Blog

Blog

View
ランサムウェアへの警戒を続けよう
作成日時 22/03/17 (14:31) View 2711

 

“台風”は去っても鎮静化せず

 

コンピュータに保存されたファイルに暗号化などの操作を施して使用不能にし、元に戻すための身代金(ランサム)を要求する「ランサムウェア」による被害が後を絶ちません。2017年に比べると鎮静化した印象はありますが、「WannaCry」が猛威を振るった17年夏の状況は、“瞬間最大風速”のようなもので、企業を狙う攻撃手法としては、依然危険水域にあります。

WannaCryなどの大きな被害を出したマルウェアの亜種は頻出し、新手の攻撃手法も出てきています。このような状況を受け、IPA(情報処理推進機構)では、今後もランサムウェアの脅威が予想されるとして、2018年2月に「ランサムウェア対策特設ページ」を開設しました。今回は最近の事案を確認しながら、ランサムウェアの現状と対策を考えてみましょう。

 

 

 

脅威ランクは依然として最上級

 

IPAが2018年3月に公開した「情報セキュリティ10大脅威 2018」では、「ランサムウェアによる被害」は個人と法人の分野で、いずれも2位にランクされています(図1)。

 

 

図1:情報セキュリティ10大脅威 2018 (出典:IPA)

 

 

 

また、同年1月に公開した「コンピュータウイルス・不正アクセスの届出状況および相談状況(2017年第4四半期)」では、ランサムウェアに関する相談件数は14件で、うち10件は被害ありとされています(図2)。

 

 

図2: 「ランサムウェア」相談件数の推移
出典:IPAコンピュータウイルス・不正アクセスの届出状況および相談状況

 

 

 

 

教育機関や医療施設も標的に

 

最近はランサムウェアの標的が拡がり、一般の企業だけでなく、教育機関や病院などが被害を受けた事例もいくつか公になっています。
2017年12月には、新潟大学医師学総合病院で、患者の個人情報が記録されたPCがランサムウェアにより暗号化される被害が発生しました。2018年3月には、中部大学で授業受講者などの個人情報が保存されたPCとファイルサーバーがランサムウェアに感染する被害も出ています。

米国でも2018年1月に大きな事件が起きています。国内でも報道されましたが、インディアナ州のハンコックヘルス病院が、「SamSam」というランサムウェアの亜種に感染し、患者を守るためのやむを得ない選択として、身代金を払ってシステムを復旧させました。
SamSamは、医療施設や教育機関を中心に狙うランサムウェアです。これらの事件に見られるように、大企業を中心に狙う無差別攻撃に加え、特定の業種を標的にする攻撃が目立つようになった点は、最近の傾向と言えそうです。

 

 

 

PCをロックする悪質なマルウェアも

 

攻撃の手法も少しずつ変わってきています。当初のランサムウェアは、ファイルを暗号化して、復号化するキーの開示と引き換えに金銭を要求する手口でしたが、その後、コンピュータをロックして、身代金を支払わないとデータを削除すると脅すタイプが現れました。
昨年、WannaCryと並んで大きな被害を出したのが、PCを起動するためのファイルを暗号化して、金銭を要求する「Petya」です。Petyaはプログラムに“バグ”があったとされ、ロックを解除できるツールが公開されていったんは鎮静化しましたが、その後は亜種による被害も拡がりました。

 

 

 

感染経路も拡大

 

ランサムウェアの感染経路も、当初はメールの添付ファイルが大半でしたが、Webアクセスや企業ネットワークを介して拡散するタイプも増えました。Webアクセスは、OSやアプリケーションの脆弱性を利用する手口で、脆弱性を抱えたまま改ざんされたサイトにアクセスすると、ランサムウェアがインストールされてしまいます。
LANなどのネットワークを経由する攻撃は、感染したPCから別のPCに自分自身を複写する「ワーム」の機能を使うもので、WannaCryもこのタイプでした。現在は、攻撃者にとって感染を拡げやすいワームの機能も備えた攻撃が増えています。

 

 

 

スマートフォンも標的に

 

2016年頃からは、スマートフォンを狙う攻撃も出現しています。その一つが、Android OSを標的にした「Android Locker」。これに感染してしまうと、端末がロックし、身代金の支払いを促すボタン以外の操作ができなくなります。
感染後に表示される画面では「法務省」を偽装し、通信サービスの利用時に違反があったため、“罰金”を支払うように要求する稚拙なものですが、ランサムウェアの存在を知らない人には、冷静な対処は難しいでしょう。

さらに悪質な存在が「Leaker Locker」です。感染すると、スマートフォンに保存した写真やSNSに書いたメッセージなどのデータが盗まれ、身代金を払わないとアドレス帳に記録されたすべての相手に送りつけるという要求を出してきます。
スマートフォンを標的にした攻撃は、“ファイルを暗号化し、復号化するキーと引き換えに身代金を要求する”という旧来のランサムウェアの定義からは外れたものです。ランサムウェア対策の基本はバックアップですが、Leaker Lockerの場合、感染した時点でデータは盗まれていますから、バックアップも意味をなしません。

 

  

次の標的はIoT?

 

企業ネットワークには、PCやモバイル端末に加え、いろいろなオフィス機器、入退室を管理するシステム、監視カメラなどが接続されています。家庭でも、情報機器だけでなく、エアコンなどの家電製品や防犯システムなどもインターネットにつながる環境、IoT(Internet of Things)が拡がってきました。

スマートフォンの次は、IoTがランサムウェアの標的になる可能性があります。例えば、空調やゲーム機、Webカメラ、スマートスピーカーなど、ネットワークにつながる機器をロックして、コントローラーの画面などに、身代金を要求するメッセージを出す手口が考えらます。

 

 

 

ランサムウェアが鎮静化しない理由は?

 

ここから先は、ランサムウェアが鎮静化しない理由とその対策を考えていきましょう。まず、このマルウェアが脅威であり続ける理由として、攻撃を実践しやすい環境が整った点が挙げられます。

一つは匿名化通信の普及です。攻撃者の多くは、IPアドレスや接続経路を匿名化する「Tor(The onion router)」という通信方式を使います。Torはプライバシー保護のため、サーバーの運営企業などにアクセス情報を匿名化するために作られたツールですが、攻撃者にとっては身元の特定を難しくする手段にもなるわけです。

もう一つは仮想通貨。実社会の身代金目当ての犯罪者にとって、高いハードルはお金を受け取る手段の確保ですが、ランサムウェアを使う攻撃者も、銀行口座などの入金手段を用意する必要があります。国や中央銀行のような管理主体が存在しない仮想通貨は、既存の金融機関に比べ、匿名性が高い状態で利用できる点が攻撃側にとっては好都合なのです。

 

 

 

もう一つの理由は犯罪の“費用対効果”

 

ランサムウェアには、攻撃者にとっては他の手段に比べ楽にお金が得られるという側面もあります。企業を狙うマルウェアの主な目的は、企業秘密や個人情報を搾取して、アンダーグラウンド市場で売りさばくことです。
しかし、この方法で収益を上げるには、転売価値が高い情報を見極める素養が必要です。特に企業秘密となると、その分野の基礎知識が不可欠でしょう。個人情報も昨今は“供給過多”になり、詳細な属性を含むデータ以外は、闇市場での相場は低くなったとされています。

つまり、攻撃者が企業からお金を奪うため、企業情報や個人情報を盗むことは、以前に比べると、効率がいい犯罪とは言えなくなってきたのです。

 

 

 

“サイバー犯罪初心者”が参入

 

ランサムウェアの場合、業界やその企業に関する知識は不要で、情報を転売する手間もありません。企業機密や個人情報を狙うマルウェアと違い、情報の中身には依存しませんから、攻撃を仕掛けやすく、感染させてしまえば、あとは仮想通貨の口座に送金されてくるのを待つだけです。

「標的型攻撃」や「ビジネスメール詐欺」に比べると、リサーチや大きなシステムリソースも不要なランサムウェアは、“費用対効果”が高い犯罪です。今後は、サイバー犯罪のプロ集団は、前半で触れたように教育機関や医療施設など特定の業種に狙いを定め多額の身代金を狙う一方、コストパフォーマンスに目を付けた犯罪初心者が、不特定多数を狙う攻撃に参入してくると予想されます。

 

 

 

対策は基本に立ち返ること

 

ランサムウェアの挙動は、ファイルの暗号化や破壊ですから、もっとも有効な対策はバックアップです。ファイルサーバーを使う場合は、攻撃者はサーバー側も暗号化しようとしますから、バックアップメディアへのアクセス時には認証を行うなど、当然アクセスコントロールは必ず設定すべきです。

しかし、バックアップも万全ではありません。データはあっても、システムの復旧に時間がかかる場合、業務に支障をきたすこともあります。前半で触れた米国のハンコック病院は、バックアップはありましたが、万一復旧が遅れて患者の安全に影響が出る事態を考慮し、やむを得ず身代金の支払いを選択したとされています。

また、スマートフォンに保存したデータをばら蒔くと脅迫するようなランサムウェアには、そもそもバックアップは有効な手段とはなりません。

 

 

 

第2の策は経路の遮断

 

バックアップの次に取るべき施策は、侵入経路のブロックです。ランサムウェアの場合も、他の攻撃手段と同様、二大感染経路はメールとWebアクセスです。
メールからの侵入は、まず添付ファイルに仕込まれた不正プログラム。Webアクセスも多くはメールが起点になりますが、メール本文に記されたURLをクリックすると、ランサムウェアが仕込まれるような手口です(ドライブ・バイ・ダウンロード)。また、正規のツールをインストールさせるように偽装し、ランサムウェアを送り込む方法も見つかっています。

 

 

 

無害化やエンドポイントセキュリティも有効

 

メールの添付ファイルのような攻撃には、ウイルス対策ソフトが有効ですが、過信してはなりません。ウイルスは必ず検出できるとは限らず、特定の企業を狙う標的型攻撃は、多くはウイルスがカスタマイズされており、添付ファイルの中身や偽装サイトの仕掛けを検知することは困難です。

併用する対策の一つとして、メールの「無害化」が挙げられます。添付ファイルはアクティブコンテンツを除去して無害化するか、いったん削除し、HTMLメールはテキスト形式に強制的に変換すれば、ランサムウェアはもちろん、マルウェア全般に対する強力な関所として機能します。

 

 

 

多層防御の体制整備を

 

今後広がりつつあるIoTの環境では、ルータなどのゲートウェイ機器(ネットワークのつなぎ目として機能する機器)におけるガードと、ネットワーク内部にあるデバイスの状態をモニターする機能の整備など、適切なセキュリティ設定も不可欠です。

ランサムウェアに限らず、マルウェアの被害を100%防ぐことは容易ではありません。このような対策を二段構え、三段構えで配置し、企業の資産を保護してください。

関連製品「Appcheck」