特別編:2016年ホットな脅威!ランサムウェア対策(入門編)
初めてランサムウェアを知る方々の入門編として「ランサムウェアとはいったい何なのか?対策は何をすればよいか?」を紹介していきます。
サイバーセキュリティトレンド
- 2016年11月14日公開
特別編:2016年ホットな脅威!ランサムウェア対策(入門編)
はじめに
日ごろの業務に無くてはならないメールやWebサイト。しかし、これらはサイバー攻撃の手段でもあり、利用者は常にマルウェア感染の可能性と隣り合わせの状態です。サイバー犯罪者はセキュリティの甘い企業を狙い定め、分析し、攻撃してきます。マルウェアに感染した場合、その脅威によって発生するインシデントは予想を超え、組織の存続にも影響を及ぼす危険性があるでしょう。サイバー攻撃の被害にあわないためにも、自社は大丈夫、という意識を捨て、増え続けるサイバー攻撃に日々対策を実施していくことが重要です。
さて、今回のコラムはマルウェアの中でも近年、国内での被害が急激に増大してきている「ランサムウェア」がテーマです。初めてランサムウェアを知る方々の入門編として「ランサムウェアとはいったい何なのか?対策は何をすればよいか?」を紹介したいと思います。
ランサムウェアとは何か
ランサムウェアは、感染したPC等のデバイス自体、またはデバイス内のファイルへのアクセスを妨害(ロック)する不正プログラムです。攻撃者はランサムウェアに感染したユーザーに対し、ロックの解除と引き換えに金銭を(主にビットコインのような仮想通貨等で)支払うよう脅迫をしてきます。ランサムウェアは英語で「Ransomware」=「Ransom(身代金)」+「malware(悪意のある不正プログラム)」の造語です。つまりPC自体やその中のファイルを人質に取り、人質の開放と引き換えに身代金を請求するマルウェアのことを指します。
ランサムウェアによる被害の現状
日本でも増大するランサムウェア被害
IPA(情報処理推進機構)が報告する、「情報セキュリティ10大脅威(2016年度)」において、ランサムウェアが総合3位に入りました。 理由として、今までランサムウェアの攻撃に使われてきた言葉は、英語や不自然な日本語でしたが、2015年には流暢な日本語でメッセージを表示するランサムウェアが登場する等、攻撃の手口が巧妙化してきたことが大きいでしょう。
(参考:https://www.ipa.go.jp/security/vuln/10threats2016.html)
また、ランサムウェアの日本での被害報告数は前年同期比7倍、特に法人での被害報告は同比9倍となっています(トレンドマイクロ調べ)。
(参考:http://blog.trendmicro.co.jp/archives/13704 画像出典元:トレンドマイクロ株式会社)
ランサムウェアの感染経路
ランサムウェアの主な感染経路
- その1「スパムメール」
メール内の不審な添付ファイルの実行や本文URL先の攻撃サイトによって感染。 - その2「不正Webサイト」
不正Webサイトによる脆弱性攻撃や不審なデータのダウンロードによって感染。
上記はあくまでも感染経路の一部です。ランサムウェアは日々進化し、攻撃方法は巧妙化し、あらゆる手段を使って進入してきます。
巧妙な攻撃手段に注意
「標的型攻撃メール」に注意!攻撃者は巧妙な手口で騙してくる!
特定の対象を狙って分析し、ターゲットがメール内URLや添付ファイルを開くよう誘導する標的型攻撃メール。ランサムウェアの中にはWordやExcelのようなOfficeドキュメントファイルを用いて感染させるもの*1もあり、標的型攻撃メールと非常に相性が良いといえます。例えば、特定の企業を装ったメールアドレスを利用し、添付ファイルに会議資料等を偽ったドキュメントファイルを載せる事が可能なため、受信者は攻撃だとすぐに気付かず、安易に開封してしまうでしょう。
*1 国内で猛威を振るっているランサムウェアの1つ、「Locky」。
「Locky」はスパムメールに添付されたJavaScript(拡張子.JS)ファイルの実行、またOfficeドキュメントファイルのマクロを実行すると、Lockyを配布するサーバーに強制的に通信し、本体をダウンロードするプログラムが実行され、感染する。感染したLockyはPC内の大切な写真や書類等、あらゆるファイルを暗号化し、暗号化されたファイルは「.locky」という拡張子に変更され、開くことができなくなる。
(参考:http://blog.trendmicro.co.jp/archives/12894 画像出典元:トレンドマイクロ株式会社)
「脆弱性攻撃」に注意!不審なWebサイトに気をつけるだけではダメ!
ランサムウェアにはPC内のOSや各種アプリケーションの脆弱性を攻撃し、強制的にインストール・感染する種類も存在します。脆弱性対策ができていない場合、不審なWebサイトを閲覧しない、不審なファイルをダウンロードしない、というだけでは、感染を防ぐことはできません。企業の公式HPだからと安心して閲覧したとしても、そのサイトが攻撃者によって改ざんされていた場合、不正広告等が表示され、サイトの表示処理の裏でランサムウェアの感染プログラムが勝手に実行され、感染する可能性があります。
ランサムウェア対策として何をするべきか
ここまで長々とランサムウェアの脅威をご紹介しましたが、では実際にどんな対策をすればいいのか、日ごろの業務で何に気をつければいいか、ご紹介します。
感染しないための対策
1 |
|
2 |
|
3 |
|
4 |
|
5 |
|
感染してしまった場合の対策
1 |
|
2 |
|
3 |
|
*2 「3箇所にバックアップを取る。少なくとも2種類の媒体でバックアップを取る。少なくともバックアップの一つはオフサイト(隔離)にする。」というバックアップ取得ルール。
バックアップが損壊しても代わりがある。バックアップが同じ原因で損壊しないようにする。震災等でバックアップが損壊しないようにする。というように、バックアップファイルの保護を目的として作られた。
感染を想定した「バックアップ」の重要性
ご紹介した対策は日々の業務の中で実施できるごく簡単なものばかりです。例えば「不審なメールを安易に開かない」。たったこれだけの意識があるか無いかで感染する確率に大きな差が出るでしょう。メールでのやり取りの多い企業であれば尚更、スタッフ一人ひとりが対策を意識できるよう、ルールを策定したり、定期的な指導を実施したり、万が一の事故が発生しないよう意識付けを徹底する必要があるでしょう。
しかし、ランサムウェアの攻撃手段は日々巧妙化し、そして被害も増大し続けています。
「感染しないための対策は、決して感染確率を0にするものではありません」
どれだけスタッフ一人ひとりが気をつけても、どれだけお金をかけて対策製品を導入しても、感染する可能性は残ります。感染してしまえば、重要なファイルが暗号化され、正常に業務ができず、最悪の場合は企業の存続にも影響を与えかねません。また、攻撃者に対し身代金を支払ったとしてもデータが復元される保証もありません。
今回、皆様にお伝えしたいランサムウェア対策で最も重要な事は、
「感染しても、すばやく元の状態に戻せるようにしておくこと」です。
定期的にバックアップを取得し、適切にバックアップファイルを管理し、すぐにバックアップを復元できるよう備える。「万が一」が発生した場合でも手遅れにならないために、今一度ランサムウェアの対策状況を確認してください。
おわりに
今回は【特別編】として「2016年ホットな脅威!ランサムウェア対策(入門編)」をお送りしました。
次回は「プライバシ保護とデータ利活用の対策が進化する」をテーマにお送りします。
NTTソフトウェア株式会社
クラウド&セキュリティ事業部
第一事業ユニット