古いバージョンのブラウザーを使用しています。MSN を最適にご利用いただくために、サポートされているバージョンをご使用ください。

企業はランサムウェアの攻撃に備えて何をすればいいか

ITmedia エンタープライズ のロゴ ITmedia エンタープライズ 2017/07/13
企業はランサムウェアの攻撃に備えて何をすればいいか: 図1:ランサムウェア新ファミリー数推移(全世界) © ITmedia エンタープライズ 提供 図1:ランサムウェア新ファミリー数推移(全世界)

 2017年上半期は、深刻な脆弱(ぜいじゃく)性を突いたWebサイトの改ざんや情報漏えいといった、従来からあるサイバー犯罪被害が多数発生しました。その一方で、世界各地で被害が発生している「ビジネスメール詐欺」と呼ばれる比較的新しいサイバー犯罪も、日本国内に入り込んできています。重要なファイルを人質に取り、身代金を要求する「ランサムウェア」の脅威も2016年から継続して問題となっており、法人組織にとっては予断を許さない状況が続いています。この連載では、法人組織のセキュリティ担当者が注意すべき最新のサイバー脅威について解説するとともに、その対策のポイントをご紹介していきます。

 第1回となる今回は、今年5月に世界中で被害事例が報告された「WannaCry」をはじめ、国内でも多くの法人組織が被害に遭い続けているランサムウェアについて、最新の被害状況とその対策について解説します。

●ランサムウェアとは?

 2017年5月、ランサムウェアの一種「WannaCry」が英国の医療機関やフランスの自動車工場等、世界各地の法人組織に深刻な被害をもたらしました。ランサムウェアは、2016年に全世界で大流行し、2017年に入ってからもその勢いは衰えていません。

 ランサムウェアとは、感染した端末そのもの、あるいはその中にあるデータを人質にした上で、「元に戻して欲しければ金銭を支払え」と身代金を要求する不正プログラムです。ランサムウェアという名前は、「ransom(身代金)+software(ソフトウェア)」から造られた言葉で、日本語では「身代金要求型不正プログラム」とも呼ばれています。ランサムウェアは、感染した端末の画面を強制的にロックして身代金を要求する端末ロック型と、感染した端末内およびネットワーク上のデータを暗号化して身代金を要求する暗号化型の2つのタイプに分類されます。

●ランサムウェアの感染経路

 こうしたランサムウェアは、どうやって法人組織の中に入ってくるのでしょうか。

 ランサムウェアの侵入経路は「Web」と「メール」の2つに分かれます。2016年は特にメール経由によるランサムウェアの拡散が顕著で、全体の79%がメールによるものでした。この数字は、Web経由の20%、ファイルの1%を大きく上回るものでした。しかし、2017年1月〜3月の統計では、メール経由が59%、Web経由が40%、ファイルが1%となっており、サイバー犯罪者が用いる攻撃手法はその時々で変化することがうかがい知れます。

 法人組織ではメール経由およびWeb経由の2つの感染経路に着目し、対策を検討する必要があります。

●拡大するランサムウェアの被害

 1年間に新たに確認されたランサムウェアのファミリー数は、2015年は29種類でしたが2016年にはその数が247種類と大幅に増加しました。また、2016年は全世界でランサムウェアの総攻撃数(メール、Web、ファイル経由でのランサムウェアの攻撃総数)が10億件に達するなど、ランサムウェアの「急増期」と言ってもいい1年でした。2017年に入ってからも、ランサムウェアの新しいファミリーの出現は継続しており、ランサムウェアの脅威は高止まりの状態となっています(図1)。

 ランサムウェアの国内検出台数を見ると、2016年第3四半期に大きくスパイクしているものの、その前後の時期においても、ランサムウェアは国内に向けて活発に活動をしている状況にあると言えます(図2)。

 2016年からランサムウェアの新ファミリーが続々出現していることからも分かるように、サイバー犯罪者が用いる手口も継続して変化を見せています。最新のランサムウェアによる攻撃では、具体的にどのような手口が使われているのか見てみましょう。

●ランサムウェアが用いる最新の手口とは

Web経由での巧妙な手口 ユーザーをだまして感染

 2016年から主にWeb経由で拡散してきたランサムウェア「CERBER」や、2017年2月に確認された「SPORA」は、とても巧妙な手口を使っていました。

 Web経由の攻撃では、脆弱性攻撃サイトを使ってユーザーが使用しているソフトウェアの脆弱性が狙われます。このとき、脆弱性攻撃サイトが攻撃対象とするWebブラウザはInternet Explorer(IE)であることが多く、IE以外のブラウザを使用しているユーザーに対しては、影響がないことがほとんどでした(攻撃が成功しないからです)。

 しかし最近は、IE以外のブラウザを使用しているユーザーも狙われています。どうするかというと、脆弱性攻撃サイトにアクセスしてきたユーザーのブラウザを判定し、IEでなかった場合には、文字化けしたサイトを表示させて、「必要なフォント」をインストールさせるふりをするのです。フォントをインストールしたつもりが、ランサムウェアに感染していた、という手口が確認されています。

最新のセキュリティ技術による検知を回避

 近年、セキュリティベンダーが用いるさまざまなセキュリティ技術を回避する機能を持つランサムウェアも出現しています。

 例えば、仮想環境でファイルを実行し、不正プログラムを判別する「サンドボックス」という機能があります。この技術に対抗するため、仮想環境で実行されていることを検知すると、動作を止めるランサムウェアが確認されています。最近確認された「CERBER」の亜種では、以下のような複数の回避機能が用いられていました。

・振る舞いを検知する技術を回避

 ランサムウェアの特徴的な動きを検知するセキュリティ技術に対して、ランサムウェアは端末内の正規プロセス上で自身の不正コードを実行し、この検知を困難にします。

・アクセス先のURLが不正かどうかを判断する技術を回避

 Dropbox等の正規のクラウドサービス上から不正なファイルをダウンロードさせることで、ユーザーがアクセスするWebサイト、URLが安全かどうかをチェックするセキュリティ技術を回避します。

・機械学習による不正なファイルの検出を回避

 膨大なデータをもとにした機械学習技術によって、ランサムウェア関連のファイルを検知する技術に対して、サイバー犯罪者は自己解凍型の圧縮ファイルを悪用します。自己解凍型の圧縮ファイルは、どのようなファイルであっても類似した構造となるため、機械学習によるチェックでは不正なファイルかどうかを判断することが難しくなります。サイバー犯罪者は不正なファイルを自己解凍型の圧縮ファイルとしてユーザーにダウンロード・実行させることで検出を回避します。

脆弱性を悪用したネットワーク経由の横感染

 冒頭でも述べたとおり、2017年5月に世界中で猛威を振るったWannaCryは、3月に公表された「Microsoft Server Message Block 1.0(SMBv1.0)」の脆弱性を悪用し、感染した端末から組織内外の端末に攻撃を仕掛け、感染を拡大する機能を備えていました。このように自身を複製して他のシステムに拡散する活動は、「ワーム型」とも呼ばれています。こういったワーム型の活動は、2001年から2008年あたりに特に顕著に見られた攻撃手法の1つですが、今後もこうしたワーム活動を行なうランサムウェアが出現することが想定されます。

●モバイル端末にも向かうランサムウェアの矛先

 ランサムウェアによる攻撃の矛先は、PCだけにはとどまりません。スマートフォンを始めとしたモバイル端末にも向けられています。2017年1月〜3月の間に新たに確認された、モバイルランサムウェアの検体数は約12万に及び、前年同期比で約5.6倍と急増しています(図3)。

 現在は、業務効率などを考慮したうえで、タブレットやスマートフォンといったモバイル端末を活用している法人組織も少なくありません。これまでの不正プログラム対策と同様に、今後はPCだけでなくモバイル端末に対するランサムウェア対策も必要になるでしょう。

●法人組織が実施するべきランサムウェア対策とは?

 新ファミリーが続々と出現し、さまざまな攻撃手法が使われているのがランサムウェアの現状です。では、継続するランサムウェアの脅威に対して法人組織はどのように対応すればよいのでしょうか。最後にランサムウェアの脅威に対し、法人組織が実施すべきランサムウェア対策のポイントを解説します。ポイントは大きく7つあります。

1. Web経由の侵入をブロック

2. メール経由の侵入をブロック

3. 特徴的な動きを検知しブロック

4. 早期発見による被害軽減

5. 横感染による被害拡大を防止

6. モバイル端末のセキュリティ強化

7. バックアップデータからの復旧

 では1つ1つ見ていきましょう。

対策ポイント1:Web経由の侵入をブロック

 利用しているOSやソフトウェアに、脆弱性を修正するパッチが公開されたら、迅速にそれを適用しましょう。さらにWebゲートウェイ製品を導入して脆弱性攻撃サイトからの攻撃をブロックすれば、ランサムウェアへの感染リスクを軽減できます。

対策ポイント2:メール経由の侵入をブロック

 セキュリティ教育などによって従業員のリテラシーを高め、不審なメールの添付ファイルに対する免疫を高めることも大切です。特に、アイコンで文書ファイルなどに見せかけた実行ファイルを拡張子などで見極める、WordやExcelのマクロ機能が設定されたファイルは開かない、といった対応が必要です。

 しかし、人間はミスを犯すもの。教育に加えてメールゲートウェイ製品を導入できれば、不審なファイルが添付されたスパムメールをブロックできます。従業員のメールボックスにそもそも脅威が届かないようにする、という対策が可能です。

対策ポイント3:特徴的な動きを検知しブロック

 ランサムウェアは、データを暗号化するために必要な暗号化鍵を、外部の不正なサーバ(C&Cサーバ)からダウンロードしたり、短時間で複数のデータを次々に暗号化したりと、普通のアプリケーションソフトにはない、独特の活動を行います。そのため、セキュリティ製品によってランサムウェアと外部のC&Cサーバとの通信をブロックして、暗号化鍵のダウンロードを阻止したり、不正な暗号化の動きを検知してランサムウェアの活動を停止させる対策が効果的です。

対策ポイント4:早期発見による被害軽減

 法人組織の場合、PCなどが1台でもランサムウェアに感染すると、感染した端末内のデータだけでなく、共有ネットワーク上に保存されているデータも暗号化されることがあり、被害が深刻化します。ランサムウェアがネットワーク上のデータを暗号化する場合、データ量によっては数時間を要することがあるため、感染を検知し端末を特定することができれば、被害の拡大を食い止めることができます。万が一に備え、内部ネットワークを監視し、感染を早期に発見する対策も重要です。

対策ポイント5:横感染による被害拡大を防止

 WannaCryのように、OSやソフトウェア等の脆弱性を狙ってワームのように感染を拡大させるランサムウェアに対しては、サーバ対策製品を導入し堅牢化することで、ランサムウェアの横感染による被害拡大を阻止することができます。今後も端末感染後に、法人組織内で横感染を仕掛けてくるランサムウェアが出現することは十分予想されるため、サーバのセキュリティ強化を検討する必要があります。

対策ポイント6:モバイル端末のセキュリティ強化

 ランサムウェアの標的は、PCからモバイル端末にも拡大しています。特にAndroid端末については、さまざまな不正アプリが確認されており、中でもランサムウェアは深刻な脅威になっています。法人組織でもモバイル端末のセキュリティを強化することをお勧めします。

対策ポイント7:バックアップデータからの復旧

 ランサムウェアに暗号化されたデータを復号することは困難であり、そうした場合に備えて、業務上特に重要なデータについては定期的にバックアップを取得しておくことも重要です。そのためにも、法人組織においては、自組織が保有するデータの洗い出しを行い、重要なデータへの対策を重点的に行う運用が現実的です。さらには、ランサムウェアにデータが暗号化された場合、バックアップデータから復旧する手順についてもあらかじめ確認しておくと良いでしょう。

 バックアップの際には、自身のファイルのコピーを3つ取り、それぞれ異なる場所に保存するのが理想的です。記録メディアなどに保存する際には、2つの異なる種類のものに保存するべきです(例えばHDDとUSBメモリーなど)。最後に、3つのコピーのうち、1つは他の2つとは異なる場所に保存します(例えば自宅とオフィスなど)。定期的なデータのバックアップには、この「3-2-1」ルールを実践することをお勧めします。

 なお、同じネットワーク内にバックアップがあると、復旧が容易に思えるかもしれませんが、バックアップファイルも暗号化されてしまうリスクがあります。

 今回はランサムウェアの最新の被害状況とその手口を解説するとともに、法人組織が実施すべき対策ポイントについてご紹介しました。2017年もランサムウェアが深刻な脅威であることは間違いありません。継続的に出現し続けるランサムウェアとそのさまざまな攻撃手法を踏まえ、法人組織ではあらためて自組織のセキュリティ対策の実施状況を見直すことが重要となります。

●著者プロフィール

トレンドマイクロ コアテク・スレットマーケティンググループ 山外一徳

大学卒業後、官公庁の技術系職員としてセキュアなネットワークシステムの開発プロジェクト等のセキュリティ業務に8年携わる。その後webサービス企業でセキュリティソリューションの導入・運用、SOC業務を経験。2015年にトレンドマイクロへ入社し、最新の脅威動向に関する情報をもとに法人向けに特化したマーケティング活動に従事。

ITmedia エンタープライズの関連記事

image beaconimage beaconimage beacon