暗号ランサムウェアとは何ですか？

暗号化ランサムウェアはどのように機能しますか?

ランサムウェア攻撃は、最初のアクセスから身代金の支払いの要求まですべてを含む多段階のプロセスです。主な手順は次のとおりです。

感染方法

ファイルを暗号化するには、ランサムウェアは被害者のマシン上のファイルにアクセスする必要があります。一般的な攻撃ベクトルには次のようなものがあります。

• フィッシング メール:フィッシング メールはソーシャル エンジニアリングを使用して受信者を騙し、マルウェアをインストールさせます。電子メールには、マルウェアに感染した添付ファイルが含まれていたり、感染した Web ページを指す悪意のあるリンクが含まれていたりする可能性があります。
• 悪意のある Web サイト: Web サイトにはダウンロード可能なマルウェアが含まれている可能性があります。多くの場合、これにはトロイの木馬が関係します。トロイの木馬は、正規のソフトウェアを装いながら実際にはユーザーのコンピュータに感染するマルウェアです。
• 侵害されたアカウント:ランサムウェアの運営者は、侵害されたユーザー アカウントを使用してマルウェアを展開することもあります。パスワードが推測されたり侵害されたりすると、攻撃者は RDP または VPN 経由でログインし、企業システムにマルウェアを植え付けることができます。

暗号化プロセス

ほとんどのランサムウェアは、対称暗号化アルゴリズムと非対称暗号化アルゴリズムの組み合わせを使用します。

対称暗号化は、バルク暗号化に非常に効率的です。ランサムウェアはこれを利用してファイルを暗号化し、所有者によるファイルへのアクセスを拒否します。非対称暗号化は対称暗号化キーを保護するために使用されます。公開鍵がマルウェアにバンドルされている場合、ランサムウェアは対称暗号化鍵を暗号化して、暗号化されたファイルと一緒に保存できます。攻撃者は秘密鍵のコピーのみを保持し、被害者が身代金を支払った後、それを使用して対称鍵を復号化できます。

ランサムウェアの暗号化プロセスも進化しています。たとえば、一部のランサムウェアの亜種はファイルの一部のみを暗号化します。これにより、暗号化プロセスがより迅速に実行され、中断のリスクが減少しますが、ファイルは使用できなくなります。

身代金要求書と要求

ファイルの暗号化が完了すると、ランサムウェアは被害者に身代金要求メッセージを表示します。これらは通常、被害者にランサムウェアに感染したことを通知し、身代金の支払い方法に関する情報を提供します。

暗号通貨での支払い

Crypto ランサムウェアは支払いに暗号通貨を使用します。被害者が身代金を支払うことを選択した場合、暗号通貨を購入し、それを攻撃者のアカウントに送金することになりますが、そのアドレスは身代金要求メッセージに記載されている可能性があります。次に、攻撃者は被害者の暗号化されたファイルを復元するために使用できる復号ツールを提供する必要があります。

身代金の支払いに暗号通貨が使われる理由

暗号通貨が身代金の支払いに使われるのには、いくつかの理由があります。主な理由は、彼らは匿名であり、中央銀行システムとは関係がないことです。ユーザーの暗号通貨アカウントは、顧客確認（KYC）を必要とする取引所を経由しない限り、現実世界の身元にリンクされません。その結果、暗号通貨の支払いを受取人まで追跡することが困難になり、攻撃者による検出が防止されます。

チェック・ポイントによるランサムウェア攻撃の防止

ランサムウェアは、データの損失や組織への重大な経済的損失の可能性があるため、企業にとって大きな脅威として浮上しています。組織がこの脅威にさらされないように管理する方法の詳細については、 「ランサムウェア防止の CISO ガイド」をご覧ください。

Check Point’s Check Point Endpoint Security protects organizations against ransomware and other threats, including those outlined in the Cyber Security Report. To learn how Check Point Endpoint Security can help strengthen your organization’s endpoint security, register for a free demo today.