ランサムウェアとは？ランサムウェアとは何か？

Ransomware is a type of malicious software or malware that virtually holds your data hostage, locking up your computer and threatening to keep it locked until you pay the attacker’s ransom. The International Business Machines Corporation (IBM) reports that in 2021, ransomware attacks accounted for 21% of all cyberattacks and resulted in a staggering USD 20 billion loss.

ランサムウェアとは何ですか？

In the past, ransomware attacks were aimed solely at locking a person’s data or device until they paid money to unlock it. 

Nowadays, however, cybercriminals are taking matters to a whole new level. The 2022 X-Force Threat Intelligence Index revealed that virtually all ransomware attacks have now adopted the ‘double extortion’ strategy, which not only locks data but also expects a ransom payment to prevent theft. In addition, these malicious cybercriminals are introducing an additional threat in their repertoire – triple extortion campaigns involving Distributed Denial of Service (DDoS) assaults – and they are becoming increasingly common.

ランサムウェアとマルウェア

ランサムウェアをよりよく理解するためには、まずマルウェア（悪意のあるソフトウェア）とは何か、その影響を調べる必要があります。.

Malware – a term that prompts more questions than answers. Is the malicious software, or is it simply being used for nefarious purposes? As with many aspects of cybersecurity, there’s no single answer to this question; instead, it’s an intricate and complex area in which we must consider multiple factors. The software can be malevolent in its own right; however, the human who operates said software is ultimately responsible for determining whether and how malicious it will be.

Cyber threats are broad, from destructive viruses to crafty Trojans. But there’s a unique strain even more dangerous than these – ransomware. Uncover the mystery behind this malicious software, and learn how to protect yourself from it!

ランサムウェアはどのように機能しますか？

Ransomware is designed to lock access and all content within the target computer or network until its attacker receives payment. Even more sophisticated attacks may initiate disk-level encryption with such intensity that, without paying the ransom, it would be impossible to decrypt any files. From 2013 to 2020, the FBI’s Internet Crime Complaint Center noticed a dramatic surge of 243% in reported ransomware occurrences.

他の形態のサイバー犯罪とは異なり、ランサムウェアは被害者が犯罪者と協力することを必要とします。.

彼らのウェブサイトに記載されているように、FBIはランサムウェアによる攻撃を受けた場合、身代金を支払わないよう警告しています。身代金を支払っても、組織や被害者がデータへのアクセスを取り戻せる保証はなく、リスクが高く信頼性の低い解決策です。残念ながら、攻撃者が要求した身代金を支払ったにもかかわらず、正当な復号キーを受け取れないケースもあります。たとえ受け取ったとしても、すべてのファイルが回復可能であるとは限りません。身代金を支払うことで、犯罪者が組織や個人に対してランサムウェア攻撃を続ける動機を与えるだけでなく、他の潜在的なサイバー犯罪者にとっても魅力的になります。.

人気のあるランサムウェアのバリエーション

With numerous ransomware varieties existing, it is no wonder that some are more successful than others. In fact, there are a select few who have risen above the rest in terms of effectiveness and popularity – making them stand out from their counterparts.

1. リューク

Ryuk is a type of ransomware that targets a specific type of user. It is usually delivered through an email or someone’s login information to get into a system. Once the system is infected, Ryuk encrypts some files and then asks for money to give them back.

リュークは、最も高額なランサムウェアの一つとして悪名高く、平均的な身代金要求額が$1百万を超えています。このため、リューク関連のサイバー犯罪者は、これらの法外な支払いを行うための十分な財源を持つ企業を定期的に標的にしています。.

2. REvil（ソディノキビ）

REvil（ソディノキビとも呼ばれる）は、主に大規模な企業を悩ませる悪意のあるランサムウェアの一種です。.

Infamous REvil ransomware, operated by the Russian-speaking group since 2019, is one of the most notorious cyber threats on the internet today. For example, they have been held responsible for significant breaches such as ‘Kaseya’ and ‘JBS’, making them a serious threat to businesses across numerous industries.

過去数年間、REvilは最も高額なランサムウェアのタイトルを巡ってリュークと競争してきました。この悪意のあるソフトウェアが最大$800,000の身代金を要求したという報告が浮上しています。.

Initially, REvil was just another traditional ransomware variant, yet it has since progressed. Presently, they use the Double Extortion technique – not only encrypting files but also stealing data from businesses. This means that apart from requesting a ransom to decrypt data, attackers will threaten to publicly expose the stolen information if an additional payment is not rendered.

3. メイズ

The Maze ransomware has gained notoriety for its innovative approach to extortion. It not only encrypts files but also steals sensitive data from the victim’s computer and threatens to make it public or sell it if a ransom is not paid. This menacing strategy puts targets in an even more difficult situation – either pay up or face much higher costs due to an expensive data breach.

Although the Maze ransomware group has disbanded, this does not signify that ransomware threats are now obsolete. Several former affiliates of Maze have shifted to using Egregor ransomware instead, and it is widely speculated that these three variants – Sekhmet being the third – share an identical originator.

4. ディアクライ

2021年3月、MicrosoftはExchangeサーバー内の4つの脆弱性に対する重要な更新をリリースしましたが、すべての人が潜在的な被害から自分を守るための修正を適用する前に、ディアクライがこれらの弱点を悪用するために特別に設計された新しいランサムウェアのバリアントを投入しました。.

ディアクライランサムウェアは多くのファイルをロックし、ユーザーのコンピュータにランサムノートを残し、アクセスを回復する方法を学ぶためにその運営者に連絡するよう指示します。.

5. ラプサス$

The South American ransomware gang, Lapsus$, has been linked to cyberattacks on noteworthy targets worldwide. With intimidation and the potential for sensitive data exposure, the cyber gang has established a name for itself by extorting its victims unless their demands are met. They have bragged about penetrating Nvidia, Samsung, and Ubisoft, amongst other global organizations. This group utilises pilfered source code to make malicious files appear as legitimate software.

6. ロックビット

ロックビットはデータへのアクセスを防ぐために作られたソフトウェアで、2019年9月から存在しています。最近では、ランサムウェア・アズ・ア・サービス（RaaS）となっています。これは、人々が他人のデータへのアクセスを防ぐためにそれを使用するために支払うことができることを意味します。.

ランサムウェアの高額な結果

People dealing with ransomware are often reticent to admit the amount of ransom they have paid. As outlined in the report Definitive Guide to Ransomware 2022, ransom demands have increased drastically; what used to comprise only single-digit payments has now expanded into seven and eight-digit figures. In the most extreme instances, companies may need to pay a hefty ransom of USD 40-80 million for their data to be returned. Yet these payments aren’t the only cost associated with ransomware attacks; other direct and indirect costs can compound an organization’s financial burden. As reported in IBM’s Cost of Data Breach 2021 study, the standard cost of ransomware attacks without including ransom payments amounted to a staggering USD 4.62 million on average.

DCH病院のケース

DCHはアラバマ州タスカルーサにある地域医療センターで、1923年から運営されています。.

On October 1st, 2019, DCH Hospitals got attacked by ransomware. Everything electronic was down. They couldn’t take any new patients and had to use all paper for everything.

DCHの代表者は、誰かが破損したメールの添付ファイルを開いてやり取りしたときにシステムが侵害されたことを明らかにしました。幸いなことに、患者情報は危険にさらされませんでした。.

DCH病院システムは、DCH地域医療センター、ノースポート医療センター、フェイエット医療センターという3つの主要な病院を誇り、西アラバマの大部分にサービスを提供しています。これらの3つの医療施設は850以上のベッドを提供し、年間32,000人以上の患者を受け入れています。.

10月5日土曜日、システムへのアクセスを迅速に取り戻すために、DCH病院は身代金を支払い、攻撃者から復号キーを取得することを選択しました。しかし、彼らは支払った金額を開示しないことに決めました。医療システムは重要であり、データの損失や中断の可能性に直面するよりも、身代金を支払う方が有益であると見なされることがよくあります。彼らのシステムに保存されている機密情報は失うにはあまりにも貴重です。DCH病院のセキュリティを侵害するために使用された悪意のあるランサムウェアは、フィッシングメールを開いて汚染された添付ファイルを含むメールを開いた従業員によって知らずに促進されました。これにより、マルウェアがアクセスを得て、その後コンピュータネットワークに感染しました。.

ランサムウェアの被害者にならないための5つのステップ

1. 従業員にサイバーセキュリティの脅威について教育する。.

サイバー攻撃から自分たちを守り、職場での発生を特定できるようにするためには、サイバーセキュリティに対する個々の責任を認識する必要があります。すべての従業員は、サイバースペースの脅威を特定し防止するための専門的なトレーニングを受けるべきです。しかし、最終的には、各個人が受け取った情報を活用して、日常生活の中で潜在的なリスクを正確に評価する責任があります。DCH病院の事件は、サイバーセキュリティに対する個人的な理解を持つことがどれほど価値があるかを示す重要な例です。.

The company must inform the employee of the potential risks of opening email attachments from unknown senders, particularly in a work environment. When in doubt, it’s always best to consult someone with experience before opening any messages, links or attachments. Many businesses have an in-house IT department that will take any reports concerning a phishing attempt to confirm if it is legitimate to the employee. If the message comes from a reliable source like your bank account provider or acquaintances you know personally, contact them directly and confirm that they sent the message and its contents before clicking on any links provided. This way, you can protect yourself from potential cyber-attacks.

2. ファイルをバックアップする。.

If you’re ever targeted by ransomware or have some data lost in an attack and don’t want to pay the ransom, having a secure backup of your most valuable information is essential.

悪意のある攻撃の結果を最小限に抑えるために、DCH病院は事件の前に予防措置を講じ、重要なファイルをバックアップするべきでした。バックアップがあれば、ランサムウェアによる中断を受けずに営業を続けることができたでしょう。.

3. ソフトウェアを最新の状態に保つ。.

サイバー犯罪者は、既存の弱点を利用して悪意のあるソフトウェアをデバイスやシステムに導入することがよくあります。未修正またはゼロデイのセキュリティの欠陥は、デジタルセーフティ業界に知られていないか、特定されているが対処されていないため、危険です。特定のランサムウェアグループは、サイバー犯罪者からゼロデイの脆弱性に関する情報を購入し、悪意のある操作に使用していることが観察されています。また、ハッカーが修正済みのセキュリティの欠陥を利用してシステムに侵入し、攻撃を開始することも知られています。. 

ソフトウェアやオペレーティングシステムの脆弱性を狙ったランサムウェア攻撃から保護するために、定期的にパッチを適用することが重要です。.

4. サイバーセキュリティツールをインストールして更新する

It’s essential to upgrade cybersecurity tools – anti-malware and antivirus software, firewalls, secure web gateways, as well as enterprise solutions such as endpoint detection and response (EDR), extended detection and response (XDR), which can help security teams detect malicious activity in real-time.

5. アクセス制御ポリシーを実施する

組織は、マルチファクター認証、ゼロトラストアーキテクチャ、ネットワークセグメンテーション、および関連する保護策を展開して、脆弱なデータを保護し、暗号ワームがネットワーク上の他のマシンに移動するのを阻止する必要があります。.

ランサムウェアは個人も標的にします。.

Generally, ransomware stories focus on the aftermath of corporate or healthcare system hacks; however, it is essential to recognize that individuals are not immune from these attacks. In fact, they occur more often than you may think. Individuals must be aware of ransomware’s genuine danger when using the internet, as it could risk their safety and security.

サイバー犯罪者は、ランサムウェアを展開する際に、暗号化とロックスクリーンの2つの主要な方法を使用します。.

暗号化ランサムウェア

サイバー犯罪者は主に、暗号化ランサムウェアを介してデバイスにローカルに保存された特定のファイルを標的にしています。これらの文書を選び出すために、攻撃者はフィッシングのトリックや他の形態の悪意のあるソフトウェアを使用してターゲットを調査します。ファイルが暗号化されると、被害者はデータにアクセスするために必要な復号キーを受け取るために身代金を要求されます。ハッカーは通常、この戦略を使用して、企業が保護しようと懸命に努力している機密情報やセンシティブな情報にアクセスします。このアプローチは悪意のある当事者の間で人気があり、企業や組織が一般的なターゲットとなっています。.

ロックスクリーンランサムウェア

Conversely, lock screen ransomware encrypts specific files and renders a user’s device completely inoperable. Locking-screen ransomware will lock up your device and display a full-screen message that is unmovable and unminimizable. You’ll be asked to pay a ransom to unlock the system or retrieve lost data or files.

These programs often employ fear tactics to pressure you into making payments, such as a ticking clock that warns it will delete all your files if time runs out. Cyber attackers often attempt to intimidate individuals by fabricating stories about their devices being linked with illegal activities or inappropriate material and threatening to report them to the authorities if the victim doesn’t pay. To further coerce victims into paying the ransom, some ransomware developers leverage pornographic imagery and threaten that the victim cannot remove it without payment.

最終的に

ソフトウェアやセキュリティツールを定期的に更新し、アクセス制御ポリシーを実施し、これらの悪意のあるプログラムが使用するさまざまな戦術を認識するなど、効果的なサイバーセキュリティ対策を実施して、ランサムウェア攻撃からビジネスを保護します。さらに、個人はランサムウェア攻撃からデバイスを保護するために積極的な措置を講じるべきです。未知の送信者からのメールを開いたり、リンクをクリックしたりする際には注意を払いましょう。意識と慎重な実践を持つことで、デジタル世界におけるランサムウェアの脅威を減少させることができます。.