ランサムウェアの上を行くためのクイックガイド

暗号化ランサムウェアが企業を活動停止に追い込み、セキュリティ関連の記事の見出しを賑わせている。ランサムウェアの実態と、その被害から組織を守る方法をまとめた。

エンドポイントプロテクション, ビジネスセキュリティのベストプラクティス // 2016-06-15

2015年の末、当社のセキュリティ・アドバイザーであるショーン・サリバンは、2016年が恐喝の年となると予測した。今のところ、その予測が見事に的中している。この数ヶ月間、暗号化ランサムウェアがセキュリティ関連ニュースの見出しを賑わし、規模の大小を問わず、企業や組織を活動停止に追い込んでいる。対応策が見つからず、身代金を支払わざるを得ないケースが増えている。身代金を払うことでコンピュータをネットワークに復帰させることはできるが、同時にデータを人質にしたサイバー犯罪者の恐喝を奨励していることにもなる。

暗号化ランサムウェアの実態と、その被害から組織を保護する方法をクイックガイドとしてまとめたので参照してほしい。

ランサムウェアの使われ方

暗号型ランサムウェアは、コンピュータ上のファイルを暗号化することにより、通常は解読用の鍵がないとユーザーがアクセスできないように暗号化してしまう。解読用の鍵を入手するには身代金の支払いが必要となる。いったんこのマルウェアに感染すると、これがネットワーク上の他の機種にも拡がり、日常業務が停止状態に追い込まれる。

身代金はビットコインでの支払い指定が多く、これは追跡が困難な仮想通貨である。攻撃する側は通常、支払期限を設定する。期限を過ぎると要求額が増えるケースが多く、新たに次の期限が設定される。2回目の期限までに支払いがされない場合、解読用の鍵は完全に削除される可能性が高い。鍵が削除されれば、データの修復は不可能となりかねない。

ランサムウェアの感染の仕組み

ユーザーがランサムウェアに遭遇するケースはさまざまだ。最も一般的なのが電子メール経由であり、添付ファイルとして送られる。そのファイルは通常、緊急の用件や好意的な内容の文書ファイルを装ったものや、紛らわしい名称のZIP形式等の圧縮ファイルで送られる。ユーザーが騙されて添付ファイルを開封し、悪意のあるファイルを実行するという仕掛けだ。また、添付ファイルだけではなく、電子メール内の悪意のあるリンクをクリックすることでも拡散される。

さらには、エクスプロイトキットのペイロードにランサムウェアを忍ばせる手口も多い。ユーザーは、改ざんされた感染用ウェブサイトにアクセスしたり、悪意のあるサイトへの自動転送(電子メールのリンク経由等)によってエクスプロイトキットに感染することがある。エクスプロイトキットはコンピュータの内部を探り、古いソフトウェアに多い攻撃可能な欠陥や脆弱性を見つけ出す。ひとつでもそれが見つかると、キットによってそのコンピュータにランサムウェアがダウンロードされ、インストールされてしまう。平均的なユーザーであれば、まったく気付かれずにこれが実行できてしまう。

企業への被害

要求される身代金の通常額は、コンピュータ1台につき300~500米ドルだ。20台が感染すれば1万ドルにのぼる。また、特定企業を狙ってランサムウェア攻撃を行うサイバー犯罪者は、彼らが望む額を一括で要求することもある。

しかしながら、要求される身代金の額は実際の損害額からすればほんの一部にすぎない。本当の被害は、ネットワークの稼働停止による損失(生産性の損失や営業の機会損失、顧客満足度やブランドイメージの低下等)や、その復旧費用(攻撃への対応や修復、システムの入れ替え等に要するリソース等)にある。

ファイルを元に戻す方法

エフセキュアは身代金の支払いは推奨しない。支払うことで会社のシステムを復旧させるのもひとつの手段ではあるが、ファイルを元に戻すより良い方法は、実は攻撃を受ける前の対応から始まる。つまり、定期的にバックアップしておくことだ。そうしておけば、仮に攻撃を受けてしまったとしても慌てることはない。バックアップから復旧できるからである。すべての人が作業内容をバックアップしていれば、ランサムウェアはハッカーのビジネスモデルから消えてなくなるはずである。

また、自分のファイルがランサムウェアの餌食となり、しかもそのバックアップがない場合であっても、ネットワークにアクセスし、該当するランサムウェアの解読用ツールがあるかどうか調べる価値はある。解読ツールはランサムウェアの初期タイプ用しかないケースも多いが、対応の手始めとしては悪くない。忘れてほしくないのは、攻撃する側は解読ツールがないランサムウェアが使えるよう、手口を常に最新にしているということだ。

これとは別に、被害に遭ったケースをBleeping Computerのようなヘルプフォーラムの場で共有することも有用となることがある。こうしたフォーラムには、LockyTeslaCryptCryptoWallPetya、CryptXXX、Locker等、数々のランサムウェアに関するヘルプ用のスレッドが立っている。

ランサムウェアの被害を防ぐ方法

予防は最良の治療と言われるが、それはランサムウェアにも当てはまる。ランサムウェアへの対応や回避のための予防策を講じておくことで、安心は増す。以下がエフセキュアの推奨する企業用の予防策である。

  • データは定期的にバックアップしておくこと。感染を防ぐため、バックアップはオフラインの場所に保存する。定期的にバックアップの復元を試験し、きちんと機能するかどうか確認しておく。バックアップをしておけば、仮に攻撃を受けたとしてもハッカーに渋々現金を渡す必要もなく、感染から早く立ち直ることができる。
  • すべてのエンドポイントをカバーし、多層式の保護策を施す堅牢なセキュリティソリューションの実行を徹底すること。エフセキュアの企業向け保護サービスは、存在する既知の全ランサムウェアから保護する多層保護方式を採用し、新たなゼロデイ型の脅威も遮断する。新種のランサムウェアが昨今登場しており、このサービスが重要となる。
  • エクスプロイトを未然に防ぐため、全エンドポイントのソフトウェアを常時アップデートしておくこと。エフセキュア・ソフトウェアアップデータ(企業向け保護サービスに含まれる)等、自動パッチ管理を使えば簡単である。
  • ランサムウェアの拡散に使われる騙しの手口について、社員教育を実施すること。電子メールの添付ファイルやリンク、特に不審な送信元からのものを警戒するよう教える。会社のデータを保護する各自の責任を、社員が意識するよう徹底する。
  • ブラウザのプラグイン使用を制限すること。エクスプロイトが多用されているFlash PlayerやSilverlight等は、使用時以外は無効にしておく。
  • アクセス権限管理を徹底すること。管理者アカウントの使用を権限者のみに制限することはもちろん、権限者であったとしても、必要時以外は管理者アカウントを使用しないようにすることが極めて重要となる。また、ファイルやディレクトリ、ネットワークの共有許可については、必要以上のアクセス許可を与えない設定にする。例えば、特定のファイルの閲覧のみが必要なユーザーには、書き込み権限は必要ない。
  • 各種のプログラムがランサムウェアでよく使われるフォルダ(一般的なブラウザが使うTEMPフォルダ等)から起動できないよう、アプリケーションコントロールを導入すること。また、既知または承認済みのプログラム以外は実行できないよう、ホワイトリストを使う。
  • データはカテゴリー化し、分散化すること。ネットワークとデータは事業部ごとに分離し、ネットワーク内のデータの移動を制限すること。
  • 電子メール経由で配信されたOffice系ファイルのマクロ実行を無効にすること。
  • 電子メールのフィルタリングが可能なメールゲートウェイを使用し、実行形式の添付ファイルをブロックする設定にすること。

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中