ランサムウェアとは
ランサムウェアは、マルウェア(悪意のあるソフトウェア)の一種で、感染するとパソコン等に保存されているデータを暗号化して使用できない状態にした上で、そのデータを復号する対価(金銭や暗号資産)を要求する不正プログラムです。
ランサムウェアはシステムへのアクセスを制限したり、ハードディスクやSSDといったストレージを暗号化します。
「解除するには金を払え」と要求され、データを身代(ランサム・Ransom)にされることから、ランサムウェアと呼ばれます。
2017年には、ランサムウェアの一種である「WannaCry」が世界中のコンピューターに感染し、大規模な被害をもたらしました。
WannaCryの感染によって工場が操業停止に追い込まれた企業が複数あるほか、イギリスでは国営医療サービス事業を行っているNational Health Serviceが被害を受け、手術の中止や診療が行えないといった事態が発生しました。
国内では、つい最近の6月にニコニコ動画が大規模なサーバー攻撃に遭いましたが、これもランサムウェアを含んでいます。
IT化が進んだ現代では、企業法人はシステムが使えなくなると業務に多大な支障を来たします。
また窃取された個人情報や重要機密データが漏洩すると企業の信頼性に大きなダメージを受けることになります。
早期解決のために身代金を支払ってしまう企業もありますが、たとえ要求された金銭を支払ったとしても、暗号化されたデータ類の復旧が保証されているわけではありません。
また身代金を支払った事実が公表されると社会的にサイバー犯罪者に屈した企業として批判対象となる可能性があります。
ランサムウェアは、当初はロシアで流行していましたが、サイバー犯罪が金になることが徐々に攻撃者たちの間で認知され、世界的に急増しています。
個人だけでなく企業法人のセキュリティ対策が急務となっています。
代表的な事例
・パソコンの画面が急に制御不能になり「パソコンのファイルを暗号化した、戻すためにはビットコインを支払え。」などという内容の画面が表示された。無視してその画面を閉じたところ、パソコン上のファイルが次々と閲覧できなくなってしまった。
・会社のサーバがウイルスに感染したようで、システムが利用出来なくなった。サーバを確認したところ、内部のファイル名が改竄、暗号化されており、暗号化を解除するために金銭の支払いを要求された。また、データの一部が流出しているようで、金銭を支払わなければデータを外部サイトへ公開すると脅迫された
・インターネットを見ていたら、英語で、「パソコンに保存されているファイルを暗号化したので、元に戻したければ1万ドル分の暗号資産(仮想通貨)を支払え。支払わなければ、コンピュータ内に保存されているデータを公開する。」というメッセージが表示された。
ランサムウェアの手口
従来のランサムウェアは、不特定多数の利用者を狙って電子メールを送信するといった手口が一般的でしたが、最近では、企業等のVPN機器をはじめとするネットワーク機器のぜい弱性を狙って侵入する手口が多く確認されています。
また、データの暗号化のみならず、データを窃取した上で、「対価を支払わなければデータを公開する」などと要求する二重恐喝の手口が多く確認されています。
ランサムウェア対策
最新のセキュリティ製品を導入する
ランサムウェア感染をブロックするには、エンドポイント(PCなど各種端末)での対策が重要です。振る舞い検知などを搭載した次世代型アンチウイルス製品、エンドポイントの挙動を監視し異常(不審な挙動)を通知するEDR(Endpoint Detection & Response)も有効です。このほか、添付ファイルなどを利用者が開く前に分析・不正な処理を行う部分(マルウェア)があれば切り離すなど、適切に処理する「ファイル無害化」のサービスなどもあります。
ネットワーク監視を行う
ランサムウェアはターゲットのネットワークに侵入すると、攻撃者のサーバと通信しながら勢力を拡大していきます。感染初期にこの通信を検出できれば、被害を最小限に抑えられます。ネットワーク上の不正な通信・挙動などを監視・検出する製品や運用サービスの活用は対策として効果的です。
OS、セキュリティソフトなどのアップデートを定期的に行う
ランサムウェアは攻撃手法を進化させ続けているため、最新情報を入手し継続的にセキュリティシステムのアップデートを行う必要があります。WindowsやVPN機器の脆弱性を狙った攻撃はランサムウェアの常套手段です。OSやセキュリティソフト、アプリケーション、セキュリティ機器などは定期的にアップデートを行い、常に最新の状態にします。
適切なバックアップ取得と保管を行う
データが暗号化されても、バックアップデータがあればある程度の復旧が可能です。
ただし同一ネットワーク内にバックアップデータを保管しているとバックアップデータごと暗号化されてしまうリスクがあるため、「どこに・どう保管するか」を検討する必要があります。
なおこの方法だけでは、データ自体が窃取されている場合に情報漏洩は避けられず、多重脅迫を受けるリスクにも対応できません。他のセキュリティ方策と併用することが大前提となります。
感染に備えログを記録する
感染原因等の調査には各種機器のログが必要になります。
万が一に備え、ログ収集と記録・保管が自動化されているセキュリティシステムを活用するなど対策を行います。
不審なメールやファイル、URLへの警戒を周知する
ランサムウェア対策の基本中の基本と言えるのが、「不審なメールやファイル、URLを開かない」ことです。しかし攻撃者が次々に手口を変えてくるため、「どれが不審なメールなのか」は判断しにくくなっています。
最新のセキュリティ動向などを注視し、社員への教育・周知などを継続的に行うことが大切です。
ユーザ側
- フィッシングメールなど、侵入時に使用される攻撃手法を理解し、騙されないようにする
- 不審なメールやリンクを安易にクリックしない
- ソフトウェアを最新の状態に保つ
管理者側
- 総合的、多面的な対策を導入するとともに、侵入を前提とした対策を行う
- エンドポイントやサーバには総合的なセキュリティソフトを導入する
- メールサーバにおいて攻撃メールを検出するソリューションを導入する
- 外部への不正なネットワーク通信・接続を検出するソリューションを導入する
- VPN機器などのネットワークデバイスを最新バージョンにアップデートする
- ネットワーク内部の監視と不審な挙動を可視化するためのソリューションを導入する
- セキュリティポリシーを策定し、管理者権限の管理やシステムの脆弱性管理を適切に行う
- 「3-2-1ルール」に則り、データの冗長性を十分に担保できるようなバックアップポリシーを策定する
- インシデント対応体制を構築する
- 従業員に対するセキュリティ教育、注意喚起を実施する
ランサムウェアに感染したら
感染したパソコン等をネットワークから隔離する
ランサムウェアの感染拡大を防止するため、感染したパソコンのLANケーブルを抜く、Wi-Fiを切断するなどして、ランサムウェアに感染したパソコン等をネットワークから隔離しましょう。
感染原因等の調査に必要なログ等が消失する場合もあるので、パソコンやネットワーク機器等の電源を落とさないでください。