2017年7月26日水曜日

ランサムウェア検出 - 標的型攻撃vs.無差別型攻撃

※このブログ記事はTEMASOFT社の公式ブログを翻訳したものです。
標的型ランサムウェア攻撃は従来型のアンチウィルス技術で識別するのは非常に困難です。標的型攻撃は、無差別大量攻撃型より頻度は少ないものの、ファイルの暗号化が成功する可能性が高いため、はるかに大きな被害をもたらしひどい損害を与えます。標的型攻撃と無差別大量型攻撃の重要な違いをいくつか紹介します。

1. スコープ(範囲)

標的型攻撃は、特定の1社または1機関に対して実行されます。通常、被害に遭うのは、ITに大きく依存し内部プロセスの一部としてファイルを使用している企業です。このような企業は、できるだけ早くファイルにアクセスする必要があるため身代金を支払う可能性が高くなります。
これに対し無差別型攻撃は、できるだけ多くのマシンに感染させることを目的としており、特定の標的なしにインターネット上で発生します。

2.技術

おそらく、標的型攻撃と通常の無差別大量型攻撃の最も大きな違いは、使用されている技術にあります。 どちらも標準的なウイルス対策エンジンを回避する技術を持っていますが、標的型攻撃ではこれまで使用されたことがない(シグネチャーレコードが存在せず従来型のセキュリティソリューションでは検出することができない)カスタマイズされたランサムウェア亜種も使用されます。経験則として、価値のある標的(企業)ごとに別の亜種を使う方が成功率が高くなります。
これに対し無差別大量型攻撃では、一般的に既知のランサムウェア亜種や他の攻撃で使用されたことのあるサンプルが使用されます。このような攻撃はペイロードが既知であるため、従来型のシグネチャベースのソリューションで検出できる可能性が高いです。

3.配布

標的型攻撃では高度なソーシャルエンジニアリング技術を使用して特定の(標的とする)企業のネットワークに悪意のあるペイロードを配信します。通常はキャンペーンの標的を定めて電子メールで配布されます。配布方法は複雑で手動で実行されます。
これに対し無差別大量型攻撃では、電子メールキャンペーン、悪意のあるWebサイト、またはソフトウェアの脆弱性を利用して拡散されます。通常はスパムキャンペーンやTOR匿名ネットワークで稼働している「サービスとしてのランサムウェア(ransomware-as-a-service)」 を介して自動的に実行されます。一般的にこれは無人で実行されます。

4.収益化

標的型攻撃の方がはるかに高額な身代金を要求します。ほとんどの場合、コンピューター1台につき数千ドルが要求され、感染マシンが多いと数十万~数百万ドルまで値上がりします。通常、身代金はランサムウェア自体にハードコードされており、変更されません。この高額な身代金は、標的にされた企業はすぐにファイルが必要であり、この身代金額を支払うことができるという事実に基づいて要求されます。
これに対し無差別大量型攻撃で要求される身代金額は、数百ドルからとはるかに低額です。これは、被害に遭う企業のほとんどが中小企業であり、高額な身代金を支払う余裕がないことやITへの依存度が低いことなどから、身代金を支払わずにファイルを失うことを選択する傾向があるという事実に基づきます。

5.ランサムウェア検出

無差別大量型攻撃は、アンチウィルスが最新でベンダーがランサムウェア亜種を認識していれば、従来型のシグネチャーベースの技術によって検出できる可能性があります。しかしながら、無差別大量型攻撃で検出を回避するゼロディランサムウェア亜種が使用される可能性があることを忘れてはなりません。標的型攻撃は、伝統的なセキュリティツールの検出を回避する可能性が非常に高いです。カスタマイズされ、これまでなかった亜種を使用した標的型攻撃を正確に検出するには、高度なファイルアクセスパターンに基づいてランサムウェアを検出できる専用のアンチランサムウェアソリューションが必要です。このような検出技術は、最良のランサムウェア検出を提供し、シグネチャーベースのソリューションを上回ります。ランサムウェア対策において、専用のアンチランサムウェアがアンチウィルス技術より優れている理由についてはこちらをお読みください。

まとめ

ランサムウェア攻撃はきちんとした企業や機関を犠牲にして莫大な利益を生み出す広範かつ精巧なサイバー犯罪システムをサポートしています。ランサムウェアは、収益を得られる仕組みが有効で、データ流出のような他のサイバー犯罪活動よりも搾取がはるかに容易であることから、今後数年間は最大の脅威であり続けると見られています。標的型攻撃は、専門の攻撃者を必要とするより複雑かつ効果的で破壊的な攻撃をサポートするために独自の雇用とトレーニングシステムを持つ)犯罪組織の発展のために資金供給と支援を行います。Registerの記事(英語)には標的型攻撃についてとこれがどのようにサイバー犯罪組織をサポートしているかが書かれています。

TEMASOFT Ranstopにできること

TEMASOFT Ranstopは両方のタイプのランサムウェア攻撃を検出します。特に標的型攻撃におけるカスタム亜種や無差別大量型ランサムウェア攻撃においてゼロデイ亜種を処理する際に重要な支援を行います。Ranstopは検出機能とリアルタイムのファイル保護機能の組み合わせで、ランサムウェアインシデントから保護します。ダウンタイムはほぼゼロで重要ファイルが損失することはありません。

詳しくは製品紹介ページ・製品ガイドをご参照ください:

https://www.jtc-i.co.jp/product/ranstop/ranstop.html
https://www.jtc-i.co.jp/support/documents/presentation/productguide_ranstop.pdf

ダウンロード(評価版)

TEMASOFT Ranstopには評価版(15日間、機能制限なし)があります。ぜひお試しください。

https://www.jtc-i.co.jp/support/download/

お問合せ

購入前のTEMASOFT Ranstopについてのお問合せは以下から承っております。
ご不明な点やお気づきの点がございましたらお問い合せください。

https://www.jtc-i.co.jp/contact/scontact.php