ランサムウェアの注視すべき状況

ここ数週間、ランサムウェア(英語)に関するニュースに注目していなかった人も、この脅威の規模が1年で35倍に拡大したという事実を知れば認識を変えるでしょう。しかも、ランサムウェアは業種や地域が限定された脅威ではありません。あらゆる形態・規模の組織、そして個人までもが直面する世界的な問題です。

脅威の規模

1日あたり4,000件以上のランサムウェア攻撃(英語)が発生し、毎月3〜5万台のデバイスに感染しています。金銭的な影響は急激に拡大しています。2015年に2,400万ドルだった身代金の支払い額は、2016年には8.5億ドル以上に増加し、今年は10億ドルを超えると確実視されています。攻撃者が要求する1件あたりの金額も、2015年の294ドルから2016年の619ドルへと2倍以上に増加しています。

しかし、ランサムウェアの最大の脅威は、支払い要求ではなくビジネスへの影響です。驚くべきことに、ランサムウェア攻撃を受けた企業の20%(英語)は、攻撃後に廃業に追い込まれています。攻撃によってビジネスを脅かすダウンタイムが起こったことを報告している組織は、63%に上ります。また、48%がデータやハードウェアの被害を報告しています。さらに、身代金要求に応じた企業(42%は昨年攻撃を受けた企業)のうち、4社に1社は結局データを回復できていません。しかも、重要な産業制御システムや医療関連インフラストラクチャ/デバイスを標的とした攻撃が増加しているために、昨年は3.5%が人命にかかわる攻撃を受けたことを報告しています。これらの数字が示すように、状況は深刻です。

デジタル化、クラウド、ランサムウェア

今日のランサムウェア攻撃で要となるのがデータです。企業が資産のデジタル化を進め、消費者主導のデジタルビジネスモデルに移行し、サービスをクラウドに移行する中、データターゲットの範囲が拡大しています。サイバー犯罪者がこの状況を見逃すはずはなく、このようなデータをターゲットにする攻撃が増加しています。攻撃者は、ハッキングによりITシステムに侵入し、ファイルを暗号化してロックし、抽出します。業務を停止させ、機密扱いの情報を公開すると脅すのです。また、モノのインターネット(IoT)の登場により、ランサムウェアを使用する犯罪者は、車両から製造組立ライン、電力システムまで、あらゆる分野で使用されている制御システムをターゲットにするようになっています。

ランサムウェアは大企業にしか関係のないものだと考えているのであれば、それは間違いです。中小企業は適切なデータ保護の対策を講じていないことが多いため、犯罪者から格好のターゲットとみなされ、攻撃されるケースが増加しています。攻撃が及ぼす財務的な影響は甚大です。ランサムウェアに起因するダウンタイムにより、小規模ビジネスには1時間あたり8,500ドルのコスト(英語)がかかっています。これは、年間では750億ドルに上ります。

ランサムウェアの発生源

サイバー犯罪者がランサムウェアを使用するうえでの「障壁」は、低くなる一方です。攻撃者は、もはやハッキングやテクノロジーに長けている必要もなく、攻撃を開始するために必要なツールを簡単かつ迅速に入手できます。以下に紹介するのは、最も一般的なランサムウェアです。

  • パッケージ化されたランサムウェア:一部のランサムウェアは、攻撃者がダークネットの市場でソフトウェアパッケージとして購入し、自らの不正サーバーにインストールできます。データやシステムのハッキングと暗号化は、サイバー犯罪者のサーバーで動作するソフトウェアによって直接実行されます。
  • RaaS(Ransomware-as-a-Service):SaaS(Software-as-a-Service)を利用する組織がクラウドによって迅速で優れた俊敏性を実現できるように、データやシステムを狙う犯罪者も、侵入、暗号化、抽出のためにクラウドを使用しています。単純化されたこのランサムウェアモデルによって参入障壁が低くなり、非技術系の犯罪者も使用料を前払いすることでランサムウェアのテクノロジーとサービスを利用できます。
  • ランサムウェアアフィリエイトプログラム:アフィリエイトマーケティングは、非常に効果的なマーケティングモデルになっています。ランサムウェア開発者は独自のバージョンを用意し、サイバー犯罪を目論む者はアフィリエイトとして登録して利益の一部を対価とすることで、自らのターゲットにランサムウェアを配信するRaaSモデルを利用できます。

どのような対策が可能か

ランサムウェアによって深刻な脅威が引き起こされ、その範囲が拡大するとともに、速度も高まっています。フォーティネットが最近発表したホワイトペーパーでは、企業が攻撃を阻止するために講じることのできる5つの対策について説明しています。

  1. 既知の脅威を阻止する:基本的なセキュリティ対策には、プロアクティブでグローバルな脅威インテリジェンスを使用する、ネットワーク、エンドポイント、アプリケーション、クラウド、およびデータセンターの制御を含む多層型セキュリティモデルが必要とされます。
  2. 新たな脅威を検知する:ランサムウェアは静的な脅威ではなく、形を変え続けています。このような脅威に対しては、サンドボックスなどの高度な検知テクノロジーを使用することで、既知および未知の攻撃経路にわたって亜種を検出・特定できます。
  3. 見えない脅威を緩和する:高度な脅威を自動的に検出して対応するために、さまざまなセキュリティレイヤーとベンダー製品でリアルタイムの実用的なインテリジェンスを共有するソリューションを探します。脅威情報の共有は、外部のサイバーセキュリティコミュニティ内のエンティティまで含める必要があります。
  4. 予期しない脅威に備える:ネットワークセキュリティのセグメンテーションにより、マルウェアを検出してネットワークでの水平方向への拡散を防止でき、ランサムウェアのワームに似た動作に対する保護を実現できます。
  5. 重要なシステムやデータをバックアップする:最近のバックアップをオフネットワークに保存している組織は、データやシステムを迅速かつ簡単に回復できるので、身代金要求を拒否できます。

ランサムウェアの現状の詳細については、下記のインフォグラフィックをご覧ください。


インフォグラフィック:ランサムウェアのマッピング