身代金を要求するマルウェアであるランサムウェアをご存じと思いますが、現在もまだ被害が続いています。
メールで攻撃する、あるいは不正なWebサイトでランサムウェアを感染させるなどの手口が知られていますが、その予防策や、万が一感染した場合の対処法などは、多数の被害がまだ続いているだけに、知っておいて損はありません。
ランサムウェアの予防策と対処法について、この記事ではご説明します。
ランサムウェアとは
「ランサムウェア」とは、感染した端末のロックや、データの暗号化などで端末やデータなどの情報資産を使用不可能にし、身代金を要求するためのマルウェアのことです。
「身代金」を意味する単語”Ransom”と、「ソフトウェア」(”Software”)から作られた造語
ですが、身代金を払っても復旧の保障はありません。
IPAが発行している2020年の「情報セキュリティの10大脅威」において5位となっていて、依然として上位にランクインしている状況ですので、被害はまだ日本でも続いています。
ランサムウェアはメールでも感染する
ランサムウェアの感染は、標的型攻撃メールやスパムメールの添付ファイルや不正Webサイトへの誘導により発生します。
2015年12月には「送り状」や「請求書」などと、いかにも業務に関連することを装ったタイトルで、実のところはランサムウェアに感染させるメールが攻撃者から頻繁に送付されていました。不正なサイトは、しばしば、攻撃者による書換えが行われているサイトです。
現在でも、メールによる誘導や、不正なサイトへのアクセスで、ランサムウェアに感染する事例が発生しています。のちほど、詳しく説明しますが、これは不審と思うメール・サイトにはアクセスしないことで予防策となります。
その他のランサムウェアの攻撃手口
ランサムウェアは、ユーザー側の脆弱性を狙うこともあります。
不正に改ざんサイト閲覧での感染が最も多いのですが、Webサイトを閲覧するユーザーのJavaやOS、ブラウザのバージョンが古いと脆弱性をつかれて攻撃されてしまいます。
ランサムウェアの感染事例
ランサムウェアの感染事例として、著名なものがTeslaCryptと、WannaCryの二つです。
TeslaCrypt
TeslaCryptは、2016年に「vvvウィルス」という名前で大きな話題となったランサムウェアです。PC内のファイルを暗号化して利用不能にするものですが、このときファイルの拡張子を「.vvv」に変える特徴があります。
主にスパムメールや改ざんされたWoirdPressなどのWebサイト経由で拡散してしまいましたが、のちに「TeslaCrypt」の作者が、プロジェクトの打ち切りを宣言して復号鍵を公開したことにより、脅威は消失しています。
WannaCry
WannaCryは2017年に流行したランサムウェアで、Windowsの脆弱性を突いて次々とPC内のファイルを暗号化、利用不能に追い込んでいきました。身代金としてダークウェブでも利用できるビットコインを要求していたことも特徴的でした。
被害例として、病院のネットワークで感染が発生し、業務が続行不能になるなどの被害が出ています。
TeslaCryptも、WannaCryも身代金を支払ったところで、PCやファイルが使えるようになる保証は全くないにも関わらず、攻撃が始まった当初は、身代金を支払い、被害を拡大してしまった事例も見られていました。
現在では、各セキュリティベンダーが共同して、身代金を支払わないこと、また、ベンダーが解決に助力することをユーザーに呼びかけ、身代金の支払い事例自体は減っています。
ただ、PCが動かない、データの記載されたファイルが閲覧できないといった被害は、営業をストップさせる可能性もあり深刻です。
ランサムウェアの感染対策
では、ランサムウェアの予防策・感染した場合に採りうる手段には具体的になにがあるでしょうか。
社員のセキュリティ教育
ランサムウェアの予防策として筆頭にあげられるのは、社員のセキュリティ教育です。
不審なメールを見抜くことや改ざんされているWebサイトを見抜くための教育とりわけ重要な内容になります。
送付元のわからないメールは開かない・開いてしまったとしてもリンクをクリックしないことを徹底する必要があります。
Webサイトの動きがおかしい場合はすぐにブラウザを閉じる・サイトにインストールされたSSLにより、「信頼済み」状態となっているWebサイトにしかアクセスしない・日本語がおかしい、と感じるWebサイトにもアクセスしない、などといった基礎教育の徹底も必要です。
特に、メールによるランサムウェア攻撃は、実際のメールで訓練することも有効です。
修正プログラム適用などによる脆弱性の修正
また、修正プログラムの適用・定期更新を必ず行うことで、PC・システムが最新の状態に保たれて、攻撃者が脆弱性を突くことも難しくなります。
端末やソフトの脆弱性に対して修正プログラムを適用すること、セキュリティ対策ソフトの定期的なアップデートを行うことなどは、IT部門の主導で、必ず行っておきたい予防策です。
その他、ランサムウェアが侵入することを防止するうえで、ファイアーウォールで侵入予防をはかり、IPS・IDSによる検知~通信の遮断を適時に行うことといった、技術的な措置も有効です。
重要ファイルの定期的なバックアップ
ランサムウェアで営業が行いにくくなれば、その間、収益活動が止められてしまいます。そこで、最悪攻撃を受けた時でも、業務は続けることができるように、万が一のランサムウェアに感染した場合を想定して、重要ファイルは定期的なバックアップを取得することも対策になります。
セキュリティポリシーの決定と周知徹底
ランサムウェアに対応するために、予防策・攻撃を受けた際に社員が対応すべきルール双方の文書化・ポリシー化とその周知・徹底は、ランサムウェアによる被害全体を小さくすることに繋がり、有効です。
さらに、ランサムウェアに万が一感染した場合、PCの復旧・ファイルの復旧も問題になります。
復旧までの時間を短縮するため、対処する部署・担当者はもちろんのこと、感染した場合の調査依頼先も明確にしておきましょう。
ランサムウェアの被害を受けた場合、さらに被害を拡大しないためには、次のような点に注意しておきましょう。
通信からランサムウェアに感染したPCを遮断し、他のPCの安全を図る
PCからLANケーブルを抜くこととする、無線LANは当該PCからは接続できないようにしておくなどの方策が考えられます。
記録と連絡先
ランサムウェアからの復旧を助けるため、感染時の操作履歴などエビデンスを残すとITエンジニア・外部の専門家が動きやすくなります。まずは記録を作りましょう。
さらに、報告先を決めておくべきことは先ほどもご説明した通りですが、CSIRTや情報セキュリティ部へ報告するのはできるだけ早い方が復旧も早くなりますので必ず報告しておきましょう。
また、セキュリティベンダーは、身代金を支払っても、ランサムウェアから解放されないことを啓蒙しており、身代金を払うのではなく、復旧を助けてくれる復号ツールを使うように呼び掛けています。
まとめ
今まで見てきたように、ランサムウェアはひとたび感染すると、業務の続行不能から休業に追い込まれるようなケースもあります。
対策は、他のマルウェアに対する対策と同じく、システムを最新のものとすること、セキュリティ教育を施すこと、の主に二点です。そして、万が一感染した場合は、あらかじめ決めた報告ルートから報告の上、可能な限り解除を依頼しましょう。
