ランサムウェア攻撃は過去の脅威か
WannaCryなどによるインシデントが多発し、ランサムウェアへの警戒が高まった2017年前半と比較すると、2017年後半から2018年にかけては、ランサムウェア攻撃は下火となっているようにみえます。
そのせいか、ランサムウェアという用語を聞いたことがある人は増えているものの、内容の理解までは広がっていないのが実態です。
Security NEXT 「ビジネスパーソンの3割が「ランサムウェア」を認知- 内容理解は1割強」(2018/07/19)
http://www.security-next.com/095859
数は減ってもランサムウェア攻撃によるダメージは深刻化
2017年後半から2018年にかけて、ランサムウェア発生件数は減少傾向であるとの報告がある一方、攻撃対象は、不特定多数の個人から、企業や組織に移っており、社会インフラや企業の基幹システムが標的となって、よりダメージが深刻な攻撃へと移行しています。
さらに、最近のランサムウェア攻撃は身代金が取りやすい相手を選ぶ標的型となってきており、攻撃1件あたりの身代金額も、ダメージを受けた場合の被害額も大きくなっているのです。
復旧が長期化したアトランタ市
2018年3月22日に米アトランタ市で発生したランサムウェア攻撃とその被害は、私たちにランサムウェアの脅威と対策の重要性を、改めて教えてくれます。
アトランタ市が被害を受けたランサムウェアは、アトランタ市の基幹システムを支える424のソフトウェアプログラムのうちの約3分の1を攻撃し、広範囲のデータを暗号化しました。これにより、多くのオンラインサービスが停止し、一部の市職員においては、紙の書類を使っての手作業も余儀無くされました。
攻撃者は、身代金として51,000米ドル相当のビットコインを要求しましたが、アトランタ市は、身代金は支払わないと、最初から確固たる姿勢を貫きました。その後アトランタ市は、身代金よりはるかに高額な約260万米ドルを、システム復旧のために外部委託先に支払うことになるのですが。
被害の全体像については明らかにされていませんが、わかっているものとしては、警察で保有していた1年分のドライブレコーダーの映像が完全に失われ、事件や事故の証明に必要なデータが復元不可能となった、との被害があります。結局、アトランタ市でのランサムウェア攻撃による被害からの復旧は難航し、最終的な被害総額は1,700万米ドルにも上ると報告されています。
ITmedia「米アトランタ市、ランサムウェア攻撃で障害発生」(2018/03/23)
http://www.itmedia.co.jp/enterprise/articles/1803/23/news066.html
SC Media US “Atlanta ransomware recovery cost now at $17 million, reports say” (2018/08/06)
広範囲へ着実に攻撃を与える手口
アトランタ市のランサムウェア攻撃で使われたSamSamは、不特定多数にマルウェア付き電子メールを大量にばらまくような従来型の攻撃とは異なる、標的型ランサムウェアです。
SamSamの場合、攻撃者は、リモートデスクトッププロトコル(RDP)でアクセス可能なサーバーに不正ログインを行い、脆弱性のあるサーバーを探し、そのサーバーを踏み台にして、ネットワーク全体にランサムウェアを展開すると考えられています。つまり手作業でじっくり脆弱性を探し、そこから確実にランサムウェアをばらまいて、広範囲のデータを暗号化してしまうわけです。
バックアップがあってもダウンタイムは長期化
さらにSamSamの場合、たとえバックアップがあったとしても、復旧に時間がかかってしまうケースが多いのです。その理由の一つとして、データファイルだけでなく、OSやアプリケーションの稼働に必要な構成ファイルまで暗号化してしまうことが挙げられます。データファイルしかバックアップを取得していない場合は、OSやアプリケーションソフトの再インストールが必要になってしまいます。
さらに、米インディアナ州ハンコック病院は、2018年1月11日に受けたランサムウェア攻撃において、バックアップを取得していたのも関わらず、身代金を支払う、という苦渋の選択をしました。病院で日々必要とするような患者のデータをバックアップからの復旧に時間がかかりすぎると判断したからです。
このように、復旧までのダウンタイムが長期化しがちなことから、SamSamの攻撃対象としては、アトランタ市のような行政機関に加えて、医療・ヘルスケア、教育機関など、社会インフラや生命に関わる機関が多くなっています。こうした機関は復旧を急ぐために、身代金を支払う可能性が高いと、攻撃者は考えるからです。
高度化するランサムウェアの脅威に立ち向かうには
ここでご紹介した事例から私たちが学べるのは、ランサムウェアがどのような被害を及ぼす可能性があるかを理解した上で、「早期検知・遮断」と「早期復旧」の準備をしておくべき、ということです。
実はアトランタ市は、ランサムウェア攻撃以前に、セキュリティベンダーから、ネットワークの脆弱性についての警告を複数回受けていたとのこと。さらに脆弱性スキャンを毎月実行しており、その結果から1,500から2,000の脆弱性が見つかっていたにも関わらず、対策を怠っていたのです。残念ながらセキュリティ対策が形骸化していたことが、わかってきました。
このことからも、高度化するランサムウェアの脅威に立ち向かうにあたっても、リスクを低減させるために、基本的なセキュリティ対策は有効です。
たとえば、アトランタ市のSamSamのケースでは、不正侵入のためにRDPが使われているため、RDPの接続元を制限したり、必要なものについては、VPN経由でアクセスしたり、不正侵入による異常な回数のログイン試行がないかチェックしたり、などが有効でしょう。
さらに、アトランタ市が被害を受けたような、巧妙化したランサムウェア攻撃にも対抗できる対策が求められます。
そのためには、既知のマルウェアだけでなく、未知のマルウェアにも対応できる対策があればさらにリスクは低減できます。ここで紹介したランサムウェアSamSamもあくまで一例であり、次々と亜種、新種が生まれるからです。
とはいえ、完全にマルウェアを防御することは難しいため、万一被害を受けた場合を想定した対策も必要です。具体的には、早期に感染を検知する、検知したら即座に接続を遮断する、早期に復旧ができるようバックアップの取得と復旧方法を確立しておく、などの準備が重要です。
今回紹介したアトランタ市SamSamのケースからもわかるように、人手による復旧は難しく、かつ時間もかかってしまうため、検知・遮断・復旧を短時間に自動対応してくれるランサムウェア対策ソフトウェアを使用するのが効果的といえるでしょう。