ランサムウェア.

ランサムウェアはファイル、データベース、仮想マシン、ストレージボリューム全体などを暗号化し、復号鍵と引き換えに暗号資産での支払いを要求する脅迫メッセージを表示する。現代のオペレーターは通常「二重脅迫」キャンペーンを展開する。暗号化に先立ってデータを窃取し、支払いを拒んだ場合にはリークサイトで公開すると脅すのである。初期侵入は通常、フィッシング、公開された RDP/VPN ポータル、ソフトウェア脆弱性、漏洩した認証情報などを通じて行われる。

実際のキャンペーンがこのパターンを物語っている。WannaCry(2017 年 5 月)は EternalBlue という SMB の脆弱性を悪用してネットワーク間をワームのように拡散した。Colonial Pipeline 事件(2021 年 5 月)は、DarkSide のアフィリエイトが MFA のない漏洩した VPN パスワードを使って侵入したことで発生し、米国東海岸全域の燃料供給を停止させた。その数週間後には、REvil が Kaseya の VSA 管理ソフトウェアのゼロデイ脆弱性(CVE-2021-30116)を悪用し、単一のサプライチェーン攻撃で 800 から 1,500 の企業へ下流にランサムウェアを配布したうえで、7,000 万ドルの一括復号ツールを要求した。

flowchart LR
  A[初期侵入<br/>フィッシング・RDP・VPN] --> B[偵察と権限昇格]
  B --> C[データ持ち出し]
  C --> D[大規模暗号化]
  D --> E[脅迫メッセージとリークサイトでの脅し]
  E --> F{被害者は支払うか}
  F -->|はい| G[復号ツールが提供される場合あり]
  F -->|いいえ| H[データ漏洩またはシステム喪失]

有効な対策には、オフラインかつ改変不能なバックアップ、EDR/XDR、すべてのリモートアクセスへの MFA、迅速なパッチ適用、ネットワーク分離、最小権限アカウント、訓練済みのインシデント対応計画が含まれる。支払いは復旧を保証せず、さらなる攻撃の資金源になり得る。