Wannacry、どう対応すべきか?
「Wannacry」ランサムウェアが、6月に世界中を強打しました。この悪質のランサムウェアは、ワームのように自主的に拡散しています。感染後の3日以内は、ファイルの復号化の対価として300ドルを要求していますが、以後7日以内に600ドルに該当するビットコインを要求することで知られています。7日以内に費用を支払わなければ、ファイルは永遠に消えます。Wannacryランサムウェアは、主にヨーロッパを対象としており、その数はおよそ30万件に達すると明らかになりました。
では、このランサムウェアはなぜ全世界のコンピューターを強打するようになったのでしょうか。 Wannacryは、Window SMBの脆弱性を悪用したランサムウェアで、マイクロソフトがすでに3月にパッチ(MS17-010)を発表しましたが、全てのPCユーザがシステムをアップデートすることは不可能です。つまり、一晩で発生したことではありません。
一つの損傷されたコンピュータが全体企業のネットワークを感染させることがあるため、SMBと同じ標準ファイル共有技術の脆弱性によって深刻な損傷が発生することができます。しかし、幸いにもセキュリティ専門家たちがこのランサムウェアを分析して、拡散を中断させる「キルスイッチ」を発見し、これを作動させてランサムウェアの拡散が鎮静化しました。 Wannacry悪性コードを分析した結果、コードが非常に長い特定ドメイン名(文字になったインターネットアドレス)に接続するという事実を発見し、このドメイン名が登録されなかったため活性化されていない点も発見しました。この事実に注目したセキュリティ専門家は、Wannacryの拡散に対する情報を分析するため、ドメイン名を登録して見ました。 分析結果、Wannacryはこのドメインが活性化されていないと、拡散活動を継続して、ドメイン名が活性化されていたら、自ら電波を中断することが明らかになりました。つまり、ドメイン名がランサムウェア拡散を中断するキルスイッチで作動したわけです。しかし、キルスイッチが効果的に作用しているのは、ただ、感染率の速度を緩めるだけです。追加的にWannacry変種が発見されていますが、このような状況のうち、皆さんが実施できる5つの行動要領があります!
1.お金は支払い禁止!
「ファイルを取り戻すためには、300ドルさえ支払えばいいよね?」と考えがちですが、実際に金を支払った後にもファイル復号は十分に作動しないことがあります。Wannacry変種は、ビットコインのアドレスを修正できることから、このような間違ったアドレスに支払う犠牲者は、ファイルを復号することのできる鍵をもらう可能性が少ないです。さらに、RedTeam Securityはランサムウェアをテロに喩えており、米国のような多くの国家はサイバーテロリストをはじめテロリストと交渉しません。
しかし、敏感だったりひいては命を脅かすデータ(例えば、医療分野の患者文書)を取り扱う組織なら、ファイル身代金を払わないのは難しいことでしょう。ほとんどのセキュリティ専門家は断固たる姿勢を維持してファイル損失の可能性を考えますが、危険がそれだけの価値があるかどうかを決定することは、業界や組織の責任です。そのためには、結局攻撃を阻止できるシステムを備えることが重要です。
2.パッチ及び継続的なモニタリング
Wannacry攻撃は、Windows OSの以前のバージョンだけ脆弱性を悪用して拡散されるが、一般的に使用するすべてのOSでセキュリティパッチをアップデートした方がいいです。MSは、公式的に使用者たちにMS17-010を設置するよう注意しましたが、Windowsにパッチを適用できない場合、SMBv1を全部使わないように設定するのがいいです。
また、組織や企業はセキュリティ・ネットワークモニタリングのような予防措置を適用することができます。ネットワークシステム・アーキテクチャの弱点を悪用するため、定期的な侵入テストを遂行することが効果的な防御方法になることができます。脆弱性検索とよく混同されますが、侵入テストは脆弱性を発見することを止めないだけでなく、実際の攻撃ベクトルを証明するために脆弱性を悪用することで、一歩前進することができるのです。
3.オフサイト・バックアップ
多くの人たちがバックアップを厄介なものと認識していますが、ランサムウェア感染の場合、バックアップは時間とお金を節約してくれます。データのコピーを二つの別位置に保存することがお勧めで、その中の一つはサイト外にいなければなりません。つまり、ランサムウェアが到達できない外部空間にファイルバックアップすることを考慮してみてください。ファイルコピー一つがランサムウェアによって暗号化されても、私たちには安全に保存された、変質されていないバージョンのファイルが残っているからです。
幸運にも、ストレージは以前よりはるかに安いです。バックアップ装置をメイン装置で引き離して安全に保管してください。ランサムウェアたまに連結されたすべてのUSBドライブだけでなく、USBドライブを対象に構成できます。クラウド基盤ストレージを活用できるので、このような場合クラウドにファイルを自動的にアップロードするクラウドバックアップが存在するため、これを活用してみてください。暗号化ソリューションを使用してデータを暗号化することで、追加事前予防措置をとることもできます。
4.誰も信用するな!
ニュースのヘッドラインになる被害場所は病院だと思っていますか。Wannacryの拡散は無差別的であり、公共および民間が攻撃の対象となります。したがって、ランサムウェアはもちろん、電子メールまたはポップアップを通じて自分に合う攻撃方法を探すことも可能です。ランサムウェアは、たいていダウンロード時に実行されてハードドライブのすべてのファイルを自動的に暗号化する、悪意的なスクリプトが含まれた電子メール添付ファイルの形で示されます。PhishMeはレポートを通じて93%のフィッシングメールがランサムウェアだと明らかにしました。
メールフィッシングは、全然新しいものではないのですが、ほとんどの人は警告信号を見ることができません。特に、ランサムウェアを使用すれば、配布方法がより簡単になって実行ファイルがすべて必要です。つまり、メール内のリンクを注意してフィッシングを遮断することは、フィッシング基盤のランサムウェアを避けるのに多く役立つことができます。疑わしい、または分からない第3者の発信者。特に請求書の発送、配送、注文又は請求書関連のメッセージの形で偽装された添付ファイルがある人はいつも注意してください! たびたびメールに対して疑問を収めている使用者が多いのですが、こうした疑念を止まっている場合、ランサムウェアの攻撃から自由になれません。
5.まだ泣かないでください!
大企業が攻撃を受けているため、多くの人たちは警告モードに入っています。LCDの広告板、バス停留場、映画館のような公共場所にランサムウェアの跡が残っています。大型企業、組織又は医療センターや病院のような機関ではコンピューティングプログラムが主に情報保存のためのものであって、能動的な検索およびコンピューティングのためではないため、以前のバージョンのOSを使用する場合が多いです。これによってIT管理者は、アップデートが不必要に感じることもあるでしょう。しかし、Wannacryは手動でアップデートを設置しなければならない、以前のバージョンのMicrosoft OSで発生した脆弱性です。最新バージョンのWindowsを使用するほとんどの使用者は、自動アップデートを基本値として利用して憂慮を解決します。
今回は、Wannacry事件を通じてサイバーセキュリティ問題だけでなく、Wannacryのようなランサムウェアにどう対処すればいいのかについて説明しました。ランサムウェアまたはその他サイバーセキュリティ関連の問題についてお聞きしたいことがありましたら、是非support@cloudbric.comで連絡ください。
