初期のランサムウェアは通常トロイの木馬ウイルスを通じて不特定多数に向けて任意に拡散され、インターネット上からファイルをダウンロードした際に侵入するかシステムのセキュリティホールを通じて被害者の PC に侵入するものであった。過去多数の被害者は一般ユーザーであり、一般的な対応方法は黙って約一千ドルの身代金を支払うことで PC の暗号化を解除していた。ネットワークの脅威攻撃状況の変化に伴い、脅威攻撃のターゲットは個人から企業に、攻撃手法もランダムな侵入からターゲットを定めた侵入へと変化した。これが標的型のランサムウェア攻撃である。

近年、攻撃の状況は顕著に変化し標的型のランサムウェア（targeted ransomware）が出現した。攻撃を行う時にターゲットを定め、その多くは大企業である。通常、ハッカーは侵入後すぐに単体の PC を暗号化するのではなく、システムにアクセスする最高権限を取得しようとする。そしてランサムウェアを企業内のすべての PC にインストールし、時間が来るとすべてに対し暗号化を行い、企業の機能を麻痺させる。1回の身代金要求金額は5千万ドルにも及ぶ。

暗号通貨の流行に伴い、ハッカーグループも違法なキャッシュフローの追跡調査から逃れるために暗号通貨センターを利用するようになった。それと同時にこの行動はますます猛威を振るい、米国政府がランサムウェアに対抗措置を取ることを決定するまでに至った。その中で暗号通貨の監視を強化することは対抗策の目標の一つと見なされ、更にこの数年で伝播した違法なサービスとしてのランサムウェア（Ransomware as a Service、略称 RaaS）というビジネスモデルの出現により、更に多くの犯罪グループによる恐喝攻撃の実行を招いている。

今年5月、ブロックチェーン研究機構 Chainalysis が発行した「2021年におけるランサムウェアの重大インシデントレポート」によると、2019年はランサムウェア攻撃が急激に増加した重要な指標であり、2019年第1四半期には平均6千ドルであった身代金の平均金額は、2021年第1四半期までに5万4千ドルに達し驚くべき成長を見せている。特にハッカーグループがターゲットとするハイテクノロジー産業においては、例えば2021年に REvil が Acer と Quanta Computer への侵入に相次いで成功し、ハッカーは5千万ドルの身代金支払いを要求した。最終的に企業が支払うかどうかは別としても、巨額の身代金額がもはや状態化している。

表1. 各四半期の平均身代金支払額。資料の引用元は Chainalysis Insights。

一般企業のソフト・ハードウェアのネットワーク環境の多くはオフィス業務の用途のために設定されたものであり、外部からのネットワーク攻撃に対抗するために配置されたものではないが、ハッカーたちが使用するツールは攻撃目的のために作られたものであり、通常企業がハッカーに標的にされると、その攻撃は侵入に成功するまで持続的に行われ企業に対して恐喝行為を行うため、防止するのが非常に困難である。内外システムにどのように防護壁を築くかが、企業の考慮すべき防御ポイントとなる。TeamT5 杜浦數位安全は、企業は「全面防御」の観念を必ず備え、企業内部に幾重にも重なる防護の関門を設け、すべてのステージにおいて効果的な予防、検知、遮断措置を行うことを推奨している。そこで、TeamT5 は企業が「全面防御」の観念に向けてセキュリティ対策を実施することを推奨する。仮に一部の防御層が侵入を受けても他の防護システムが迅速に防御をカバーすることで企業の持続的な運営を保持するのである。したがって「全面防御」の観念は隔離と観察、症状のモニタリング、拡散の阻止、陽性確定者を隔離する等の感染症対策と同様、どれも欠けてはならない。

TeamT5 最新の ThreatSonar Anti-Ransomware の脅威の鑑識分析と対応プラットフォームによるソリューションは、APT（Advanced Persistent Threat、発展した持続的な攻撃）の悪意ある脅威識別と防御機能に加え、ランサムウェア攻撃に対する全面的な防御ソリューションを追加している。この方案は当社独自の人工知能エンジンに基づき、疑わしいあるいは新しいプログラムを判断し、隔離と権限制限の方式によってゼロトラスト（zero trust）から開始し、新しいプログラムに対する信頼度を次第に引き上げていくものである。これは COVID-19 の入国者に対する感染症対策が必ず14日間の隔離期間を設ける事と同じで、第一線で防衛ラインを敷き企業の関門を厳しくチェックすることである。

図1. ThreatSonar Anti-Ransomware 人工知能エンジン

ランサムウェアの暗号化攻撃段階に対し、ThreatSonar Anti-Ransomware はアプリケーションの制御とトラップによる二重防護も提供している。

ThreatSonar EDR の独自の人工知能エンジンは、各アプリケーションがどのようなタイプのファイルを実行するべきかを検知する。例えばドキュメントファイルは通常ドキュメント編集プログラムによって実行されるが、もし異常なプログラムがドキュメントファイルにアクセスを試みようとした場合、システムが自動で検知し、リアルタイムで遮断することが可能である。また、ThreatSonar Anti-Ransomware も多数のダミードキュメントファイルを配置しておびき寄せトラップの役割を果たしている。悪意のあるプログラムがこれらのファイルを実行しようとすると、同様にそれを検知し強制的に悪意のあるプログラムの動作を中断させる。

ThreatSonar Anti-Ransomware はランサムウェアの攻撃を遮断する以外にも、TeamT5 の独自技術により、ハッカーが悪意を持ってバックアップを破壊する動作を検知し、重要なファイルデータを効果的に保護することで、企業によるファイルの正常な復元を実現することができる。

図2. TeamT5 の独自技術が企業のファイル復元を効果的に実現

ハッキングの防御と感染症対策には多くの共通点がある。対抗するのはすべて「人」であり、例えばワクチンだけに頼ることは不可能であり、ウイルスは持続的に変化を続けるように、単一のソリューションだけではその効果には限りがあり、時間が経過すると効果があったとしても回避されてしまう。ましてやハッカーは人であり、彼らも適応と変化を続け、絶えず新たな攻撃手法と技術を生み出しているのである。

TeamT5 はアジアにおいてインテリジェンスをリードし、各ランサムウェアグループの最新手法の研究と追跡を続け、将来の攻撃を効果的に予測している。完全な掌握と継続的なアップデートにより、TeamT5 の最新の ThreatSonar Anti-Ransomware はあなたにとって最良の選択となり得る。すぐに業務窓口と連絡を取ってほしい。

[1] https://www.afcea.org/content/sponsored-81-ransomware-statistics-data-trends-and-facts-2021

[2] https://www.varonis.com/blog/ransomware-statistics-2021

[3] https://blog.chainalysis.com/reports/ransomware-update-may-2021/