データ回復力におけるNo.1 グローバルリーダー
データ回復力におけるNo.1 グローバルリーダー
今すぐ試す
ミーティングを予約する
CrowdStrikeのコンテンツ更新によって影響を受けるお客様向けのVeeamのガイダンス
続きを読む

CryptoLockerランサムウェアとは

ランサムウェアは10億ドル規模の産業です。現代のコンピューティングには、無数のウイルスやマルウェアによって損なわれてきた激動の歴史があります。近年、攻撃者は身代金という形で利益を約束することに注目し始めています。データを暗号化して被害者がアクセスできないようにすることで、脅威アクターは重要なデータに依存する人々から利益を得ています。

この増大する犯罪産業に対して、ランサムウェア対策を持たない組織は最も脆弱です。 Veeamの『2023 データプロテクションレポート』によると、世界の85%の組織が少なくとも1回はランサムウェア攻撃を受けています。さらに良くないのは、こうした企業の半数以上がデータへのアクセスを取り戻すために身代金を払っていることです。セキュアなバックアップレプリカがあればそのような選択肢は選ばずに済んでいました。

多くの組織は、増大するランサムウェアの脅威に対する備えがありません。ランサムウェアは30年以上も前から存在していますが、10年ほど前までは現在のように収益性の高いサイバー犯罪ビジネスではありませんでした。最も顕著なものの1つはCryptoLockerウイルスです。

CryptoLockerランサムウェアの説明

2013年のCryptoLocker出現は、ランサムウェアによる災厄の幕開けといえるものでした。感染してしまうと、CryptoLockerは被害者のファイルを暗号化し、復号化キーの代金(多くの場合数百ドル、数千ドル)の支払いを要求します。

CryptoLockerの悪名はほぼ一夜にして広がりました。そのパワフルな暗号化アルゴリズムにより、元の復号化キーなしではデータの復元がほぼ不可能になったことが一因です。さらに、ランサムウェアの背後にいる攻撃者は、指定された期間内に身代金が支払われない場合、被害者のデータを削除すると脅迫しました。CryptoLockerは、その攻撃性の高さと被害の大きさから現在もCISAアラートに含まれています。最新のシステムは、老朽化したCryptoLockerランサムウェアに対して脆弱ではありません。ですが、CryptoLockerは今日の多くのサイバー犯罪者が採用しているツールと戦略アプローチの先駆けとなっています。

動作のしくみ

ほとんどの場合、CryptoLockerは、被害者をだましてランサムウェアをダウンロード、実行させようとするフィッシングメールを通じて配信されます。CryptoLockerが出現した当初、攻撃者はUPSやFedExからの追跡通知を装った電子メールを使用していました。ランサムウェアをダウンロードし、実行すると、感染したシステム上のファイルの暗号化が開始されます。

また、CryptoLockerはファイルシステムを介して伝播することで、他のコンピューターへの拡散も試みます。脆弱なシステムでは、外部USBドライブ、サムドライブ、およびマップされたドライブやクラウドストレージプラットフォームを含むネットワークストレージに広がる可能性があります。

ランサムウェアは特にMicrosoft Windowsシステムを標的としています。次のMicrosoft Windowsシステムにはまだ脆弱性が残っているためです。

  • Windows XP
  • Windows Vista
  • Windows 7
  • Windows 8

これらのシステムの一つに感染して拡散すると、CryptoLockerはRSA公開鍵暗号を使ってファイルをロックします。データの暗号化と復号化に2組の暗号を利用するこのアプローチは、データを共有および送信する際、1つのキー方式よりもはるかに厳重です。当時、非対称暗号化は合法的な使用目的にはあまり一般的ではなく、ランサムウェアにおいても同様でした。

CryptoLocker
被害者が暗号化されたファイルを発見すると、CryptoLockerはデータの復号化に必要な暗号の対価を要求します。また、このマルウェアでは「身代金が3日以内に支払われない場合は被害者のデータが削除され、復元の可能性はなくなる」ことも通知されます。付け加えるなら、CryptoLockerの被害者の多くは身代金を支払ったものの、データのロック解除に必要な鍵を受け取ることはできませんでした。当局やサイバーセキュリティの専門家がランサムウェアの要求に応じるべきではないと述べているのはこのためです。

歴史

2013年9月に出現したCryptoLockerは、世界中のシステムやデータに影響を及ぼして甚大な被害をもたらしました。CryptoLockerは前例にないほど有効性が高く、要求する金額も高かったため、一夜にしてその悪名が広まりました。この新たな脅威の背後にいたのは、トロイの木馬「ZeuS」を使って銀行のログイン情報を盗むことで悪名高いサイバー犯罪ギャング、GameOver ZeuSギャングでした。

当時、CryptoLockerはランサムウェアの歴史の中でもとりわけ効果的で悪質なものの一つに数えられ、ランサムウェアの歴史における象徴的な事例となりました。この手法は、当時のランサムウェアでは前代未聞の強力な暗号化手法を使用して被害者のデータを暗号化できることで当局の注目を集めました。また、恐喝は従来のランサムウェアの要求よりもはるかに高く、数百ドルから数千ドルにものぼりました。さらに事態を悪化させたのは、身代金が支払われなければファイルを削除するという脅迫がCryptoLockerの戦略に含まれていたことです。

CryptoLockerは数か月で企業や政府機関に深刻な混乱を引き起こし、多くの組織がデータへのアクセスを取り戻そうと身代金の支払いを余儀なくされました。2014年6月になってようやく、米国主導の国際共同作戦によってGameOver ZeuSのボットネットが排除されました。トーヴァー作戦として知られるこの国際的な取り締まりは、複数の国で同時に実施されました。

CryptoLockerは、ランサムウェアにスポットライトを当て、世界中のサイバー犯罪者の注目を集めたインシデントだったといえるかもしれません。

CryptoLockerは現在も脅威か

トーヴァー作戦により、最初のCryptoLockerランサムウェアに関与した攻撃者が無力化され、攻撃の頻度も大幅に減りましたが、その後数年間で新たな亜種が出現しました。ランサムウェア攻撃を緩和または相殺するための適切な対策を講じていない個人や組織は、依然として脆弱です。

近年では、CryptoLockerから派生した「子孫」がさらなる混乱を引き起こし、損害を与えています。その多くは新たなディストリビューション方法や暗号化技術に依存しており、それらを利用した攻撃の検出と防止は非常に困難になっています。多くの場合、攻撃の背後にいる攻撃者は、より強力な脅威を伴って、はるかに高い身代金の支払いを要求します。新たに派生した亜種には、Locky、WannaCry、Petyaなどがあります。

こうした攻撃ではビットコインやその他の暗号通貨での支払いを要求することも多く、これもCryptoLockerが先駆けとなった手法です。暗号通貨の台頭により、匿名で身代金の支払いを要求および受け取ることが容易になり、サイバー犯罪者にとってランサムウェア攻撃の魅力が高まっています。

CryptoLockerの緩和方法

ランサムウェアは、重要なデータにアクセスしたり、重要なデータを保存したりするあらゆるシステムに重大な脅威をもたらします。安全なバックアップがないと、データは常にリスクにさらされた状態になります。ランサムウェアは手遅れになるまで検出が難しいことが多いためです。CryptoLockerも同様で、ほとんどのツールではデータが暗号化される前に検出することは困難です。

全てのシステムで最新のオペレーティングシステムを使用することでCryptoLockerの脅威を軽減できますが、必ずしも新しいCryptoLockerの亜種から保護できるわけではありません。企業には、ネットワークセキュリティ、アカウント管理、継続的な監視を含む戦略を基礎とした多面的なアプローチが求められます。最も重要なのは、感染が発生した場合に信頼できる安全なバックアップ戦略が必要なことです。

検出

CryptoLockerを緩和する最初のステップは、攻撃の兆候をできるだけ早期に検出することです。個人がCryptoLockerのようなランサムウェアの脅威の兆候を監視する方法には、次のようなものがあります。

  • ネットワークトラフィックを綿密に監視し、不審な転送がないか確認する
  • システムログを定期的にチェックして、異常なプロセスやアクティビティがないか確認する
  • セキュリティソフトウェアを使用してランサムウェア関連のプロセスを検知しブロックする

また、ほとんどの攻撃者はフィッシングメールを介して被害者をランサムウェアに感染させようとするため、添付ファイル付きの怪しいメールや不審なメールは攻撃の兆しと捉えることができます。このため、ランサムウェアに対しては、メール管理における警戒が最も確実な防御策となります。

予防

CryptoLockerを緩和するための最初の、そしておそらく最も重要なステップは、オペレーティングシステム、アプリケーション、セキュリティソフトウェアを含めて、システムが最新のパッチ、修正プログラム、アップデートによって常に最新の状態に保たれるようにすることです。組織は、次のような予防策に重点を置く必要があります。

  • 脆弱性の影響を限定するための強力なアクセス制御とユーザー権限を実装する
  • 強力なメールポリシーとセキュリティシステムを使用して、悪意のあるメールをブロックし、疑わしい添付ファイルをフィルタリングする
  • よくあるフィッシング攻撃を認識し、回避できるよう従業員を教育する

最後に、ランサムウェア によるデータ消失から身を守る最も効果的な方法は、健全なバックアップ戦略を導入することです。安全性の高いシステムやネットワークでさえ、実際にランサムウェア攻撃によって侵害されています。この意味で、唯一の真の予防策はデータ消失の可能性を回避することなのです。

除去

CryptoLocker攻撃を受けてしまった場合、感染したシステムをネットワークや共有ストレージデバイスから完全に切り離して、ランサムウェアの拡散を防ぐことが重要です。これ以上の暗号化を防ぐためには、マルウェアを迅速に削除することが最も重要です。

CryptoLockerを削除する手順は次のとおりです。

  • 感染したシステム(影響を受けた可能性のあるシステムも含める)を隔離して、マルウェアの拡散を防止する
  • 信頼できるセキュリティツールを使用して、システムからマルウェアを安全に削除する
  • 影響範囲内にあるシステムを徹底的にスキャンする
  • 影響を受けたファイルを安全なバックアップからリストアする
  • FBIの一部門であるInternet Crime Complaint Center(IC3)に事件を報告する

暗号化プロセスの早い段階でCryptoLockerを捕捉すれば、それが引き起こすデータ損傷を軽減できます。また、マルウェア自体も比較的簡単に削除できます。ただし、検出前に暗号化されたファイルは復元できないことに注意してください。

復元

CryptoLockerやその他のタイプのランサムウェアに感染したファイルを復号化して復元することは、極めて困難です。被害者は、暗号化されたデータにアクセスするために必要なキーにアクセスできません。この種のマルウェアは強力な暗号化キーを使用するため、暗号を解読することはほぼ不可能です。サイバーセキュリティ企業が開発したツールを使用してファイルを復号化できるケースもわずかにあります。これらのツールは、暗号化アルゴリズムの脆弱性を突いて、被害者がデータの復号化に使用できる復号化キーを提供します。

使用された亜種にかかわらず、ランサムウェア攻撃から完全に復旧するための唯一の信頼できる方法は、セキュアなバックアップです。セキュアなバックアップルーチンを確立することで、最悪の事態が発生した場合でも完全かつ迅速な復元が可能になります。

Veeamが提供する支援

最初から、最も効果的なランサムウェアソリューションはデータバックアップ戦略です。Veeamのセキュアなバックアップと復元ツールはこのことを念頭に置いて構築されており、企業や個人があらゆる種類のランサムウェアの脅威から貴重で重要なデータを保護できるよう支援します。

Veeamの強力でセキュアなソリューションを使用することで、サイバー犯罪の裏社会から出現した攻撃の効果にかかわらず、データは常に安全に保たれます。Veeamのソリューションは包括的な保護を提供し、オンプレミスやハイブリッド、クラウド環境を含む複数のプラットフォームで利用できる堅牢なバックアップと暗号化ツールを通じて、あらゆる場所に保管しているデータの安全性とアベイラビリティを確保します。

関連コンテンツ

ランサムウェアトレンドレポート
ランサムウェアトレンドレポート
ランサムウェア攻撃が成功する理由
バックアップおよびレプリカの管理、テスト、復元に関するヒント