Trace Id is missing
メイン コンテンツへスキップ
Microsoft Security

ランサムウェアとは?

ランサムウェアとそのしくみについて、およびこの種のサイバー攻撃から自分のビジネスを守る方法を学びましょう。
ランサムウェアから自らを保護

ランサムウェアについて

ランサムウェアは、悪意のあるソフトウェアの一種、またはマルウェアです。これは、サイバー犯罪人が、身代金が支払われない限り、保護者の重要なデータへのアクセスをブロック、破壊、または公開するために使用します。 従来のランサムウェアは個人と組織の両方を対象としています。しかし、人間が操作するランサムウェアとサービスとしてのランサムウェアという最近の 2 つの開発が、企業やその他の大規模な組織に対するより大きな脅威となっています。

人間が操作するランサムウェアでは、攻撃者のグループが集団的知性を利用してエンタープライズ ネットワークにアクセスします。攻撃者のグループは、ランサムウェアをインストールする前に、脆弱性を理解するために会社を調査し、場合によっては身代金を設定するのに役立つ財務ドキュメントを明らかにします。

サービスとしてのランサムウェア モデルでは、犯罪者の開発者グループがランサムウェアを作成してから、別のサイバー犯罪者グループを雇って組織のネットワークをハッキングしてランサムウェアをインストールします。これら 2 つのグループは、合意されたレートで利益を分けます。

すべてのランサムウェアが、攻撃を受けた個人や組織に大きな損害を与えています。影響を受けたシステムをオンラインに戻すには数日、数週間、または数か月さえかかる場合があり、その結果、生産性と売上が失われます。また、組織は、顧客やコミュニティにおける評判の毀損を被る可能性もあります。

重要なポイント

  • ランサムウェアは、データを暗号化し、解読するために身代金の支払いを要求するマルウェアの一種です。
  • これは、フィッシング メール、悪意のある Web サイト、悪用キットを通じて広がる可能性があります。
  • 人間が操作するランサムウェアでは、攻撃者のグループが集団的知性を利用してエンタープライズ ネットワークにアクセスします。
  • ランサムウェアの主な 2 種類は、機密データとファイルを暗号化する暗号化ランサムウェアと、被害者をデバイスから閉め出すロッカー ランサムウェアです。
  • ランサムウェア攻撃は、個人と企業に重大な財務、評判、運用上の損害を与える可能性があります。
  • 強力なセキュリティ ソフトウェアの使用、データのバックアップ、組織でのサイバーセキュリティ意識向上の促進など、ランサムウェア攻撃から身を守るために実行できる複数の手順があります。

ランサムウェアの種類

ランサムウェアの主な形態には、暗号化ランサムウェアとロッカー ランサムウェアの 2 つがあり、これらは、さらに複数のサブタイプに分けることができます。

暗号化ランサムウェア
暗号化ランサムウェア攻撃では、攻撃者が被害者の機密データまたはファイルを暗号化します。このため、要求された身代金が支払われない限り、これらにアクセスできなくなります。理論的には、被害者が身代金を支払うと、攻撃者から、被害者がファイルまたはデータにアクセスするための解読キーが渡されます。ただし、アクセスできる保証はありません。多くの組織が、身代金を支払った後でさえ、ファイルへのアクセス権を永久に失っています。

ロッカー ランサムウェア
ロッカー ランサムウェアでは、悪質なアクターが被害者をデバイスから閉め出し、被害者には、アクセスを回復するために身代金を支払う方法に関する指示が記載された画面上の身代金メモが提示されます。この種のランサムウェアは通常、暗号化を伴わないため、犠牲者がデバイスへのアクセスを取り戻せば、機密ファイルやデータはすべて保持されています。ロッカー ランサムウェアは、一般的にモバイル デバイスで使用されます。

これら 2 つの主な形態のランサムウェアは、次のサブタイプに分類されます。

スケアウェア
スケアウェアは、恐怖感を使用して人々に身代金を支払わせます。この種のサイバー攻撃では、悪質なアクターは法執行機関のふりをし、犯罪の告発と罰金の要求が記載されたメッセージを被害者に送信します。

Doxware
Doxware では、悪質なアクターが個人情報を盗み、身代金が支払われなければ公開すると脅迫します。

二重脅迫ランサムウェア
二重脅迫ランサムウェアでは、攻撃者がファイルを暗号化するだけでなく、機密データを盗み、身代金が支払われなければ機密データを公開すると脅迫します。

ワイパー
ワイパーは、身代金が支払われなければデータを破壊すると脅迫します。

ランサムウェアのしくみ

大半のランサムウェア攻撃は、3 段階のプロセスに従います。

1.  アクセスする
悪質なアクターは、さまざまな方法を使用して会社の機密データにアクセスします。最も一般的な方法の 1 つは、フィッシングです。この場合、サイバー犯罪者は、メール、テキスト、または電話を使用して、被害者を騙して資格情報を入力したりマルウェアをダウンロードしたりさせます。また、悪質なアクターは、悪用キットと呼ばれるツールを使用する悪意のある Web サイトを使用して従業員やその他のユーザーを標的にし、被害者のデバイスにマルウェアを自動的にダウンロードしてインストールします。

2.  データの暗号化
ランサムウェア攻撃者は、機密データにアクセスしたら、これをコピーし、元のファイルと共に、アクセスできたバックアップを破棄します。その後、コピーを暗号化し、解読キーを作成します。

3.  身代金を要求する
データにアクセスできないようにした後、ランサムウェアにより、データが暗号化されたことを説明し、解読キーと引き換えに金銭 (通常は暗号資産) を要求するメッセージが警告ボックスを介して送信されます。これらの攻撃の背後にいる悪質なアクターは、被害者が支払いを拒否した場合にデータを一般に公開すると脅迫する可能性もあります。

ランサムウェア攻撃の影響

運用が直ちに中断されるだけでなく、ランサムウェア攻撃の結果には、重大な経済的損失、風評被害、長期的な運用上の課題が含まれる可能性があります。

金銭的な影響
身代金の支払いにはかなりのコストがかかる可能性があり、多くの場合、数百万ドルに達します。また、攻撃者が解読を提供する保証や、解読キーが正常に動作する保証はありません。

組織が身代金の支払いを拒否した場合でさえ、依然として大きな金銭的コストが発生する可能性があります。ランサムウェア攻撃によって中断が発生すると、長期にわたるダウンタイムが発生し、生産性に影響が及び、収益が失われる可能性があります。攻撃からの回復には、フォレンジック調査のコスト、弁護士費用、セキュリティ対策の強化への投資など、追加の費用が含まれます。

風評被害
顧客とパートナーは、侵害されたビジネスに対する信頼が失われ、顧客ロイヤルティの低下と将来のビジネスの損失につながる可能性があります。注目度の高い攻撃は多くの場合、メディアの注目を集め、企業の評判やブランド イメージを損なう可能性があります。

運用上の課題
バックアップを備えていても、データの損失や破損のリスクがあり、ビジネス継続性と運用効率に影響が及ぶ可能性があります。また、企業は、特に欧州連合の一般データ保護規則やカリフォルニア州の消費者プライバシー法などのデータ保護規制の対象となる場合に、機密データを保護できなかったことに対する法的および規制上の罰則を受ける可能性があります。

実際のランサムウェアの例

最も注目度の高い人間が操作するランサムウェア攻撃の多くは、サービスとしてのランサムウェア ビジネス モデルを使用するランサムウェア グループによって実行されています。

 
  • LockBit は 2019 年の登場以来、金融サービス、医療、製造などのさまざまなセクターを標的にしてきました。このランサムウェアは、ネットワーク内で自己伝達する機能で知られており、特に危険です。 LockBit の関連グループは、高度な手法を使用してデータを暗号化し、身代金を要求する、注目度の高い多数の攻撃を実行してきました。 
  • BlackByte の攻撃には多くの場合、二重脅迫が伴います。この場合、サイバー犯罪者は、データを暗号化して盗み出し、身代金が支払われなければ盗んだデータを公開すると脅迫します。 このランサムウェアは、政府や金融サービスを含む重要なインフラストラクチャ セクターを標的にするために使用されています。
  • 2021 年 6 月から 2023 年 1 月までの間に活発だった Hive ランサムウェアの背後にいるグループは、二重脅迫を採用し、主として医療機関を含む公共機関や重要なインフラストラクチャを標的としました。 サイバー犯罪に対して大きな勝利を収めた FBI は、2022 年に Hive のネットワークに侵入し、解読キーを入手し、1 億 3,000 万米ドルを超える身代金要求を防止しました。 
  • Akira ランサムウェアは、2023 年初頭から活発である巧妙なマルウェアで、Windows システムと Linux システムの両方を標的としています。悪質なアクターは Akira を使用して、VPN サービス (特に多要素認証を使用していないもの) の脆弱性を通じて最初のアクセスに成功しています。Akira はその登場以来、250 を超える組織に影響を及ぼし、ランサムウェアの収益として約 4,200 万米国ドルを奪いました。
 
防止

ランサムウェアの防止と保護の戦略

エンドポイントとクラウドを保護する

最高の形態の保護とは、防ぐことです。ランサムウェア攻撃の多くは、Microsoft Defender for Endpoint などの信頼できるエンドポイントでの検出と対応ソリューションを使用すれば、特定してブロックできます。Microsoft Defender XDR などの拡張検出と応答 (XDR) ソリューションは、エンドポイント保護にとどまらず、デバイス、メール、コラボレーション アプリ、ID をセキュリティで保護するのに役立ちます。また、クラウドで非常に多くのビジネスが行われているため、Microsoft Defender for Cloud などのソリューションを使用して、すべてのクラウド インフラストラクチャとアプリを保護することが重要です。

定期的なトレーニングを開催する

定期的なトレーニングを実施して、従業員にフィッシングやその他のランサムウェア攻撃の兆候の特定方法についての情報を随時提供します。学習を強化し、追加のトレーニングの機会を特定するために、定期的なフィッシング シミュレーションでフォローアップします。これにより、仕事のより安全な進め方だけでなく、個人のデバイスを使用する際の安全対策も従業員が学習しやすくなります。

ゼロ トラスト モデルを導入する

ゼロ トラスト モデルでは、ネットワーク内からのアクセス要求でさえ、すべてのアクセス要求が潜在的な脅威であることを想定しています。ゼロ トラスト原則には、継続的な認証による明示的な検証、アクセス許可を最小限に抑えるための最小限特権アクセスの適用、強力な封じ込めと監視の手段の実装による侵害の想定が含まれます。この監視の強化により、悪意のある人物またはデバイスがリソースにアクセスしてランサムウェアをインストールする可能性が低くなります。

 情報共有グループに参加する

情報共有グループは、多くの場合、業界または地理的な場所別に編成され、同じような構造の組織がサイバーセキュリティ ソリューションに向けて協力することを奨励しています。このようなグループは、組織のためのさまざまな利点も提供しています。たとえば、インシデント応答とデジタル フォレンジクスのサービスや、脅威インテリジェンス、パブリック IP 範囲やドメインの監視などです。

オフライン バックアップを維持する

ランサムウェアの中には、あなたがオンライン バックアップを所有しているかどうかを見つけ出して削除しようとするものもあることから、機密データの最新のオフライン バックアップを保管しておくことと、そのバックアップを定期的にテストして、万が一ランサムウェア攻撃を受けた場合でも復元可能かどうかを確認することをおすすめします。

ソフトウェアを最新の状態に保つ

マルウェア対策ソリューションを最新の状態に保つことに加えて、その他のシステム更新プログラムやソフトウェア パッチも必ず、公開と同時にダウンロードしてインストールしてください。このことは、サイバー犯罪者があなたのネットワークやデバイスへのアクセス獲得のために悪用するおそれのあるセキュリティの脆弱性を最小限に抑えるのに役立ちます。

インシデント応答計画を作成する

インシデント応答計画では、できるだけ早く正常かつ安全な運用に戻ることができるように、さまざまな攻撃シナリオで実行できる手順が提供されます。

ランサムウェア攻撃への対応

ランサムウェア攻撃の被害者となった場合でも、被害回復と除去を行うために取れる選択肢はあります。

感染したデータを隔離する
できるだけ早く、侵害されたデータを隔離してください。ランサムウェアがあなたのネットワークのその他の領域に拡散するのを防ぐためです。

マルウェア対策プログラムを実行する
感染したシステムを隔離したら、マルウェア対策プログラムを使用してランサムウェアを削除します。

ファイルを解読する、またはバックアップを復元する
可能であれば、法執行機関またはセキュリティ研究者によって提供される解読ツールを使用して、身代金を支払うことなくファイルを解読します。解読できない場合は、バックアップからファイルを復元します。

攻撃を報告する
最寄りの警察署などの相談窓口に攻撃を報告します。米国では、FBI 地方局IC3、または Secret Service です。この手続きを行っても、あなたの当面の懸念事項は何も解決されないかもしれませんが、このことが重要であるのは、これらの機関がさまざまな攻撃を積極的に追跡し監視しているからです。あなたの体験を詳しく伝えることは、サイバー犯罪者やサイバー犯罪者グループを見つけて起訴するというこれらの機関の取り組みにおいて有益である可能性があります。

身代金の支払いに注意する
身代金を支払いたくなるかもしれませんが、サイバー犯罪者が約束どおりにあなたにデータへのアクセスを許可するという保証はありません。セキュリティ エキスパートや法執行機関は、ランサムウェア攻撃の犠牲者が、要求された身代金を支払わないように推奨しています。これは、身代金を支払うことにより今後も脅迫が続く可能性があり、犯罪産業を積極的に後押ししてしまうことになるためです。
リソース 

Microsoft Security を確認する

統合された AI を搭載した脅威に対する保護ソリューションと実証済みのベスト プラクティスを使用して、複雑なランサムウェアから組織を保護します。
コンピュータを見ている緑のシャツを着た女性。
ソリューション

ランサムウェアに対して防御する

マルチクラウドのマルチプラットフォーム環境全体で巧妙なサイバー攻撃を公開し、対応します。
詳細情報
ノート PC が置かれた机に向かって座っている男性。
ソリューション

AI を搭載した統一された SecOps を使用して脅威に対抗する

XDR とセキュリティ情報とイベント管理をすべて 1 つのプラットフォームで入手します。
詳細情報
テーブル上のノート PC。
製品

Microsoft Defender XDR を使用して企業全体を保護する

エンドポイント、ID、クラウド アプリ、データをサイバー攻撃から保護します。
詳細情報
眼鏡をかけていてあご髭を生やした男性がノート PC の前で紙を持っている。
製品

Microsoft Defender for Business を使用して中小企業を保護する

次世代のウイルス対策とエンタープライズレベルの AI を利用したエンドポイントでの検出と対応を使用して、あらゆるデバイスにわたる巧妙なランサムウェアに対する防御に役立ちます。
詳細情報
ノート PC を見ている女性と男性。
脅威に対する保護ポータル

サイバーセキュリティと AI のニュース

サイバー攻撃に対する保護とセキュリティ AI の最新の傾向とベスト プラクティスについて説明します。
最新のリソースを入手する
リソース セクションに戻る

よく寄せられる質問

  • ランサムウェアは、価値あるデータを暗号化し、解読と引き換えに身代金の支払いを要求するマルウェアの一種です。
  • 残念ながら、オンライン上に存在する人はほぼ誰でもランサムウェア攻撃の被害者となる可能性があります。個人用デバイスとエンタープライズ ネットワークはどちらも頻繁に、サイバー犯罪者の標的となっています。
  • 従来のランサムウェア攻撃は、個人がだまされて悪意のあるコンテンツを操作してしまったときに発生します。たとえば、感染したメールを開いたときや有害な Web サイトにアクセスしたときに、ランサムウェアがその人のデバイスにインストールされます。
    人間が操作するランサムウェア攻撃では、攻撃者グループが組織の機密データを標的として侵害し、通常は盗んだ資格情報がこれに使用されます。
    一般的に、ソーシャル エンジニアリングによるランサムウェアと人間が操作するランサムウェアのどちらの場合も、被害者となった個人または組織には身代金要求の通知が送られ、盗まれたデータの詳細と、それを取り戻すための費用が記されています。しかし、身代金を支払っても、データが実際に返されるという保証はなく、それ以降の侵害が防止されることも保証されません。
  • ランサムウェア攻撃の影響は、きわめて甚大となる可能性があります。個人レベルでも組織レベルでも、犠牲者は、データが返される保証も、それ以上の攻撃が発生しない保証もないまま、高い身代金を支払わなければならないと考える可能性があります。サイバー犯罪者が組織の機密情報を漏洩した場合、その組織の評判は損なわれ、信頼できないと見なされる可能性があります。また、漏洩する情報の種類や組織の規模によっては、数千人もの個人がなりすましやその他のサイバー犯罪の被害者となるおそれがあります。
  • 被害者のデバイスをランサムウェアに感染させるサイバー犯罪者は、金銭を要求します。匿名性と追跡不可能な性質により、暗号通貨で身代金が設定される傾向があります。個人が標的となる場合、身代金は数百米ドルまたは数千米ドルになる可能性があります。人間が操作するランサムウェア キャンペーンでは多くの場合、数百万米ドルが要求されます。
  • ランサムウェア攻撃の被害に遭ったときは、最寄りの警察署などの相談窓口に通報してください。米国では、FBI 地方局IC3、またはSecret Service です。セキュリティの専門家と担当当局は、被害者となっても身代金を支払わないよう忠告しています。既に支払ってしまった場合は、すぐに銀行と最寄りの警察署に連絡してください。クレジット カードで支払った場合は、銀行が支払いをブロックできる場合があります。

Microsoft Security をフォロー