどどのようになるのか、攻撃者の名前が変わって攻撃は継続するのかなど、今後の状況が注目されます。その声明の中で、攻撃グループは復号キーを提供するとしていますが、例えばコロニアル社に出したものは非常に遅く、同社はデータバックアップからの復旧と並行して行う必要があったと報じられており*7、余波はしばらく観測されると考えられます。
*6 参考:Colonial Pipeline Hacker DarkSide Says It Will Shut Operations - THE WALL STREET JOURNAL *7 参考:Cybersecurity Colonial Pipeline Paid Hackers Nearly $5 Million in Ransom - Bloomberg

一口メモ:ランサムウェア攻撃の変化、リークサイトとは。
ランサムウェアを用いた攻撃については、過去には「ファイルが暗号化されてユーザーから利用できなくなる」ということが主であったため、対策としては「オフラインでの暗号化だ」となっていた。これは今でも有効であるが、一方で攻撃者側も、被害者が支払いに応じるよう様々な方法で追い込んでいくことが確認されている。いくつか紹介したい:
・機微情報の窃取:攻撃対象組織のファイルが窃取され、機微情報の公開に関して金銭を要求する。
・窃取データのName-and-Shameサイト(いわゆる晒し、ここではリークサイトと表現する)への公開:これらのサイトはダークウェブ(インターネットの闇サイト、Torネットワーク)にて運営されていることが多い。先の東芝の件も、セキュリティ企業がダークウェブの同リークサイトをモニターして発見したものである。
・さらに、メディアに取り上げさせる、被害者のビジネスパートナーや顧客に通知して関係悪化に仕向ける、DDoS攻撃によりサービス不能に陥らせる、などがある。

ランサムウェア攻撃が起こる前に、対策を

マルウェアの一種であるランサムウェアの事前対策は、そのほかエンドポイントのセキュリティ対策と共通しているところもあります。ランサムウェア攻撃の対策では、データバックアップや侵害を抑える対策が有効です。
・バックアップ:機微な情報、リスクの高いデータについては、単にバックアップを取得するだけでなく、オフラインで保管しておく。これに加えて、クラウドストレージを用いる場合でも、予めデータをもとに戻す手順の確立とテストは重要である。
・侵害を抑える:先に述べたように、ランサムウェア攻撃では、単にデータの暗号化による盗難だけでなく、被害者ネットワークを水平に動き回り(ラテラルムーブメント)、被害者にとって重要なデータを窃取しようとする。このため、アクティブディレクトリなどのアカウントの再確認などによる、特権ユーザーの絞り込みやルール見直しにより、そのような侵害を抑えていく。


そのほか、より一般的には、
・OSなどの脆弱性パッチはテストの上更新適用しておく。
・エンドポイントセキュリティ製品を、最新の状態で、組織に合う最良の設定で利用する。
・信頼できないウェブサイト、メールの添付ファイルやリンクをクリックなどをしない。メールゲートウェイなどでフィルタ設定も検討する。
・信頼できないWebサイトからファイルをダウンロードしない。
・不明なUSBメモリを使わない

なども有効です。

なお、本記事でご紹介したBlackBerry Protectは、定義ファイルを使わず機械学習のモデルを使うため、 常に最新の状態でエンドポイント保護対策を講じることが可能です。 1ヶ月無料で何台でも体験できるキャンペーンを行っておりますので、ぜひ、お試しください。

ランサムウェア対策
ランサムウェアについて知り、今すぐ対策を始めよう!

ランサムウェアが流行している背景やどのように防ぐのかを詳しく解説しています。

資料をダウンロードする

資料をダウンロードする

更新不要で未知のマルウェアを99%以上※防御

※2018 NSS Labs Advanced Endpoint Protection Test結果より

資料をダウンロードする

AIアンチウイルスを無料体験する

Written by 橋口 正樹

セキュリティ、コンプライアンス、デジタルマーケティング、趣味でラズパイオーディオに没頭中。

【最新】ランサムウェア攻撃とその対策について

関連記事

2022.06.28

セキュリティ

10万ファイルを5分で暗号化!ランサムウェア対策にEDRだけでは安心できない理由

2022.06.06

セキュリティ

ランサムウェア感染企業の7割が「バックアップの復元に失敗」 被害者が明かす“感染後”の実態とは

2022.05.11

セキュリティ

2022年のサイバー攻撃を予想! Deep Instinctサイバー脅威情勢レポート

2022.05.10

セキュリティ

スマホのウイルス感染を防ぐには?よくある症状や対処方法を解説

2022.05.10

セキュリティ

ランサムウェアやマルウェアを未然に防御する10の戦略 – 今すぐできる予防と対策

2022.03.29

セキュリティ

調査・復旧に5000万円超のケースも。データから見るランサムウェアの被害状況と、万が一感染した時にやるべきこととは

詳しい資料をご用意しています。

導入時にご検討いただく際の各種資料を
ダウンロードいただけます。

ダウンロードする

全国でセミナーを開催しています。

製品の基本操作から活用方法まで
詳しくご説明いたします。

セミナー情報を見る