NAKIVO > Blog > Multiplatform

ランサムウェアの検知方法:感染の兆候を理解する

Updated: 6月 1, 2023

執筆:: NAKIVOチーム

ランサムウェアの手口がますます巧妙化する中、企業はデータ損失や情報漏洩の脅威に常にさらされています。Statistaによると、2018年以降、年間でランサムウェア攻撃を受けた企業の数は増加の一途をたどっており、2021年にはピークに達し、 68.5% 企業の数。さらに、2020年に検出されたランサムウェアのファミリー数は、2019年と比較して34%増加した(対 2020年には127世帯).

本ブログ記事では、ランサムウェアの定義を説明し、主な感染経路や検知手法について解説します。また、ランサムウェアを特定し、さらなる感染を防ぎ、データの耐障害性を高めるための対策についても詳しくご紹介します。

NAKIVOで身代金要求に"ノー"を

NAKIVOで身代金要求に"ノー"を

ランサムウェア攻撃後の迅速なデータ復旧には、バックアップを活用してください。多彩な復旧オプション、改ざん防止機能を備えたローカルおよびクラウドストレージ、復旧の自動化機能などを備えています。

ソリューションを見る

ランサムウェアとは?

ランサムウェアとは、個人や企業のIT環境に侵入し、データを暗号化したり利用不能にしたりする悪意のあるソフトウェアです。ランサムウェア攻撃の目的は、暗号化または利用不能にされたデータへのアクセス権を回復させる見返りとして、被害者から身代金を脅し取ることにあります。

システムがランサムウェアに感染する仕組み:5つの感染経路

組織のITシステムがランサムウェアに感染するのを防ぐためには、マルウェアが拡散する最も一般的な経路を把握しておく必要があります。そうすることで、どのシステムコンポーネントがランサムウェア攻撃に対してより露出しやすく脆弱であるか、またインフラストラクチャ内でランサムウェアの活動を迅速に検知する方法を理解することができます。

組織がランサムウェアの被害に遭う経路は数え切れないほどあります。しかし、最も一般的なマルウェア感染経路は以下の通りです:

  • 不審なメール 受信者にリンクをクリックさせたり、マルウェアを含む添付ファイルをダウンロードさせたりするよう仕向ける。
  • 悪意のあるウェブサイト 人々を騙してそのページを閲覧させ、最終的に悪意のあるハイパーリンクをクリックさせることでランサムウェアに感染させることを目的として作られています。
  • ソーシャルメディア これらは信頼性が高く正当なプラットフォームであると見なされることが多いため、利用者はすぐにそれらを信用してしまいます。一般的に、マルウェアはソーシャルメディア上の悪意のあるアプリ、広告、プラグイン、リンクを通じて拡散されます。こうしたアプリ、広告、リンク、およびブラウザの添付ファイルは、ユーザーにランサムウェアや暗号通貨マイニングプログラムなどの悪意のあるコンテンツをダウンロードさせるよう誘導します。
  • マルウェア広告 これは、悪意のあるコードを含むオンライン広告の一種です。一見正当なウェブサイト上のリンクをクリックすると、コンピュータが自動的にマルウェアに感染してしまう可能性があります。
  • モバイルランサムウェア 悪意のあるコードが仕込まれたモバイルアプリを通じて実行されます。このようなアプリをダウンロードすると、わずか数秒でスマートフォンがマルウェアに感染し、次に両方のデバイスを接続した際に、その感染がパソコンにも広がる恐れがあります。

ランサムウェアの検知手法

IT環境への侵入を試みている、あるいはすでに混乱を引き起こしているランサムウェアを検知するには、悪意のあるファイルや不審な活動を明らかにするのに役立つ一連のツールや手法を活用できます。ITの専門家は、以下の検知手法を区別しています:

  • 署名ベースの
  • 行動に基づく
  • 欺瞞

以下では、各ランサムウェア検知手法について詳しく解説します。

署名ベースの検知

署名ベースの この手法では、ランサムウェアの亜種のサンプルハッシュを、過去に発見されたシグネチャと比較します。これは、ウイルス対策ソリューションやセキュリティプラットフォームにおいて一般的な初期段階の手法です。これらは、実行ファイルが起動される前に、そのファイルに詰め込まれたデータ断片をチェックします。この手法では、ランサムウェアに類似したコード断片を早期に検出し、感染したコードの実行をブロックします。

この手法は、組織の基本的な防御体制を構築するために使用されます。しかし、既知のランサムウェアの亜種を効果的に検出できる一方で、シグネチャベースの手法は新しいマルウェアに対しては機能しない場合があります。 さらに、ハッカーはマルウェアやセキュリティ対策回避ツールの更新に多大な労力を費やしており、シグネチャの検出はますます困難になっています。

現在、市場には多数のマルウェア検出ソフトウェアベンダーが存在しています。各社は、ある程度効果的なランサムウェア検出ツールの機能セットを提供しています。しかし、ソフォスのレポートによると、 50%超 2021年のランサムウェア攻撃のうち、成功したものは……であり、これは、いかなるマルウェア検知システムであっても、ランサムウェアを100%確実に検知することはできないことを意味する。

行動ベースの検知

行動に基づく ランサムウェアの検知手法では、過去に確認されている動作と新たな動作を比較します。専門家や自動ツールが環境内のユーザーやアプリケーションの活動を監視し、ファイルシステムにおける異常な変化、不審なトラフィック、未知のプロセスやAPI呼び出しなどの兆候を検知します。

ランサムウェアによる攻撃の試みや、システムへの感染が成功した際の一般的な行動パターンを確認し、覚えておきましょう:

  • スパムメールとフィッシングメール: フィッシングとは、 最も一般的な ハッカーがランサムウェアを拡散するために用いる手法。
  • 性能の低下: ITインフラのノードの動作が予想より遅い場合は、ランサムウェアによる侵入の可能性に備えて、速やかに対応してください。
  • 継続的な不審なログイン活動: 不審な場所や端末から、複数のアカウントに対して頻繁にログイン失敗が発生している場合、組織のITシステムへの不正アクセスを試みている可能性が非常に高いです。
  • 不正なネットワークスキャナーが検出されました: ネットワークスキャンを実行した人物やその目的が不明な場合は、悪意のある活動である可能性があるため、調査を行う必要があります。
  • 想定されるテスト攻撃: ハッカーは、本格的な攻撃を仕掛ける前に、一部のノードに対して小規模な攻撃を数回仕掛け、組織の防御システムの耐性や対応時間を確認することがあります。
  • セキュリティソフトウェアの無効化または削除: 保護システムの不具合は、たとえ一時的なものであっても、ランサムウェア感染の侵入経路となるため、決して軽視してはなりません。
  • 一部のノードにおけるデータ暗号化: システム内の任意のノードでデータ暗号化が成功した場合、それはITセキュリティに脆弱性が存在することを示しており、ハッカーがこれを悪用してより深刻な攻撃を仕掛けてくる可能性があります。
  • 既知のハッキングツールが検出されました: 組織の環境内で、Microsoft Process Explorer、MimiKatz、IOBit Uninstaller、PC Hunter などのアプリが確認された場合は、すべてのノードに対してセキュリティの全面的な点検を実施する必要があります。
  • Active Directory 周辺での異常な動き: ある 既知の事例 ハッカーがリモートデスクトッププロトコル(RDP)を利用して石油・ガス施設の保護されたADサーバーに侵入し、ADのログインスクリプトに直接Ryukランサムウェアを仕込むという手口。
  • バックアップの破損の試み: バックアップストレージプラットフォームは、サイバー攻撃の主要な標的の一つです。物理ディスク上であれクラウド上であれ、バックアップストレージ周辺で不審な動きが見られた場合、それはランサムウェア攻撃の兆候、あるいは攻撃が進行中である可能性を示しているかもしれません。

欺瞞に基づく検知

ハッカーが組織のデジタル脅威検知システムを欺こうと常に試みているのと同様に、ITセキュリティの専門家たちも、悪意ある攻撃者を誘い出す方法を考案してきました。最も一般的な誘引手段の一つが"ハニーポット"です。これは、組織のIT環境内に設置されたサーバーや領域であり、ハッカーにとって価値があるように見えるデータが含まれています。しかし、この環境は本システムから完全に隔離されており、次のような目的で使用することができます。 攻撃を監視・分析する 戦術。

脅威の進化に伴い、企業は侵害やデータ損失を防ぐために利用可能なあらゆるセキュリティ対策を講じており、ランサムウェアの検知手法を組み合わせることは一般的な手法となっています。さらに、ランサムウェア攻撃を検知し、積極的に対処するための有効な戦略として、攻撃者の戦術を理解し、侵入を防ぐことが挙げられます。以下に、攻撃を特定し防止するための推奨事項をいくつか紹介します。

攻撃の検知と防止方法

ランサムウェア攻撃を防ぐため、以下の対策を実施することをお勧めします。また、万が一ランサムウェアが組織の環境に侵入した場合に備え、データ損失のリスクを軽減するためのヒントも追加しました。

  • 従業員に対し、以下のことを奨励してください:
    • ランサムウェアやその他のマルウェアの最も一般的な兆候について学びましょう
    • 強固なパスワードを使用し、定期的に更新してください
    • リンクや添付ファイルをクリックする前に、内容を確認してください
    • フィッシングの手口を理解し、受信メールのメールアドレスを確認しましょう
  • システムを定期的に更新してください

オペレーティングシステムや重要なアプリケーションには、常に最新のパッチを適用し、最新の状態に保つようにしてください。更新プログラムはリリースされ次第、速やかにインストールしてください。システムの更新やセキュリティパッチは、一般的に、過去のリリースにおける問題を修正し、システムの既知の脆弱性を修正することを目的としています。

  • サードパーティ製ソフトウェアを確認する

サードパーティ製ソフトウェアをインストールする前に、まずそのソフトウェアベンダーが正規の信頼できる業者であることを確認してください。そのためには、新しいアプリケーションがシステムにインストールして実行しても安全かどうかを判断できるホワイトリスト管理ソフトウェア(例:Bit9、Velox、McAfee、Lumension)を導入してください。

  • インフラを定期的にスキャンしてください

インフラストラクチャ内の潜在的な脅威を通知し、脆弱性を特定し、ランサムウェアの活動を検知できるマルウェア対策ソフトウェアを導入・活用してください。最新のランサムウェア対策ツールを使用すれば、システム全体をスキャンして、既存のウイルスや活動中のマルウェアの脅威を検出することができます。さらに、こうしたスキャンはオンデマンドで実行することも、設定したスケジュールに基づいて実行することも可能であり、管理者の手間を最小限に抑えることができます。

  • ハニーポットを作成する

ハニーポットは、サイバー犯罪者を惑わせ、重要なファイルから注意をそらすために利用できる最も効果的なセキュリティ対策の一つです。ハニーポットを設置することで、外部からは正当な標的のように見え、特にランサムウェア攻撃者にとって非常に魅力的に映る偽のファイルリポジトリやサーバーを作成します。これにより、ファイルを保護し、ランサムウェア攻撃を迅速に検知できるだけでなく、サイバー犯罪者の手口についても把握することができます。 そして、そのデータと知見を活用して、将来のサイバー攻撃に対するシステムの防御体制を強化することができます。

  • 重要なシステムおよびアプリケーションへのアクセスを制限する

従業員にシステムへのアクセス権限を付与する際は、最小権限の原則を適用してください。この原則では、従業員が業務を効率的に遂行するために必要なファイルやシステムリソースへのアクセスのみを許可します。従業員が職務を遂行するために必要のない操作やアクセスは、不注意による感染を防ぐため、管理者が禁止する必要があります。

  • データ保護とバックアップのテスト

データのバックアップを作成し、定期的に更新してください。 "3-2-1のルール"を活用しましょう 保護を強化し、ランサムウェア被害を受けた暗号化データの復旧を確実に成功させるためです。このルールでは、データのコピーを3つ用意し、それらを2種類の異なる媒体に保存し、そのうち1つはオフサイトに保管すべきとされています。データのバックアップが完了したら、テストを実行して、バックアップが正常に機能し、復旧可能であることを確認してください。そうすることで、システム復旧時に発生しかねないトラブルを未然に防ぐことができます。

NAKIVOがランサムウェアからデータを保護する方法

今日、組織のデータを利用不能にするランサムウェア攻撃は、単なる可能性の一つではなく、いつ起こってもおかしくない事態となっています。そして、データ損失事故を防ぎ、ランサムウェア攻撃による被害発生後の業務停止を回避する最も効果的な方法は、復旧に備えた有効なバックアップを用意しておくことです。

一部 93% バックアップや災害復旧計画を策定していない企業のうち、大規模なデータ損失事故が発生してから1年以内に廃業に追い込まれる割合は高い。一方、信頼性の高いバックアップおよび復旧戦略を策定している企業の96%は、ランサムウェア攻撃から無事に復旧することができた。

NAKIVO Backup & Replication これは、信頼性の高いランサムウェア対策戦略を構築し、組織の攻撃に対する回復力を高めるために活用できるデータ保護ソリューションです:

  1. データの信頼性が高く、アプリケーションと整合性のあるバックアップを作成します。
  2. バックアップをオンサイトに保管するか、オフサイトまたはクラウドに送信して、"3-2-1のルール"に従い、単一障害点を回避してください。
  3. ローカルのLinuxベースのリポジトリやクラウドに保存されたバックアップに対して不変性を有効にし、ランサムウェアがバックアップインフラを攻撃した場合でも、バックアップデータが変更されず、利用可能な状態を維持できるようにします。
  4. 転送中および保存中のバックアップデータの暗号化を有効にします。本ソリューションでは、AES-256暗号化規格を採用し、第三者によるバックアップデータへのアクセスを防止します。
  5. ロールベースのアクセス制御(RBAC)を使用して、従業員のアクセス権を設定し、バックアップの安全性を向上させます。
  6. ランサムウェア攻撃を受けて元のデータが暗号化された場合は、バックアップを使用して復旧してください。仮想マシン(VM)全体や物理マシンを、すぐにVMとして復旧することができます。使用方法 即時粒子レベル復元 個々のファイルやアプリケーションオブジェクトを元の場所または指定した場所に復元することで、ダウンタイムをさらに短縮します。
  7. レプリケーション、自動フェイルオーバー、およびディザスタリカバリのオーケストレーションを活用し、システムとアプリケーションの迅速な可用性を実現します。

NAKIVOのソリューションを利用すれば、単一の管理画面からバックアップおよび復旧プロセスを制御・自動化できます。1分ごとにバックアップを実行することで、データ損失を最小限に抑えることが可能です。適切な不変バックアップを保有していれば、ランサムウェアがセキュリティシステムを突破して元のデータを暗号化してしまった場合でも、ハッカーへの身代金支払いを回避できます。

1年間の無料データ保護: NAKIVO Backup & Replication

1年間の無料データ保護: NAKIVO Backup & Replication

2分で導入でき、仮想環境、クラウド、物理環境、SaaSのデータを保護します。バックアップ、レプリケーション、即時復旧のオプションをご用意しています。

無料版を入手する

People also read

Picture
vSphere 7.0 Update 2 – 主な改善点と新機能
Picture
Windows Server 2019 の Hyper-V 主要機能トップ7
Picture
エラーの解決方法:「Hyper-V チェックポイント操作が失敗しました」