TR-4802 :『 FlexPod 、 the 解決策 to Ransomware 』
ネットアップ、 Arvind Ramakrinan 氏
協力:
ランサムウェアを理解するには、まず暗号化の重要なポイントを理解する必要があります。Cryptographical メソッドでは、共有秘密鍵(対称鍵暗号化)または鍵のペア(非対称鍵暗号化)を使用してデータを暗号化できます。このうちの 1 つは広く利用されている公開鍵で、もう 1 つは非公開の秘密鍵です。
ランサムウェアは、暗号化を使用して悪意のあるソフトウェアを構築する、暗号化に基づくマルウェアの一種です。このマルウェアは、対称キー暗号化と非対称キー暗号化の両方を利用して、被害者のデータをロックし、被害者のデータを復号化するための鍵を提供するように身代金を要求できます。
ランサムウェアの仕組み
次の手順では、ランサムウェアが暗号化を使用して、被害者による復号化やリカバリの範囲を伴わずに被害者のデータを暗号化する方法について説明します。
-
攻撃者は、非対称キー暗号化のようにキーペアを生成します。生成された公開鍵はマルウェア内に置かれ、マルウェアは解放されます。
-
被害者のコンピュータまたはシステムにマルウェアが侵入すると、擬似乱数生成器( PRNG )またはその他の実行可能な乱数生成アルゴリズムを使用してランダムな対称キーが生成されます。
-
マルウェアは、この対称キーを使用して被害者のデータを暗号化します。最終的には、マルウェアに埋め込まれた攻撃者の公開鍵を使用して、対称キーを暗号化します。このステップの出力は、暗号化された対称キーの非対称暗号テキストと、被害者のデータの対称暗号テキストです。
-
マルウェアは、被害者のデータとデータの暗号化に使用された対称キーをゼロ化(消去)し、リカバリの対象範囲を残しません。
-
これで、対称キーの非対称暗号テキストと、データの暗号化に使用された対称キーを取得するために支払わなければならない身代金の値が、 Victim に表示されます。
-
被害者は身代金を支払って、攻撃者と非対称暗号テキストを共有します。攻撃者は自分の秘密鍵を使って暗号テキストを復号化し、その結果対称鍵が生成されます。
-
攻撃者はこの対称キーを攻撃者と共有します。このキーを使用して、すべてのデータを復号化し、攻撃から回復できます。
課題
個人や組織がランサムウェア攻撃を受けた場合、次のような課題に直面します。
-
最も重要な課題は、組織または個人の生産性を即座に低下させることです。重要なファイルはすべて回復する必要があり、システムを保護する必要があるため、正常な状態に戻るのに時間がかかります。
-
クライアントまたは顧客に属する機密情報を含むデータ侵害が発生し、組織が明確に回避したいという危機的状況につながる可能性があります。
-
データが間違った手に入ったり、完全に消去されたりする可能性は非常に高いため、企業や個人にとって災害となる可能性のあるリターンポイントをゼロにすることができます。
-
身代金を支払った後、攻撃者がデータを復元するための鍵を提供する保証はありません。
-
身代金を支払っても機密データのブロードキャストを控えることは、攻撃者に保証されていません。
-
大規模な企業では、ランサムウェア攻撃の原因となった抜け穴を特定するのは面倒であり、すべてのシステムを保護するには多くの労力が必要です。
誰がリスクにさらされているか?
個人や大企業など、誰もがランサムウェア攻撃を受ける可能性があります。適切に定義されたセキュリティ対策や慣行を実装していない組織は、このような攻撃に対してさらに脆弱です。攻撃が大規模な組織に与える影響は、個人が耐えうる攻撃の数倍にも及ぶ可能性があります。
ランサムウェア攻撃はすべてのマルウェア攻撃の約 28% を占めています。つまり、マルウェアのインシデントが 4 つに 1 つ以上あり、ランサムウェア攻撃と言えます。ランサムウェアはインターネットを介して自動的に、または無差別に拡散する可能性があります。また、セキュリティ上の問題が発生した場合は、被害者のシステムに入り、他の接続されたシステムへの拡散を継続できます。攻撃者は、多くのファイル共有を実行したり、機密性の高い重要なデータを大量に取得したり、攻撃に対する保護を適切に維持したりする人や組織を標的にしている傾向があります。
攻撃者は、次の潜在的なターゲットに集中する傾向があります。
-
大学と学生コミュニティ
-
政府機関、政府機関
-
病院
-
銀行
これはターゲットの完全なリストではありません。これらのカテゴリのいずれかに該当しない場合は、攻撃から自分を守ることはできません。
ランサムウェアによるシステムへの移行やデータの拡散について教えてください。
ランサムウェアがシステムに移行したり、他のシステムに拡散したりする方法はいくつかあります。今日の世界では、ほとんどすべてのシステムがインターネット、 LAN 、 WAN などを介して相互に接続されています。これらのシステム間で生成および交換されるデータ量は増加しています。
ランサムウェアが拡散する最も一般的な方法には、データの共有やアクセスに日常的に使用する方法があります。
-
E メール
-
P2P ネットワーク
-
ファイルのダウンロード
-
ソーシャルネットワーキング
-
モバイルデバイス
-
安全でないパブリックネットワークに接続しています
-
Web URL へのアクセス
データ損失の影響
データ損失の影響は、企業が予想する以上に広範囲に及ぶ可能性があります。この影響は、ダウンタイムの期間、または組織がデータにアクセスできない期間によって異なります。攻撃が長ければ長いほど、組織の収益、ブランド、評判への影響は大きくなります。また、組織は法的な問題に直面し、生産性が大幅に低下する可能性もあります。
これらの問題は時間の経過とともに継続して発生するため、攻撃に対する対応方法によっては、拡大が始まり、組織の文化が変化する可能性があります。今日の世界では、組織に関する情報が急速に広まり、否定的なニュースが原因によってその評判に永久的な損害を与える可能性があります。企業は、データ損失に対する大きなペナルティに直面する可能性があり、結果としてビジネスの停止につながる可能性があります。
財務的影響
最近の "McAfee レポート"サイバー犯罪によって発生するグローバルコストは約 6 億ドルで、世界の GDP の約 0.8 %に相当します。この金額を世界的に増加するインターネット経済の 4.2 兆ドルと比較すると、成長に 14% の税金がかかることになります。
ランサムウェア攻撃は、このような金銭的コストを大幅に負担します。2018 年には、ランサムウェア攻撃によって発生したコストは約 80 億ドルでした。 2019 年には 115 億ドルに達すると予測されています。
解決策とは何ですか?
ダウンタイムを最小限に抑えたランサムウェア攻撃からのリカバリは、プロアクティブなディザスタリカバリ計画を実装することでのみ可能です。攻撃から回復する機能は優れていますが、攻撃を完全に阻止することが理想的です。
攻撃を防止するためにレビューと修正が必要な領域はいくつかありますが、攻撃を防止または復旧するためのコアコンポーネントはデータセンターです。
ネットワーク、コンピューティング、ストレージのエンドポイントを保護するデータセンターの設計と機能は、日常業務の安全な環境を構築する上で重要な役割を果たします。このドキュメントでは、 FlexPod ハイブリッドクラウドインフラストラクチャの機能が、攻撃の発生時に迅速にデータをリカバリするのにどのように役立つか、また攻撃を防御するのにどのように役立つかを説明します。