二重ランサムウェア攻撃|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. 二重ランサムウェア攻撃
             

二重ランサムウェア攻撃

二重ランサムウェア攻撃(Double Extortion Ransomware Attack)とは、ランサムウェア攻撃者がデータを暗号化するだけでなく、そのデータを事前に盗み出し、被害者を二重に脅迫する攻撃手法です。具体的には、被害者のデータを暗号化してアクセス不能にした上で、さらにそのデータを外部に流出させると脅迫し、身代金の支払いを要求します。このため「二重脅迫型ランサムウェア攻撃」とも呼ばれ、攻撃の脅威が従来のランサムウェアよりも増しています。

従来のランサムウェア攻撃では、攻撃者はデータを暗号化し、それを解除するための復号鍵を渡す代わりに金銭を要求するものでした。しかし、二重ランサムウェア攻撃では、データの「暗号化」と「公開」を組み合わせ、支払いを拒否した場合にそのデータをインターネット上に公開することを示唆して被害者を脅迫します。

二重ランサムウェア攻撃の手口

二重ランサムウェア攻撃は、主に以下のような手順で行われます。

  1. 初期アクセスの取得
    攻撃者は、フィッシングメールや脆弱性の悪用、不正なリモートアクセスなどでネットワークに侵入します。特にVPNやリモートデスクトッププロトコル(RDP)の脆弱性を狙うことが多いです。
  2. データの盗難
    ネットワーク内部にアクセスできると、まずは被害者の重要なデータを探索・収集し、攻撃者のサーバーに転送します。このデータには、顧客情報、財務記録、従業員の個人情報などが含まれることがあり、攻撃の脅迫材料となります。
  3. データの暗号化
    データを盗み出した後、攻撃者はシステム内のデータを暗号化し、被害者が業務にアクセスできないようにします。これにより、被害者は業務の停止やデータの喪失のリスクに直面します。
  4. 二重の脅迫
    被害者には、暗号化されたデータを復号するための鍵の提供と引き換えに身代金が要求されます。また、身代金の支払いを拒否した場合、盗み出したデータを公開する、あるいは競合企業や個人に売り渡すと脅されることが一般的です。これにより、被害者には情報漏洩と業務停止という二重のリスクがのしかかります。
  5. 身代金支払い後も残るリスク
    仮に被害者が身代金を支払ったとしても、攻撃者がデータのコピーを保持している可能性があり、後から再び脅迫を受けるリスクもあります。

二重ランサムウェア攻撃の目的

二重ランサムウェア攻撃の目的は、被害者に対してより強い圧力をかけ、身代金を確実に支払わせることです。データを暗号化してもバックアップがあれば復旧できるため、従来のランサムウェア攻撃だけでは被害者が支払いを拒否するケースも増えてきました。そのため、バックアップでは対応しきれない「情報漏洩の脅し」を加え、金銭を得る確率を上げています。

また、二重ランサムウェア攻撃は、被害者の信頼性やブランド価値をも損なう目的を持っていることもあります。たとえば、顧客の個人情報や企業の財務情報が流出することで、企業は信用を失い、長期的な損害を被る可能性があります。

二重ランサムウェア攻撃によるリスク

二重ランサムウェア攻撃が成功すると、以下のような深刻なリスクが発生します。

  • 業務停止リスク
    データが暗号化されると、業務が停止してしまい、事業運営に大きな支障が生じます。特に重要なデータが暗号化された場合、復旧までの時間とコストが増大します。
  • データ漏洩のリスク
    データの公開を通じて、顧客や従業員、ビジネスパートナーの機密情報が漏洩する可能性があります。情報漏洩は、個人のプライバシー侵害だけでなく、法的な問題を引き起こす原因にもなります。
  • 経済的損失
    身代金の支払いに加え、業務停止や情報漏洩対応、顧客の信用回復といった対策に多額のコストが発生します。
  • ブランドイメージの悪化
    顧客や取引先からの信頼が低下し、ブランドイメージが傷つきます。これにより、長期的な売上や顧客離れのリスクも高まります。
  • 再攻撃のリスク
    身代金を支払っても、攻撃者がデータのコピーを保持している可能性があり、同じデータを使って再び脅迫される恐れがあります。また、同じ攻撃手法が他の攻撃者に模倣される可能性も高まります。

二重ランサムウェア攻撃の対策

二重ランサムウェア攻撃に対しては、予防的なセキュリティ対策が非常に重要です。以下の対策が有効とされています。

1. データのバックアップとリカバリ対策

定期的なデータバックアップを行い、異なるネットワーク上に保管することで、ランサムウェアの暗号化から迅速に復旧できるようにします。加えて、復旧手順を整備し、リカバリ手順が確立されているか確認します。

2. データ漏洩対策と暗号化

データ自体を暗号化することで、データが盗み出された場合でも、復号鍵を持つ者以外がその内容を理解できないようにします。さらに、データ漏洩防止(DLP)ソリューションを導入し、機密情報が外部に漏洩しないようにします。

3. 多要素認証とアクセス制御

重要システムやネットワークへのアクセスには多要素認証(MFA)を導入し、内部外部問わず不正アクセスを防ぎます。また、アクセス権限を最小限に抑え、不要な権限を持つユーザーを削減します。

4. セキュリティパッチの適用と脆弱性管理

セキュリティパッチを定期的に適用し、システムやソフトウェアの脆弱性を解消します。特に、VPNやRDPなどリモートアクセス手段の脆弱性は狙われやすいため、迅速な対応が必要です。

5. セキュリティ教育と訓練

従業員に対し、フィッシング攻撃やランサムウェアの手口に関する教育を行い、不審なメールやリンクを開かないように周知します。また、サイバー攻撃への対応訓練を定期的に実施し、組織全体の防御力を高めます。

6. セキュリティ監視とインシデント対応体制の整備

リアルタイムでのセキュリティ監視体制を導入し、異常な挙動や不正アクセスを早期に検出します。また、インシデントが発生した際に迅速な対応ができるよう、対応手順とチームの役割分担を明確にしておきます。

まとめ

二重ランサムウェア攻撃は、データの暗号化と漏洩の脅しによって、被害者に二重の圧力をかける非常に悪質な攻撃です。被害者は業務停止や情報漏洩による信用失墜のリスクにさらされるため、早急な対応とリスク軽減策が求められます。定期的なバックアップや多要素認証の導入、セキュリティ教育の強化など、予防的な対策を徹底することで、二重ランサムウェア攻撃へのリスクを最小限に抑えることが可能です。また、インシデント発生時の対応準備も行い、攻撃が発生した場合にも迅速に対応できるよう体制を整えることが重要です。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。