ランサムウェアとは

実際のランサムウェア攻撃では、身代金が支払われるまでデータへのアクセスをブロックします。

要するに、ランサムウェアとは、コンピューター、サーバー、またはデバイス上のファイルやフォルダーを破壊あるいは暗号化するマルウェアまたはフィッシングによるサイバー セキュリティ攻撃の一種です。

デバイスやファイルがロックまたは暗号化されれば、サイバー犯罪者は、暗号化されたデータのロックを解除するためのキーと引き換えに、企業やデバイスの所有者から金銭をゆすることができます。 しかし、身代金が支払われた場合でも、サイバー犯罪者は、企業やデバイスの所有者にキーを渡さず、アクセスを永続的にブロックすることがあります。

ランサムウェア攻撃の仕組み

ランサムウェアは自動化されていることもあれば、キーボード上の人間の手を借りた "人間によって操作される" 攻撃の形をとることもあります。

ランサムウェア攻撃の自動化

"コモディティ ランサムウェア攻撃" は多くの場合、自動化されています。 これらのサイバー攻撃は、ウイルスのように拡散し、メールフィッシングやマルウェア配信などの方法でデバイスに感染し、マルウェアの修復を必要にします。

そのため、マルウェアやフィッシング配信に対する防御を提供する Microsoft Defender for Office 365 を使用してメール システムを保護することがランサムウェア防止手段の 1 つとなります。 Microsoft Defender for Endpoint は Defender for Office 365 と連携して、デバイス上の疑わしいアクティビティを自動的に検出してブロックするのに対して、Microsoft Defender XDR はマルウェアやフィッシングの試みを "早い段階で" 検出します。

人間が操作するランサムウェア攻撃

「人間が操作するランサムウェア」 は、組織のオンプレミスまたはクラウドの IT インフラストラクチャに侵入し、特権を昇格させ、重要なデータにランサムウェアを配置する、サイバー犯罪者による積極的な攻撃の結果です。

これらの "キーボード上の手を借りた" 攻撃は、通常、単一のデバイスではなく組織をターゲットとします。

"人間によって操作される" ということは、一般的なシステムとセキュリティの構成ミスに関する知識を活かせる人間の攻撃者がいるということを意味します。 目的は、組織に侵入し、ネットワーク内を移動し、環境とその弱点に適応することです。

このような人間が操作するランサムウェア攻撃の特徴には、通常、資格情報の盗難と、盗まれたアカウントでの特権の昇格による横移動が含まれます。

アクティビティは、メンテナンス期間中に行われ、サイバー犯罪者によって検出されたセキュリティ構成のギャップを含む場合があります。 目的は、攻撃者が選択した "ビジネスに大きな影響を与えるリソース" にランサムウェアのペイロードを配置することです。

重要

これらの攻撃は事業運営に壊滅的な損害を与える可能性があります。また、クリーンアップが困難であるため、将来の攻撃から保護するには、攻撃者の完全な排除が必要になります。 通常、マルウェアの修復のみを必要とするコモディティ ランサムウェアとは異なり、人間が操作するランサムウェアは、最初の遭遇の後も事業運営を脅かし続けます。

次の図は、恐喝に基づく攻撃の影響と可能性がどのように増大しているかを示しています。

人間が操作するランサムウェア攻撃の影響と、攻撃が今後も続く可能性

ランサムウェアからの組織の保護

まず、Microsoft Defender for Office 365 でフィッシングやマルウェアの配信を防止して、マルウェアやフィッシングの配信からの保護を行います。さらに、Microsoft Defender for Endpoint でデバイス上の不審なアクティビティを自動的に検出してブロックし、Microsoft Defender XDR でマルウェアやフィッシングの試みを早期に検出します。

ランサムウェアと脅迫の包括的なビューと組織を保護する方法については、 Human-Operated Ransomware Mitigation Project Plan (人間が操作するランサムウェアの軽減策プロジェクト計画) という PowerPoint プレゼンテーションの情報を使用してください。

ガイダンスの概要を次に示します。

人間が操作するランサムウェアの軽減策プロジェクト計画のガイダンスの概要

• ランサムウェアと脅迫ベースの攻撃の身代金は高額です。
• ただし、攻撃には、攻撃される可能性を減らすことができる弱点があります。
• 攻撃の弱点を利用するためにインフラストラクチャを構成するには 3 つの手順があります。

攻撃の弱点を利用するための 3 つの手順について、「組織をランサムウェアと恐喝から保護するための解決策」を参照して、最適な保護を実現できるように IT インフラストラクチャを迅速に構成します。

1. 身代金を支払うことなく組織が攻撃から回復するように、組織を準備します。
2. 特権ロールを保護することで、ランサムウェア攻撃の損害の範囲を制限します。
3. 段階的にリスクを除去することによって、攻撃者が環境に侵入するのを困難にします。

ランサムウェア攻撃者に対する保護レイヤーとしての 3 つのフェーズの概要については、ランサムウェアからの組織の保護に関するポスターをダウンロードしてください。

ランサムウェア防止に関するその他のリソース

Microsoft からの重要な情報：

• ランサムウェアの脅威の増大 (2021年 7月20日の Microsoft On the Issuesのブログ記事)
• ランサムウェアや脅迫からの迅速な保護
• 2023 Microsoft デジタル防衛レポート
• ランサムウェア: 普遍的で継続的な脅威 Microsoft Defender ポータルでの脅威分析レポート
• Microsoftの検出および対応チーム (DART) ランサムウェア アプローチとベスト プラクティス と ケース スタディ

Microsoft 365：

• Microsoft 365テナントにランサムウェア保護を配置する
• Azure と Microsoft 365でランサムウェアからの回復性を最大化する
• ランサムウェア攻撃からの回復
• マルウェアおよびランサムウェア対策
• Windows 10 PCをランサムウェアから保護する
• SharePoint Online でのランサムウェアの処理
• Microsoft Defender XDR ポータルでのランサムウェアの脅威分析レポート

Microsoft Defender XDR:

• 高度なハンティングによるランサムウェアの検索

クラウド向けのMicrosoftディフェンダー Apps：

• ディフェンダー for Cloud Apps で異常検出ポリシーを作成する

Microsoft Azure：

• ランサムウェア攻撃に対する Azureの防御
• Azure と Microsoft 365でランサムウェアからの回復性を最大化する
• ランサムウェアから保護するためのバックアップと復元の計画
• Microsoft Azure バックアップを使用してランサムウェアからの保護を支援 (26 分のビデオ)
• システムの ID 侵害からの復旧
• Microsoft センチネル での高度なマルチステージ攻撃の検出
• Microsoft センチネル でのランサムウェアの Fusion 検出

Microsoft セキュリティ チームのブログ記事：

Microsoft セキュリティ ブログのランサムウェアに関する記事の最新の一覧については、ここをクリックしてください。

• ランサムウェアを防止し、回復するための3つのステップ (2021年9月)

• 人が操作するランサムウェアと戦うためのガイド： パート1(2021年 9月)

• 侵害されたユーザー アカウントの封じ込めによる人間が操作する攻撃の自動中断 (2023 年 10 月)

• サービスとしてのランサムウェア: サイバー犯罪のギグ経済と自分自身を保護する方法を理解する (2022 年 5 月)

  Microsoftの検出および対応チーム (DART) がランサムウェア インシデント調査を実施する方法に関する重要なステップ。

• 人が操作するランサムウェアと戦うためのガイド： パート2(2021年 9月)

• 防御者への注意喚起: ランサムウェア後の調査のケース (2023 年 10 月)

  レコメンデーションとベスト プラクティス

• サイバーセキュリティ リスクを理解して回復性を得る： 第4部 - 現在の脅威を調べる (2021年5月)

  「Ransomware (ランサムウェア)」セクションを参照してください。

• 人間が操作するランサムウェア攻撃： 予防可能な災害 (2020年3月)

  実際の攻撃の攻撃チェーン分析が含まれています。

• ランサムウェアへの対応-支払うべきか否か？ (2019年 12月)

• Norsk Hydro による、透過性を保ったランサムウェア攻撃への対応 (2019年 12月)