ホーム セキュリティー QRadar SIEM IBM Security QRadar SIEMを用いたランサムウェアの検出と防止
IBM Security® QRadar® SIEMは、データが人質に取られる前にランサムウェアを検出するのに役立ちます
デモに関するお問い合わせ
オフィスのホワイトボードに書く人
ランサムウェアの検出および対処

ランサムウェアはサイバー犯罪行為で最もやっかいなビジネスモデルの1つで、これによる組織への被害総額は毎年数十億米ドルにのぼっています。サイバー犯罪者はランサムウェア攻撃により、貴重なデータを盗んだり暗号化したりした上で、データを安全に返すために支払いを要求します。こうした攻撃は、消費者への迷惑行為から複雑な暗号化を行う高度なマルウェアへと進化しており、業界、地域、企業の規模を問わずすべての組織が攻撃の対象となっています。

今こうしている瞬間にも、より多くのファイルが暗号化され、より多くのデバイスが感染する可能性があり、それによる被害やコストを最小限に抑えるために、素早く対応してランサムウェアやその他のマルウェアから組織を保護する必要があります。IBM Security QRadar SIEMは、これらの脅威を迅速に検出するのに役立つため、情報に基づいたアクションを即時実行して、攻撃の影響を防止または最小限に抑えることができます。
ランサムウェアのリスクの詳細はこちら

「ランサムウェア対策決定版ガイド」を読む

「2022年度版データ侵害のコストに関する調査」を読む
「QRadar SIEMソリューションの概要」を入手する
ランサムウェアの脅威

ランサムウェア対策では、早期発見と予防が不可欠です。QRadar SIEMは、重大な脅威に対する要アクションの洞察を提供するインテリジェントなセキュリティー分析を提供します。

 21%

サイバー攻撃全体の21%はランサムウェア攻撃です¹

 4.54

ランサムウェア攻撃による平均被害額は454万米ドルです2

 146%

新コードを用いたLinuxでのランサムウェア攻撃件数が146%増加しました3
QRadar SIEMを用いたランサムウェア攻撃からの保護

ほとんどのマルウェア同様、ランサムウェアはいくつかのフェーズを経て攻撃を進めていきます。QRadar SIEMはこれらの各フェーズで既知および不明のランサムウェアの検出に役立ちます。早期発見により、損害を最小限に抑えることができます。これらの各フェーズでアラートを出せるよう、QRadarには無数のユースケースを含んだコンテンツ拡張機能があります。コンテンツ拡張機能はApp Exchangeを通じて実行され、最新のユースケースを取得できるようにしています。IBM Security® X-Force®脅威インテリジェンス・コレクション機能をユースケースの基準として使うことで、IPアドレスやマルウェア・ファイル・ハッシュ、URLなど、最新の既知のセキュリティー侵害インジケーター(IOC)を特定しています。

ほとんどの「既知の」マルウェアとランサムウェアは、初期段階で見つけることができます。不明のランサムウェアを検出するために、QRadar SIEMは、ランサムウェアの動作の検出にフォーカスしたユースケースを提供します。エンドポイント、アプリケーション・サーバー(オンプレミスおよびクラウド)、およびネットワーク・デバイス(ファイアウォール)を可視化することで、QRadar SIEM Use Case Managerは、ITおよびOTインフラストラクチャにまたがるランサムウェアの振る舞いのパターンを検出しています。Use Case Managerは、MITRE ATT&CKマトリックスを使用して、これらのフェーズにまたがるユースケースまたはルールがあるかどうかを視覚化するのに役立ちます。
配布フェーズ(MITRE ATT&CK戦術:初期アクセス)

ランサムウェアは、このフェーズでは他のマルウェアと変わりません。フィッシング手法により、Eメール、ハニーポット、ソーシャル・メディア、またはテキスト・メッセージング内のリンクまたは実行可能ファイルをクリックするよう、疑いを持たない従業員を導こうとします。

配布の振る舞いをや既知のランサムウェアを特定するためのQRadar SIEMのユースケースの例:

  • Eメールに埋め込まれた実行可能なファイル
  • 敵対するホストとのEメールまたはWebでの通信
  • 不審なEメールの件名
感染フェーズ(MITRE ATT&CK戦術:実行、永続性)

このフェーズではストップウォッチが始動します。ランサムウェアはすでに貴社の環境に存在しています。ランサムウェアが配布フェーズでの検出を回避するために「ドロッパー」を使用すれば、この時に、ドロッパーは呼び出しを行って「実行犯となる実行可能ファイル」をダウンロードし、それを実行します。

感染フェーズにあることを特定するためのQRadar SIEMのユースケースの例:

  • 悪意のあるファイルまたはプロセスの検出
  • 悪意のあるIOCの検出
  • ファイルのデコードまたはダウンロードに続いて行われる疑わしいアクティビティー
ステージングフェーズ(MITRE ATT&CK戦術:永続性、特権エスカレーション、防衛回避、資格情報へのアクセス)

ランサムウェアはコンピューターのスキャン、取得できる管理者権限の分析、ブート時の自動実行、復旧モードの無効化、シャドー・コピーの削除など、一連の動作を行います。

ステージングの振る舞いを特定するためのQRadar SIEMのユースケースの例:

    • シャドー・コピーやバックアップの削除の試み
    • ブート構成での復旧モードのディセーブリング
    偵察フェーズ(MITRE ATT&CK戦術:ディスカバリー、ラテラル・ムーブメント、コレクション)

    ランサムウェアは最初のフェーズ以降、コンピューターへの不正アクセスが可能になっており、ネットワーク(アタックパス)、事前定義された拡張子を持つファイルなどを偵察するフェーズに入ります。

    偵察の振る舞いを特定するためのQRadar SIEMのユースケースの例:

    • シャドー・コピーやバックアップの削除の試み
    • データ転送サイズの限界
         QRadarでのエンドポイント・モニタリングの要点
    暗号化フェーズ(MITRE ATT&CK戦術:データ漏洩、インパクト)

    ここからは実際に損害が発生します。具体的には、各ファイルのコピーの作成、コピーの暗号化、オリジナルロケーションへの新規ファイルの配置などが行われます。オリジナルファイルが盗み出され、システムから削除される可能性があります。これによりアタッカーはブリーチを公表する、または盗み出した文書を公開するなどと脅して、被害を受けた組織を恐喝します。

    暗号化フェーズにあることを特定するためのQRadar SIEMのユースケースの例:

    • 大量のファイルの削除または作成
    • 同じコンピューター上での不審な量のファイルの名前変更または移動(UNIX)
    • データ転送サイズの限界
         データ漏えいのモニタリングで助けが必要ですか?
    ランサム通知

    損害が発生し、ユーザーは復号化キーを取得するために身代金を支払う方法について記載された通知を受け取ります。この時点では、復号化命令ファイルの作成を除いて、検出できるものはそれほど多くありません。

    ランサム通知の振る舞いを特定するためのQRadar SIEMのユースケースの例:

    • ランサムウェア復号化命令ファイルの作成

    ランサムウェアを特定するユースケースは、 App Exchange にある次のコンテンツ拡張機能にあります(リンクは ibm.comの外にあります):

         各フェーズにおけるQRadar SIEMユースケースの詳細はこちら
    ランサム攻撃の計画立案

    感染フェーズに入ると、時間との戦いとなります。ランサムウェアの検出が早ければ早いほど、機能不良への応答(IR)計画を早く開始できます。IR計画が優れているほど、ランサムウェアが攻撃を進めるのをより迅速に阻止できます。 NIST(リンクはibm.comの外にあります)SANS(リンクはibm.comの外にあります)には、攻撃を受けたときに役立つIRガイドラインがあります。どのようなIR計画を立てる場合も重要なことがあります。

    バックアップを取っておく。 オフラインでバックアップを保管しておくことはランサムウェア攻撃への対策として極めて有効です。これらのバックアップの保管場所とシステムの復元方法を理解していることを確認しておきましょう。重大なIT資産ごとに攻撃を受けた際の連絡先や手順をIRプロセスに含めておきます。

    チーム、ツール、およびロールを明確にしておく。 ランサムウェアが初期感染から暗号化へとフェーズを進むにつれて、応答チームの構成が変化します。つまり、フェーズが進むにつれ、より多くの人が関与することになります。多くの場合、サード・パーティー・サービスの助けを借りる必要があり、実際にブリーチが起きれば、弁護士や規制当局、顧客に連絡しなければならない場合もあります。連絡先や連絡するタイミングを知ることがクリティカルです。連絡先リストを最新の状態に保つことも重要ですが、リストに記載される人々のロールを計画に明記しておくことも、効果的な応答に不可欠です。紙とPDFで保管しておけば十分ですが、チーム全体がランサムウェアの対応プロセス、アクション、および改訂履歴にアクセスできるよう、適切なツールを使用し、オートメーションを進めておくことが重要です。

    プロセスを明確にし、オートメーションを導入しておく。 IRプロセスにはさまざまなタスクを含めることができ、複数の意思決定点を明記しておくことができます。NISTとSANSがまとめたフェーズに適したプロセスを決めておくことをおすすめします。たとえば、次のフェーズごとにIRプロセスを整理できます。

    1. 発見と特定
    2. 強化と検証
    3. 封じ込めと修復
    4. 復旧と連絡

    QRadar SOARは、IRプロセスを定義し、フェーズが素早く進行する中でアナリストが実行すべきさまざまなアクションを自動化するためのプレイブックを提供します。QRadar SOARによるブリーチ応答では、公開された個人情報に基づいて必要な規制当局へのレポートタスクを作成できます。

    IT資産、所有者、個人情報のインベントリーを作成しておく。  システムが感染した場合、セキュリティー・アナリストはシステムの所有者、アプリケーション、および侵害を受けたデータの内容を知る必要があります。ServiceNowやSAPをはじめとする資産管理ソリューションは、システムで重要な連絡先を管理するのに役立ちます。IBM Security® Discover and Classifは、データ・ソースおよびソースごとに保管される個人情報を特定するのに役立ちます。したがって、データブリーチイベントが発生した場合、アナリストは規制当局への報告が必要かどうかを判断することができます。

     ランサムウェア攻撃に対する計画立案についての詳細はこちら
    お客様事例 脅威インテリジェンスにより都市の防衛能力を強化する

    ロサンゼルス市はLA Cyber Lab社およびIBMと連携し、脅威インテリジェンスにより、脆弱な地元企業を強化しました。

     QRadar SIEMを用いた脅威からの迅速な修復

    データ統合、ログ分析、およびインシデントの優先度付けを行うことにより、ベトナムの不動産投資開発会社は脅威を検出し、対応することができました。

     IBMソリューションを連携したサイバーセキュリティーの管理

    IBM FlashSystem®の高性能ストレージでQRadar SIEMソリューションをホスティングすることにより、Data Action社(DA)は代替バンクへのセキュリティー・サービスを強化しました。
    関連するユースケース

    QRadar SIEMによる中心からエンドポイントまでを対象とした脅威の検出は、さまざまな方法で組織を保護します。

         脅威ハンティング

    IBM Securityのサイバー脅威ハンティング・ソリューションをセキュリティー戦略に組み込むことで、脅威への対応と軽減がより迅速になります。

     コンプライアンス

    コンプライアンス・パックをQRadar SIEMに統合することで、コンプライアンスを確保し、レポート作成を自動化できます。

     脅威の検出

    QRadar SIEMによるほぼリアルタイムの脅威検出機能により、サイバー攻撃を迅速に阻止します。 
    次のステップ

    QRadar SIEMのカスタム・デモンストレーションを予約するか、当社の製品エキスパートにご相談ください。

    デモに関するお問い合わせ
    その他の参考情報 資料 サポート コミュニティー パートナー 参考情報