ランサムウェア攻撃は、おおよそ5つの段階を経て行われます。それぞれの段階についてご説明しましょう。

最初の手段は常に侵入です。フィッシングメール、パッチ未適用の脆弱性、別の侵害で入手した認証情報、サプライチェーン内のベンダーが何週間も侵害されているのに誰も気づかない、といったケースが考えられます。ShinyHuntersはこれまで、サードパーティのSaaS（Snowflakeインスタンス、Salesforce組織、企業がプラットフォームに接続しているもののプラットフォームの一部とは考えていない統合機能など）から盗まれた認証情報を好んで利用してきました。今回Instructureがどのように攻撃されたのかはまだ正確には分かっていません。侵害から数か月後に初めて明らかになる詳細は、通常、企業が最も話したがらない部分です。

侵入後、マルウェアは何も破壊しません。ネットワーク内を歩き回ります。マルウェアはネットワークをマッピングし、どのようなサービスが存在するか、どのマシンがどのような権限を持っているか、バックアップはどこに保存されているか、どのマシンが他のマシンへの特権アクセス権を持っているかなどを把握します。この作業には数時間、場合によっては数日かかります。優秀な防御担当者はここで攻撃者を捕捉しますが、ほとんどの防御担当者は捕捉する機会すら得られません。

そして、この話で最も重要な動きが起こります。それは、データの外部へのコピーです。現代のランサムウェアは、単にファイルを暗号化するだけでなく、他の処理を行う前に、攻撃者が管理するサーバーにファイルをコピーします。これをデータ流出と呼びます。Canvasの侵害は、あらゆる公の見解において、暗号化の話というよりはデータ流出の話です。彼らはInstructureのシステムからデータを入手しました。それが彼らが握っている切り札なのです。

攻撃者が実際に暗号化を行うのは、コピーがネットワークから安全にオフになった後です。マルウェアが実行され、アクセスしたすべてのマシン上のすべてのファイルを暗号化し、攻撃者が持つ鍵がなければ開けないバージョンに置き換えます。これがシステムをダウンさせる原因です。（Instructureが料金を支払っていないにもかかわらず、大学でCanvasへのアクセスがダウンしたことに気づくでしょう。これは、攻撃者がロックを作動させたか、Instructureが防御的にシステムを遮断したかのどちらかです。午後11時に課題をアップロードしようとしている学生にとっては、どちらも同じように見えます。）

そして最後に、身代金要求のメッセージ。画面表示、ポップアップ、あらゆるディレクトリに置かれたテキストファイル。そこには、犯人が誰なのか、連絡方法、要求内容、そして要求に応じなかった場合に何が起こるかが書かれている。ほぼ必ず期限が設けられている。この期限は、技術的な理由というよりは心理的な理由によるものだ。いわば人質心理だ。

ここで注目していただきたいのは、ステップ3であるデータ流出は、システムをダウンさせる暗号化よりも前に発生するということです。身代金要求のメッセージが表示される頃には、既にデータは失われています。システムロックは別の問題です。たとえバックアップから完璧に復元できたとしても、既に他国の誰かのハードドライブに保存されているデータは復元できません。

そこが重要な点です。Canvasがオンラインに戻ったからといって、データが元に戻るわけではありません。