猛威をふるうランサムウェアの脅威と対策とは

f:id:PentaSecurity:20181217093037j:plain

ある日、突然自分のデータが人質に?

猛威をふるうランサムウェアの脅威と対策とは? 

ランサムウェアという言葉を聞いたことがあるでしょうか?ランサムウェアとはマルウェアの一種で、感染したPCをロックしたり、ファイルを暗号化したりすることで、コンピューターに保存されているデータを利用不可能にして「身代金」を要求するプログラムです。一度感染してしまうとPCの有効な操作ができなくなり、身代金を支払うまではPC内のファイルにアクセスできなくなります。このランサムウェアが近年猛威をふるい、独立行政法人情報処理推進機構IPA)からも重大な脅威として警告されています。今回はそのランサムウェアについて取り上げ、脅威の程度や対策についてみていきたいと思います。

 

ランサムウェアとは

 「ランサムウェア」という名称は、「ランサム(Ransom:身代金)」という英語と「ソフトウェア」を組み合わせた造語です。感染すると自分のパソコンがロックされたり、PC内のデータを暗号化したりして読めなくします。さらにはランサムウェアに感染した端末だけではなく、その端末からアクセスできる共有サーバーや外付けHDDに保存されているファイルも暗号化されるおそれがあります。

 

f:id:PentaSecurity:20181217093808j:plain

世界規模のサイバー攻撃に利用されたランサムウェア「WannaCry」の脅迫画面

<出典:https://go.trendmicro.com/jp/forHome/solution/ransomware.html

 

身代金としてビットコインを要求するのも最近のトレンドです。仮想通貨は貨幣のやりとりも不要で、種類によっては完全匿名での送金なども可能なので、その手軽さを悪用されているのが原因です。ランサムウェアに感染するとこの様な支払いを促す警告画面が表示されます。

 

ランサムウェアの種類

これまで大きな被害をもたらした主なランサムウェアの種類です。大別すると進化型としてアップデートを繰り返すものと、OSの脆弱性を悪用する脆弱性型とに分けられます。

 

・CryptoWall 

2014年に、Cryptowallの最初の版 (1.0) が出現し2015年にはCryptowall 4.0にまで進化し、セキュリティソフトウェアに検出されにくくする機能が大幅に強化されました。

 

・WannaCry

Microsoft Windowsを標的としたワーム型ランサムウェア。2017年5月12日から大規模なサイバー攻撃が開始され、150か国の23万台以上のコンピュータに感染。身代金として暗号通貨ビットコインを要求します。

 

・Locky

メールに添付された悪意のあるドキュメントファイル(.doc)を経由して配布されるランサムウェア。 文書には、スクランブルされたテキストが含まれており、ユーザーがWordプログラムでマクロ設定を有効にすると、実行ファイルがダウンロードされてしまう。

 

・PETYA

Petya は 2016 年に出現したランサムウェアです。Petya はファイルを暗号化するだけでなく、マスターブートレコード (MBR) も暗号化して上書きします。欧州を中心に中央銀行や主要な国際空港に加え、チェルノブイリ原発施設なども攻撃しました。

 

 

○広がる脅威

 

f:id:PentaSecurity:20181217093958j:plain

トレンドマイクロがブロックしたWannaCry国別攻撃数

<出典:https://www.is702.jp/news/2147/partner/12_t/ >

 

このようなランサムウェアによる攻撃は2016年移行急増化しています。こちらの表によると2017年5月12日21時42分~5月15日9時00分に急増した世界的攻撃でも、日本は3位、全体の14%にもあたる割合で攻撃が観測されています。自分がいつか被害者になってしまう可能性も低くはないのです。

 

独立行政法人情報処理推進機構IPA)が発表した「情報セキュリティ10大脅威 2018」でも、組織・個人共に「ランサムウェアによる被害」が2位にランクインしています。

 

 

ランサムウェアに攻撃された事例

  • 2017年5月に流行した「WannaCry」に感染した日立製作所の事例(2017年5月)

 

ランサムウェアによる被害および復旧状況について

 

株式会社日立製作所は、日立グループで発生している身代金要求型ウィルス「ランサムウェア」による被害および対策の状況についてお知らせします。

 

 5月12日(金)深夜、社内システムの一部で異常を検知しました。その後、5月13日(土)未明に対策チームを立ち上げ、状況の把握や対策の検討を開始しました。一部の社内システムにおいて不具合が生じ、5月15日(月)以降、メールの送受信等に影響が発生しました。日立グループでは、対策本部を編成し、国内外のグループの総力を挙げ、パートナーやベンダー企業の協力も得ながら復旧に取り組んでいます。不具合が発生したメールシステムについては、本日時点で概ね復旧が完了し、今週中の全面復旧を見込んでいます。

 

http://www.hitachi.co.jp/New/cnews/month/2017/05/0517a.html

 

 

 

ランサムウェア「SamSam」を使って攻撃を仕掛けているサイバー犯罪グループは、この攻撃が出回り始めた2015年後半以降、合計で600万ドル(約6億7000万円)近くの身代金を手にしていることが明らかになった。被害額はまだ増え続けており、今では1カ月あたり30万ドル(約3400万円)になっているという。

 

https://japan.zdnet.com/article/35123375/

 

 

医療機関や行政機関を対象とした「SamSam」の攻撃が話題になりました。身代金の支払はビットコイン経由で行われいます。

 

ランサムウェアに感染してしまった場合の対策 

まず最初に言えるのは、たとえ身代金を支払ったところで、きちんとデータを復旧してもらえる保証はないという事です。ランサムウェアに感染し身代金を要求されてしまった場合、その要求額は数千円程度の場合もあり、その位なら払ってしまおうと思う人もいるかもしれませんが、それはお勧めしません。日本サイバー犯罪対策センターも要求に応じることは推奨していません。

 

  • 既に感染してしまった場合

・すぐにPCをシャットダウンする

 

ランサムウェアはデータを暗号化していきます。暗号化するにはある程度の時間がかかるので、一旦PCをシャットダウンしてしまえば、とりあえずそれ以上のデータの暗号化は避けられます。トレンドマイクロ株式会社や、欧州刑事警察機構のサイバー犯罪対策機関であるEC3(European Cybercrime Centre)は、ランサムウェアによって暗号化されたファイルの復号ツールを公開しています。暗号化が最小限であればこれらのツールで複合できる可能性もあります。またデータ復旧や複合などに精通したプロにHDDを持ち込んでみるのも一つの手です。しかしPCをシャットダウンせずに暗号化が進んでしまうと、そうした専門会社でもどうしようもできない場合が多いです。またネットワークにつながっているPCなら即刻ネットワークからも切り離しましょう。

 

  • 感染を防ぐために

・怪しいメールやSMSは開かない

 

典型的なのは不正プログラムを仕込んだ添付ファイルを開かせようとするメールが来るケースです。件名が「請求書」だったり、つい添付ファイルをクリックしてしまいそうになります。またウイルスを仕込んだ偽サイト(フィッシングサイト)へ誘導しようとするメールもあります。自分はそんな怪しいメールは開かないから大丈夫と思っていても、思わず開いてしまうような巧妙なものも存在するので注意が必要です。

 

・不審なソフトウェアやアプリはインストールしない

 

自ら怪しいアプリなどは入れないと思ってても巧妙に隙をつかれる場合もあります。実際にあった事例で、携帯電話のSMS機能を通じ大手配送業者から荷物のトラッキングについてお知らせのメッセージが入り、そのリンクをクリックすると配送業者のHPに似せた偽サイトへ誘導されて、悪意のあるアプリのインスト―ルを促されるケースが発生しました。たまたま自分がネットショッピングしたタイミングで配送業者名でメッセージが入ると、ついうっかり偽サイトから不正アプリを入れてしまうという事もあるかもしれません。そうしたアプリがランサムウェアなどの不正プログラムを実行してしまいます。

 

・セキュリティ対策ソフトウェアを導入する

 

ランサムウェアを予防するセキュリティ対策ソフトウェアがカスペルスキートレンドマイクロ等のベンダーから販売されています。こうしたソフトウェアも完全に防げるわけではありませんが基本的な防御としては有用でしょう。ソフトをインストールした後はセキュリティパッチなどをこまめに適用しましょう。またOSの脆弱性を利用して攻撃するものもありますから、Windowsなども常にのアップデートを行い、最新バージョンに保つ必要があります。

 

最後に

 

データバックアップを万全に

以上様々な対策についても記しましたが、ランサムウェアで攻撃する側もセキュリティ対策を巧妙にかいくぐってきます。万一大事なデータを「人質」に取られ本体のPCのデータが暗号化されてしまっても、バックアップを日ごろから取っておくことで最悪データを失うのを防ぐ事ができます。これはランサムウェアに限った対策ではありませんが、企業なら自社のデータバックアップは必須の課題です。セキュリティ担当者は常に最新の脅威への動向に目をひからせ、対策をおこたらないようにしましょう。