ランサムウェアの攻撃は、1回で終わるものではありません。システムを混乱させ、使用不能にし、データを回復してオンラインに戻すために巨額の支払いを組織に強いるように設計された一連の攻撃です。ランサムウェアの脅威の範囲と、適切なリカバリープランが重要である理由を理解するために、ランサムウェア攻撃の7つの段階を説明します。
ステージ1-3: 嵐の前の静けさ
ランサムウェアの攻撃の最初の3つの段階は、あなたがそれを見ることなく発生する可能性があります。可能な限り介入する予防が重要ですが、これらの攻撃は、最も脆弱なシステムをターゲットにするように設計されており、多くの場合、ユーザ攻撃から始まるのです。
ステージ1 – 攻撃の開始
この最初の段階は、攻撃者がシステムに侵入するためにランサムウェアをセットアップするところです。これは、フィッシングメール攻撃の送信、悪意のあるウェブサイトの設置、RDP (Remote Desktop Protocol)接続の弱点の悪用、ソフトウェアの脆弱性への直接攻撃など、いくつかの方法で行われることがあります。ユーザの数が多い組織ほど、フィッシングや悪質なウェブサイト、あるいはこれらの組み合わせなど、ユーザを標的とした攻撃に対して脆弱性が高くなります。たった一人のユーザが間違いを犯すだけで、ランサムウェアのコードを実行し、システムに侵入してしまうのです。
ステージ2 – インスタンス化
ランサムウェアがシステムに侵入すると、ステージ2が発生します。悪意のあるコードは、攻撃者に戻る通信回線を設定します。ランサムウェアの攻撃者は、この通信回線を使用して、追加のマルウェアをダウンロードすることがあります。この時点で、ランサムウェアは、攻撃者が攻撃を開始する前に、数日、数週間、または数ヶ月間、隠れた状態で休眠状態になることがあります。ランサムウェアは、組織内の他のシステムを横断的に移動し、可能な限り多くのデータにアクセスしようとすることもあります。また、多くのランサムウェアは、バックアップシステムも標的にしており、被害者がデータを復元する機会を奪っています。 このような場合、ユーザはシステムが侵害されていることに全く気付かず、攻撃者は攻撃を開始する最適なタイミングを待つことができます。
ステージ3 : 稼働開始
ステージ3は、攻撃者がランサムウェアの攻撃をリモートでアクティベート(実行)するときです。これは、攻撃者がいつ起こしてもおかしくないものであり、お客様の組織を完全に油断させるものです。攻撃が開始されると、組織は攻撃の発生を認識し、被害軽減と復旧のための努力を開始することさえ、時間との戦いになります。
ステージ4-7: 嵐のスタート
攻撃が始まると、システムとデータは危険にさらされます。攻撃を緩和し、回復するための計画がなければ、ダウンタイムは数時間から数日、あるいは数週間に及ぶ可能性があります。その結果、経済的な損失だけでなく、ブランドの評判にも影響を及ぼす可能性があります。
ステージ4:暗号化
ランサムウェアは、場合によってはロック画面によってデータを人質に取りますが、企業の攻撃では暗号化が最も可能性が高いです。ランサムウェアの種類によって、ファイルシステムのマスターブートレコードの暗号化から、個々のファイルや仮想マシン全体の暗号化まで、さまざまな暗号化方式が使用されています。バックアップシステムを狙うランサムウェアは、バックアップを削除したり、暗号化して復旧できないようにすることがあります。データを復元化する可能性は極めて低いため、企業では、データを失うか、レプリカやバックアップから復旧するか、身代金を支払うかの3つの選択肢を取ることになります。
ステージ5 – 身代金要求
この段階では、ユーザは正式に被害者となり、ランサムウェアはデータを暗号化しています。暗号通貨取引による身代金の支払い方法に関する情報が提示されます。ランサムウェアが暗号化できたデータによっては、データにアクセスできなくなるだけでなく、アプリケーションやシステム全体が暗号化によって使用不能になることもあります。データやサービスにアクセスできなくなることで、業務に大きな影響を与える可能性があります。
ステージ6 – 復旧または身代金
この段階は、ニュースで見た多くの組織が重大なダウンタイムや混乱の影響を経験し、その結果、身代金を支払うことを選択した段階です。効果的な復旧方法がなければ、たとえデータを部分的にでも復旧できたとしても、そのコストは身代金の支払いコストを上回ってしまうかもしれません。しかし、効果的な復旧計画があれば、最小限の混乱で迅速にデータを復旧でき、身代金を支払う必要がないため、ダウンタイムや法外な身代金の支払いによるマイナスイメージを払拭できる可能性があります。
ステージ7:クリーンアップ
身代金を支払っても、バックアップやレプリカからデータを復旧させても、システム上のランサムウェアが消滅するとは限りません。悪意のあるファイルやコードがまだ存在している可能性があり、削除する必要があります。攻撃によってランサムウェアの種類が明らかになれば、ランサムウェアの場所を特定し、システムから削除することが容易になります。必要であれば、隔離されたネットワークでシステムを復旧させ、再起動のリスクなしにマルウェアをクリーンアップすることができます。マルウェアの駆除が完了したら、システムを通常のオペレーションに戻すことができます。
リカバリーはレジリエンス(回復力)
ランサムウェアの攻撃を事前に防ぐことは、すべてのサイバーセキュリティ計画の一部であるべきです。しかし、サイバー攻撃やサイバー犯罪は、その性質上、予防策を回避するように設計されており、そのために急速に進化を続けているのです。このような脅威を真剣に受け止めている組織は、攻撃されるかどうかではなく、いつ攻撃されるかの問題であることを知っています。そのような場合、効果的な復旧計画によってのみ、ダウンタイムやビジネスの中断、大きな財務的打撃を回避することができます。
ビジネス・レジリエンスや継続性には多くの要素がありますが、ITの分野では、データを復旧する能力がレジリエンスの基幹となります。バックアップとディザスタリカバリのオペレーションは、ローカルにファイルを復元する場合でも、温存したDRサイトからアプリケーションを復元する場合でも、組織を軌道に乗せるために効果的なものです。現代のランサムウェア攻撃には、オンプレミス、クラウド、階層型ストレージ、 , SaaSアプリケーションなど、複数のプラットフォームでデータを保護する最新のデータ管理およびリカバリソリューションが必要です。更にイミュータブルバックアップを含む新しいリカバリ機能を活用し、ランサムウェアとの戦いに備えることができます。
リカバリの専門家とランサムウェア対策を計画する
ランサムウェアの攻撃は、予防や準備に最善を尽くしても、システムに侵入してきます。ランサムウェアの攻撃がシステムに与える影響を理解することは、予防と復旧の両方の計画を立てるための第一歩です。まだ復旧の計画を立てていないのであれば、今がその時です。すでに計画を立てている場合は、その計画が最新のランサムウェアの亜種に対応しているかどうかを確認するために、今が見直しの時期かもしれません。
復旧のための効果的な準備は、混乱を招き、ニュースをにぎわすような攻撃に対する最も重要な防衛線となります。万が一、攻撃を受けてしまった場合、適切なリカバリープランがないために被害を受けてしまうことのないようにしましょう。
クライムが提供する各種「Immutable(書き換え不能)レポジトリーバックアップによるランサムウェア対策」 手法
関連トピックス:
- ランサムウェア・インシデント対応計画の重要性とテンプレート作成について
- バックアップ・ストレージへのランサムウェア攻撃を防止するための7つの実践的なヒント [ネットワーク強靭化対策]
- ランサムウェアとの戦いでイミュータブル(Immutable:不変)のバックアップだけで十分なのか?
- 知っておくべき5つのタイプのサイバー攻撃
- 急成長する RaaS ビジネスモデル
- 広範なサイバー攻撃に直面するデータの保護: 隔離された復旧環境とイミュータブル(不変)のサイバーデータ保管庫の重要性
- リスクアセスメント: 効果的なビジネスインパクト分析(Business Impact Analysis)のための3つの重要な出発点
- データ保管庫の種類
RSSフィードを取得する
