ランサムウェアから身を守るための10の措置

この数週間、ニュースに少しでも注意を寄せていた方は、多くの企業がランサムウェアの影響を受けたということをご存じでしょう。最近はこの形のサイバー攻撃が増加しており、多くの組織やユーザーが当然これを憂慮しています。皆さんもそうあるべきです。ランサムウェアは非常に厄介なものです。しかし、きちんと準備をすれば、感染のリスクを大幅に減らし、また感染したとしても自分や自分の組織への影響を軽減させることができます。

ランサムウェアとは?

ランサムウェアは機器、ネットワーク、データセンターに感染し、ユーザーや組織が身代金を支払うまで、システムをロックさせ使用できない状態にするタイプのマルウェアです。ランサムウェアは少なくとも1989年から存在しています。この年には、「PCサイボーグ」というトロイの木馬が登場し、ハードドライブ上のファイル名を暗号化し、そのロック解除と引き換えにユーザーに189ドルを支払うよう要求しました。それ以来、ランサムウェアによる攻撃はますます巧妙化し、標的型のものが多く見られ、より多くの収益をあげています。

多くの企業がファイルのロック解除と引き換えに簡単に身代金を支払ってしまうケースが多いため、ランサムウェアの影響は測定が困難です。しかし、身代金を支払ったとしても、それで解決するとは限りません。Cyber Threat Allianceが2015年10月に発行したCryptowallバージョン3によるランサムウェアキャンペーンに関するレポートでは、この1つの攻撃だけでも3億2,500万ドルにのぼる損害があったとされています(レポートの完全版はこちらからお読みいただけます)。

ランサムウェアは通常、いくつかあるパターンのうち1つを使って実行されます。Cryptoランサムウェアは、オペレーティングシステムに感染し、機器が起動できなくなるようにします。他にも、ドライブやファイル、ファイル名を暗号化するランサムウェアもあります。悪意のあるものにはタイマーが付いたバージョンもあり、身代金が支払われるまでファイルを削除していきます。すべてにおいて言えるのは、ブロックした、あるいは暗号化したシステム、ファイル、データのロック解除や解放と引き換えに、身代金を支払うよう要求してくる、ということです。

複数の病院が感染してランサムウェアが注目を集めた後の2016年3月31、アメリカのサイバー緊急対応チーム(Cyber Emergency Response Team)とカナダ政府のサイバーインシデント対応センター(Canadian Cyber Incident Response Centre)は、ランサムウェアに関する共同の警告を発表しました(こちらをご覧ください。https://www.us-cert.gov/ncas/alerts/TA16-091A

この警告によると、感染後、ユーザーの機器のスクリーン上に以下のようなメッセージが表示されるケースが多いということです。

  • 「あなたのコンピュータはウイルスに感染しました。この問題を解決するには、ここをクリックしてください」
  • 「あなたのコンピュータは違法コンテンツを含むウェブサイトにアクセスするのに使用されました。コンピュータのロックを解除するためには、100ドルの罰金を支払う必要があります」
  • 「あなたのコンピュータ上のすべてのファイルが暗号化されました。再びデータにアクセスするには72時間以内にこの身代金を支払ってください」

このメッセージは恥ずかしい画像やポルノ画像とともに表示される場合もあります。メッセージをシステムからいち早く消し去りたいとユーザーに思わせるためです。しかし、いずれの場合もシステムは停止させられ、重要なデータは利用できなくなり、生産性がストップした状態になり、事業運営に損害が生じます。

感染経路は?

ランサムウェアは数多くの方法で送信することが可能ですが、最も一般的なのは感染したファイルをメールに添付する方法です。例えば今日、私は銀行からを装ったメールを受け取りました。ロゴも合っていましたし、銀行のURLへのリンクも、私の名前も正しいものでした。メッセージの本文には、「あなたの口座で疑わしいアクティビティが見つかったので、あなたの認証情報を確認するために添付ファイルをインストールする必要がある」、と書かれていました。筋の通った話に見えますが、そうではありませんでした。これはフィッシング攻撃だったのです。

私がそう気づいたのは、銀行がファイルを送信し、それをインストールするよう要求するなんてあり得ないからです。認証情報の確認なんて、とんでもありません。添付ファイルはランサムウェアに感染していました。もし私がクリックしていたら、これが私のシステム上にロードされていたということです。

しかし、メールの添付ファイルだけが感染のメカニズムというわけではありません。ドライブバイダウンロードもあります。これはユーザーが感染したウェブサイトにアクセスし、ユーザーの知らないうちにマルウェアがダウンロード、インストールされるというものです。ランサムウェアはウェブベースのインスタントメッセージ用アプリケーションなど、ソーシャルメディアを介しても広まっています。最近では、脆弱なウェブサーバーが、組織のネットワークへのアクセスを得るための侵入ポイントとして悪用されたことがありました。

阻止する方法は?

以下は、ランサムウェアの影響から自分と自分の組織を守るために必要な10の措置です。

  1. バックアップやリカバリーの計画を立てる。システムを定期的にバックアップし、バックアップしたものを別の機器にオフラインで保存する。
  2. マルウェア検出のためにメールの添付ファイル、ウェブサイト、ファイルの解析を行い、侵害されている可能性がある広告やソーシャルメディアサイト、ビジネスにまったく関連がないものをブロックできるプロ仕様のメールおよびウェブセキュリティツールを使用する。新たなファイルや未確認のファイルを安全な環境で実行し、解析できるようサンドボックス機能も入っているものを使う。
  3. オペレーティングシステム、機器、ソフトウェアのパッチ適用、更新を必ず行う。
  4. 使用している機器とネットワークのアンチウイルス、IPS、アンチマルウェアツールで最新の更新プログラムを必ず実行する。
  5. 可能なら、許可されていないアプリケーションのダウンロードや実行を阻止するアプリケーションのホワイトリスト機能を用いる。
  6. ネットワークを複数のセキュリティゾーンにセグメント化する。これにより、1つのエリアにおける感染が別のエリアに容易に広まることを防ぐ。
  7. パーミッションと権限を設定する。これにより、ビジネスに不可欠なアプリケーションやデータ、サービスを感染させてしまう可能性のあるユーザーの数を減らす。
  8. 皆さんの安全基準を満たさない機器(クライアントやアンチマルウェアがインストールされていない、アンチウイルスファイルが古いままになっている、オペレーティングシステムに重要なパッチの適用が必要など)のインスペクションとブロックを行うBYODセキュリティポリシーを策定し、施行する。
  9. フォレンジック解析ツールを配備する。これにより、攻撃後にa) どこから感染したのか、b) 使っている環境にどれほどの期間存在していたのかを特定し、c) すべての機器から削除できたのかを確認し、d) 再び攻撃を受けないようにすることが可能になる。
  10. これが重要:社員に組織の安全が守れるとは考えないこと。社員がファイルをダウンロードしたり、メールの添付ファイルをクリックしたり、メール内の未承諾のウェブリンクをたどったりしないよう教える目的でユーザー意識トレーニングをレベルアップさせることも重要だが、人間は一連のセキュリティの中で最も脆弱な存在であり、それを見越して計画を立てる必要がある。

その理由:多くの社員にとって、添付ファイルをクリックしたり、インターネットで検索をしたりすることはそれぞれの仕事の一環です。適切なレベルの疑念を維持することは困難です。第二に、フィッシング攻撃はとても説得力のあるものになってきています。標的型のフィッシング攻撃は、オンラインデータやソーシャルメディアのプロフィールなどを使って手法をカスタマイズしています。第三に、来ると思っていなかった請求書や銀行からの重要なメッセージをクリックしてしまうのは、単純に人間の性です。そして最後に、どの調査でも判明していることですが、ユーザーは、セキュリティは他の誰かの仕事であり、自分のやることではないと考えています。

自分が感染したら、どうしますか?

最近のバックアップが取ってあれば、機器のデータ消去を行い、それを感染していないバージョンでリロードすることができます。以下に、他にもやっておくべきことを挙げてみました。

1. 犯罪を通報する

2. 身代金を支払っても保証はない

アメリカとカナダの警告によると、「身代金を払っても、暗号化されたファイルが解放される保証はない」ということです。支払いをしても、悪意のあるアクター(サイバー犯罪者)が被害者の金を受け取るだけで、場合によってはバンキング情報が漏れてしまうこともあります。また、ファイルを復号しても、マルウェアへの感染自体が削除されたわけではありません。

3. 専門家に連絡する

多くのオペレーティングシステム、ソフトウェア、セキュリティベンダーは、皆さんのシステムがランサムウェアに感染した場合、どう対応すべきかについてアドバイスできるスタッフを抱えています。また、復旧の手助けをしてくれるサードパーティーのフォレンジック専門家もいます。

4. 代替プランを準備しておく

お使いのコンピュータシステムやネットワークが利用できなくなったら、どうしますか?フェイルオーバーの計画は立てていますか?システムの修繕が行われている間、例え制限された形であっても、稼働を維持する方法はありますか?システムが利用できなくなった場合、皆さんの組織に1時間あたり、どれほどの損害が出るか知っていますか?そのコストはITセキュリティの予算に反映されていますか?セキュリティポリシーには、こうした情報を含める必要があります。

結論

サイバー犯罪は何十億という収益をあげている営利目的のビジネスです。たいていのビジネスと同様、サイバー犯罪者は収益をあげる方法を見つけるのに躍起になっています。彼らは、皆さんの重要なデータやリソースにアクセスするため、策略、恐喝、攻撃、脅威、誘惑という手段を用いてきます。

ランサムウェアは新しいものではありません。しかし、ネットを活用している個人や企業につけいるための新たな、予期せぬ方法を探すという傾向が高まり、最近では巧妙化や普及が進んでいます。

今や、セキュリティは事業に追加するものではなくなりました。セキュリティは事業を運営するにあたり、必要不可欠なものとなったのです。セキュリティはデバイス以上のものである、ということを理解しているセキュリティ専門家と手を組むようにしましょう。セキュリティとは、効果的なポリシーと、準備、保護、検知、対応、学習というライフサイクル的なアプローチを組み合わせた、高度に統合された共同技術のシステムです。

セキュリティソリューションは、分散型の環境のどの場所においても効率的に脅威を検知し、対処するため、脅威インテリジェンスを共有する必要があります。ネットワーク化された環境の進化、拡張に伴い、シームレスに保護が行えるよう、セキュリティソリューションはネットワークファブリックに織り込まれていなければなりません。また、新たな脅威の発見に伴い、動的に適応する能力も必要です。そして、皆さんがそれぞれのやり方でビジネスを行う上で、その妨げになってはいけないのです。

フォーティネットのFortiGuardチームによる、ランサムウェアに関するテクニカル情報に関しては、こちらの関連ブログをご覧ください。