感染するとパソコン内のファイルを勝手に暗号化され、復号するために身代金を要求されるランサムウエア。2018年においても引き続き大きな脅威であり、 独立行政法人 情報処理推進機構(IPA)による「情報セキュリティ10大脅威 2018」でも「個人」「組織」の双方で第2位にランクインしています。 企業にとっては、ランサムウエアによってファイルが暗号化されると業務がストップしてしまい、機会損失や売上の減少といった被害だけでなく、業種によっては社会的に大きな被害が及ぶことが考えられます。 今回はランサムウエアの被害や感染経路、対策のポイントについて考えてみます。
ランサムウエアの脅威が続いています。トレンドマイクロが発表した「2018年上半期セキュリティラウンドアップ:クラウド時代の認証情報を狙いフィッシング詐欺が急増」によれば、 2018年1月から6月の上半期ではランサムウエアの攻撃件数は減る傾向を見せたものの、同社が2016年8月に、国内法人ユーザを対象に実施した「企業におけるランサムウエア実態調査 2016」によると、 回答者の約4人に一人が「自組織がランサムウエアの攻撃に遭ったことがある」と回答しており、企業にとって身近な脅威であることに変わりはありません。
ファイルを暗号化され、身代金を要求されるランサムウエアの被害は、直接的には、ファイルが暗号化されることで「業務を続けることができなくなってしまう」ことにあります。
たとえば、2016年11月、サンフランシスコ市営鉄道(MUNI)がランサムウエアの被害に遭い、地下鉄の券売機内に保存されたデータが暗号化され、券売機が使用不能となる被害を受けました。
報道によれば、このとき人質に取られたコンピューターは2000台以上で、復号のための身代金として100ビットコイン(当時のレートで約7万ドル)を要求されたということです。
このように、社会の重要インフラがランサムウエアの被害を受けると、市民生活に重大な支障をきたす可能性があるのです。
また、2017年以降は大規模なランサムウエア攻撃もたびたび起きています。2017年5月には「WannaCry」(ワナクライ)が世界中で猛威をふるいました。 これは、マイクロソフトの脆弱性を修正した更新プログラムを適用していないWindows 7、Windows Server 2008、またはそれ以前のOSが標的となり、感染を広げたものです。
感染被害件数は、欧州警察機構(ユーロポール)の発表で少なくとも150か国・20万件以上ということで、日本でも国内を代表する製造業でランサムウエア感染の被害が確認されました。
同年10月に確認された「Bad Rabbit」(バッドラビット)は、ロシアの報道機関やウクライナの空港や地下鉄など、東欧諸国の企業や交通機関などを攻撃したことが明らかになったほか、 日本の企業でもホームページが一時閉鎖するなどの被害が報告されています。
ランサムウエアの代表的な感染経路は「メールからの感染」です。 メールの添付ファイルにランサムウエアが添付されているケースや、本文中に記載されたURLが悪意あるWebサイトにリンクしており、そこからランサムウエアに感染するケースです。
また、正規のWebサイトが改ざんされるケースや、細工された不正広告を閲覧することでランサムウエアに感染する「Webサイトからの感染」もあります。
前出の「Bad Rabbit」では、正規のWebサイトが改ざんされ、Webブラウザやプラグインなどの脆弱性を悪用した不正なコードが仕掛けられ、 Webサイトを閲覧しただけで感染するドライブバイダウンロードの手口が用いられました。
そして、「WannaCry」は、ネットワーク経由で脆弱性を解消していないパソコンを探し、自律的に感染を広げるワーム活動を行うことが明らかになっています。 社内にある脆弱性を解消していないWindows 7の端末や、サポートが終了したWindows XPの端末が標的となりました。
しかし、実際に社内にWindows XPの端末が何台残っているかをリアルタイムに把握することは難しく、これが適切な初動対応を妨げる原因になった企業もあったということです。
独立行政法人 情報処理推進機構(IPA)は「ランサムウエアの脅威と対策」の中で、ランサムウエアによる被害を軽減するためのポイントとして以下の3点を挙げています。
使用するソフトウエアのバージョンを最新に保ち、既知の脆弱性を解消します。
ウィルス対策ソフトを導入し、定義ファイルを常に最新の状態に保つことで、感染リスクを低減します。
メールやSNSなどに添付されたファイルを安易に開かないよう気をつけ、また、スパムフィルターなどによるチェックを行います。
その上で、ランサムウエア感染に備えた対策として、ファイルのバックアップを推奨しています。 その際、バックアップ先の装置や媒体はネットワークから切り離し、バックアップ時のみパソコンと接続することや、バックアップ先を複数用意すること、 そして、取得したバックアップデータがきちんと復元できるかどうか、定期的にチェックすることが重要です。
また、オーストラリア政府のサイバーセキュリティ機関である「The Australian Cyber Security Centre」(ACSC)は、 サイバーセキュリティインシデントを軽減するための戦略(「Strategies to Mitigate Cyber Security Incidents」)を公表し、この中で8つのポイントを挙げています。
その中から、ランサムウエア対策に関連が深いと思われる代表的な4つの項目を以下に示します。
利用するソフトのみを登録し、許可されていないソフトウエアの実行を禁止する対策を行います。
ソフトウエアのセキュリティの脆弱性を修正し、常に最新の状態を保ちます。
管理者権限が付された特権IDに対する認証を強化し、企業のITシステムへのアクセス制限を強化します。
ランサムウエアは、特性上、感染してファイルを暗号化されてしまってからでは遅いため、感染の事実を早く検知し、横に感染を広げない対応が求められます。
そのため、社内で利用するパソコンやサーバー、モバイルなどのデバイスの可視化やソフトウエアの脆弱性管理、使用できるアプリケーションの適切な制御などを行うことが重要なのです。