ランサムウェア
サイバー恐喝の常套手法
ランサムウェアは、業界や規模を問わず、あらゆる組織が直面している、現在活動中の最も重大な脅威のひとつです。WannaCry攻撃で世界中の企業が業務停止の憂き目にあってから数年経ちますが、ランサムウェア感染は密かに広がり続け、メディア報道やビジネス業界の話題をさらっています。
「ランサムウェア」という用語は、ファイルやシステム全体の暗号化に使用されるマルウェアを指しますが、現在では、恐喝を用いた金銭目的の攻撃のカテゴリーを意味するものとなっています。
ランサムウェアの展開が成功すると、その影響は技術面にも非技術面にも及び、業務運営に支障が生じることもあります。昨今の攻撃者の手法は高度化しており、これに対抗するには、役員から担当者に至るまで、セキュリティ・リスクを回避するための総合的な戦略が必要です。
On Demand Webinar
標的型ランサムウェアがビジネスを⽌める
セキュリティ・リスクを回避する総合的な戦略
提供する支援
Mandiantは、インシデント対応、脅威インテリジェンス、マネージド検知・対応(MDR)に関する専門知識を有しており、ランサムウェア攻撃における初期アクセスの獲得、認証情報の侵害、水平展開、さらにランサムウェアのステージングと展開によって多大な影響をもたらす手法について、深く理解しています。そのため、攻撃に対して備えることができます。
Mandiantが提供するランサムウェア・ソリューションは、激増する侵入経路を軽減するための準備体制および防御体制を強化します。Mandiantの予防的な診断サービス、対応サービスや復旧サービス、システム強化ガイダンス、脅威ハンティング手法を活用することにより、ランサムウェア攻撃者より優位に立ち、攻撃者の侵入を阻止することが可能になります。
ランサムウェア攻撃のトレンド
ランサムウェアの進化
ランサムウェア攻撃は2013年に始まりました。最初の形態はCryptoLockerであり、それから増え続けて今日に至ります。攻撃者は継続的に新たな配信方法を導入し、他者の戦術を模倣し合いながら、最も有益なアプローチを求めています。
ランサムウェア攻撃の出現から今日の攻撃活動に至る、ランサムウェアの歴史について、Mandiantの専門家の解説をお聞きください
ランサムウェアの侵入活動
ランサムウェアには、アタック・ライフサイクルにわたって攻撃者(攻撃活動を操作する生身の人間)の間に高度な協力体制が存在します。攻撃の背後に存在する具体的な人物とは、どのような人たちなのでしょうか。今日のランサムウェアは組立工場のようになっており、攻撃のさまざまな段階でさまざまな人物が関与しています。
MAZEランサムウェア攻撃に関する侵入活動について、Mandiantの専門家の解説をお聞きください
ランサムウェア防御診断
実際に被害が生じる前に、今日のランサムウェア攻撃に対する組織のセキュリティ・チームの防御、検知、封じ込め、復旧の能力を診断します。
Threat Intelligence
脅威インテリジェンス・サービスで、ランサムウェア攻撃者やさまざまな脅威に関する知識を備えましょう。
Managed Defense
ランサムウェアなどの高度な脅威から組織を保護するため、最前線で得た脅威ハンティングの専門知識を活用して組織のセキュリティ・チームを支援します。
Security Validation
実際の攻撃に対する組織のセキュリティ対策の有効性を測定し、ランサムウェア攻撃に対する防御力をテストします。
Expertise On Demand
ランサムウェアなどの深刻な脅威と戦う際に役立つ専門知識とインテリジェンスを提供します。
ランサムウェアに関する主なインシデント対応データ・ポイント
以下に示すトレンドは、最前線でインシデント対応にあたるMandiantのエキスパートが、ランサムウェアの調査や復旧の際に観察したものです。
ランサムウェア攻撃におけるセキュリティ侵害の発生から検知までに要した日数の中央値(日)
ランサムウェア攻撃において、セキュリティ侵害の発生から検知までに要した日数の中央値は72.75日となっています。一方、すべての脅威における中央値は56日となっています(ランサムウェアを含む)。
ランサムウェアの展開が起こりがちな曜日
ここに示した曜日は、攻撃者が初期侵入を行った曜日ではなく、ランサムウェア攻撃の展開および実行を開始した曜日です。
Mandiant Managed Defense:ランサムウェアのリスクを低減し、検知までに要する日数を短縮
Mandiant Managed Defenseは攻撃者の振る舞いに注目し、戦略的なランサムウェア攻撃者によるセキュリティ侵害の発生から検知までに要した日数の平均を、これまでの72日間からわずか24時間以下にまで短縮します。
一般的なランサムウェアのタイプと展開方法
3つのタイプのランサムウェア
- 無差別攻撃:自己増殖またはワームのような能力を使用し、継続的にマルウェアの再展開を行います。
- 標的型攻撃:犯罪組織や高度な攻撃グループが手動で実行するもので、通常、アタック・ライフサイクルに従います。また、組織の環境に存在する信頼の置けるアプリケーション(PSEXEC、Powershellなど)を悪用し、検知のリスクを回避することもあります。
- イデオロギー的動機による攻撃:業務妨害を目的とし、支払いの回収にはそれほど関心がありません。
よく使用される展開方法
- PsExec
- 手動
- インストールされているサービス
- RDP経由で手動
関連リソース
Case Study
今日のランサムウェアとインシデント対応ソリューション
FireEye Chat
FireEye Chat:
ランサムウェアの核心
Datasheet
ランサムウェア防御診断
Solution Brief
Mandiant Managed Defenseで戦略的ランサムウェアの脅威を回避する
News Article
The FBI Botched Its DNC Hack Warning in 2016—but Says It Won’t Next Time
ランサムウェアのブログ記事
2021/03/23
So Unchill - UNC2198 ICEDIDのランサムウェア・オペレーションへの融解2021/03/22
サイバー犯罪者がデータ窃取と恐喝のためのAccellion FTAをエクスプロイト2020/11/09
アンハッピーアワースペシャル:KEGTAPとSINGLEMALTにランサムウェアをチェイサーで2020/11/02
ランサムウェア:もはや無視できない脅威2020/10/20
FIN11: ランサムウェアとデータ窃取の前触れである広範囲なEメールキャンペーン
さあ、今すぐ始めましょう。
当社が誇るセキュリティの専門家が、インシデント対応の支援やコンサルティング・サービスに関する疑問解決など、
いつでもお手伝いできるよう準備してお待ちしています。