ランサムウェアの脅威からネットワークを守る方法
2015年5月25日 ウォッチガード・テクノロジー・ジャパン株式会社 著
あなたのデータを人質として預かっています – 期限内に入金してください。
リーアム・ニーソン主演の映画「誘拐の掟」は「誘拐」をテーマとしたものですが、今やサイバースペースでの誘拐が新たな脅威として台頭してきています。コンピュータ上のデータを人質として身代金を要求するもので、映画ネタとしては地味ですが、昨今のIT担当者の重要懸念事項となっています。
「ランサムウェア」とは、コンピュータ中にある情報へのアクセスを暗号化し、金銭的要求に応じないと情報にアクセスできないようにする営利目的の悪質なマルウェアのことを指しており、10年以上前からいくつかのパターンが確認されており、この数年で爆発的に増加しています。急増の理由は非常に簡単で、人や企業によるコンピュータ上のデータへの依存度が高まっているからです。
データが家族写真、音楽、確定申告書、あるいは組織の重要な業務ファイルやプログラムであるかにかかわらず、誰もが金銭を支払ってでも、それらの情報を取り戻したいと考えており、悪意のある攻撃者にとってランサムウェアは金銭を搾取するビジネスモデルになっているのです。
ランサムウェアの仕組みとは:もはや切抜き文字を使った手紙は不要
ランサムウェアは、一般的なマルウェアと同様に、安易なWebブラウザによるサイトの閲覧、あるいはドライブバイダウンロードサイトやボットネットへのリンクが含まれているフィッシングメールやスパムをクリックすることでインストールされ感染します。ユーザが一度でも不正なリンクをクリックしてしまうと、高度な暗号化手法により、ファイルやプログラムへのアクセスがロックされ、感染したコンピュータはランサムウェアに乗っ取られてしまいます。ランサムウェアには、カウントダウンタイマーや、時間の経過とともに要求金額を増やすなどの仕組みが含まれています。
ランサムウェアが進化するにつれ、文書、写真、さらにはSCADAやCADファイルなどの高度な専門プログラムまで、広範なデータのタイプを標的とした新種が登場してきており、ネットワークを通じてオンライン共有サイトやクラウドストレージサイトにまで侵入しています。さらにモバイル版のランサムウェアの存在も確認されており、2014年5月にFind My iPhone(「iPhoneを探す」)機能を経由した侵入が発見されており、Appleのエコシステムよりも制約の少ないアプリ市場が展開されているAndroidモバイルフォンが標的にされるケースが増大していると思われます。
ランサムウェアの進化の傾向
- 暗号化するファイルタイプを増強
- 共有ファイルやクラウドファイルのスキャン
- 業界内の強力な暗号化方式(RSA-2048)を使用
- オリジナルやバックアップの削除機能
- 回避機能:マルウェアのリパックと暗号化、ステージローディング
- ビットコイン詐取などのマルウェアペイロードの付加
- P2PやTorの多用による匿名化
- 「フリーミアム」モデルでアクセスを制限し、フルアクセスには金銭を要求
- 時間の経過とともに要求金額を加算
ランサムウェアに対する防御 – 誰でも実践できる方法
もしもランサムウェアに感染した場合には、時間をかけるわけにはいきません。ここから、悪質なマルウェアから身を守るための方法についてカウントダウン方式で順を追って説明します。まず、前もって準備、防止するためのテクニックから始まり、次に万が一あなたあるいは知人が被害に遭ったときの対処方法のヒントを紹介します。
3…準備
もしも「子供の誘拐」が心配ならば、あなたもしくは家族が潜在的に危険な状況に陥らないためにあらゆる手段を講じるはずです。サイバースペースでの誘拐も同じことです。ランサムウェアは、標的型のフィッシングメールや、添付ファイルあるいはドライブバイダウンロードサイトへのリンクが貼られたスパムを通じて、他のマルウェアと同じ方法で侵入してきます。IT担当者は定期的にユーザに対して、メールの安全な取扱い方法や適切なWebブラウジングをトレーニングし、インターネットの危険を回避するための支援を行う必要があります。
家で例えるなら、壊れた窓やドアの錠前を修繕するように、組織のコンピュータシステムを絶えずアップデートしておくことが大切です。攻撃者に悪用される脆弱性の多くは、古いパッチのままであるため、システムを常にアップデートしておくことで、マルウェアの侵入を防げる可能性を高めることができます。
ランサムウェア対策で最も重要なのは、ファイルやデータのバックアップを取っておくことです。バックアップシステムをシンプルなものにし、自動化することで、より使い易いものにしておくことです。自動バックアップ機能でデータパーティションを作成し、重要ファイルについてはオフラインや暗号化バックアップを活用することにより、ランサムウェアのネットワーク共有から身を守ることができます。
2…防止
よいニュースとしては、セキュリティベンダーは他のマルウェアとともにランサムウェアを追跡し、最新のアンチウイルスツールでは多くのランサムウェアの侵入を防ぐことが可能です。悪いニュースとして、マルウェアの88%近くがシグニチャベースのアンチウイルスツールを回避するために姿形を変えているため、最新のツールを用いてもランサムウェアに対処できるようになるには数週間かかる場合があります。つまり、シグニチャが作成されるよりも早く姿形を変えるマルウェアに対応するには、より高度な脅威保護機能が必要だと言えます。高度な脅威保護機能ではシグニチャだけに頼らず、仮想サンドボックスを活用して疑わしいファイルをスキャンし、行動分析が行われるため、未知のランサムウェアも特定することができるのです。サンドボックスの機能によっては、サンドボックス環境を検知して回避するコードを含んだ高度なマルウェアでさえも検出して、浸入を阻止することが可能になっています。
1…対処
あらゆる準備と防止策を施したとしても、攻撃者にシステムに侵入されてしまうかもしれませんが、落胆しないで下さい。ランサムウェアがシステムに侵入したら、多くのケースではC&Cサーバ(コマンド&コントロールサーバ)を用いて攻撃元に「連絡」し、ファイルを暗号化するための公開/秘密鍵を取得しにいく必要があります。つまりマルウェアによる「連絡」を検知し、防御できれば、攻撃を防ぐことができるのです。従業員が不適切なサイトまたは業務に関係のないサイトにアクセスすることを防ぐために、企業では一般的にURLフィルタが有効ツールとして利用されていますが、ウォッチガードのWebBlockerのような製品が備えている、最も評価されていない優れた機能の1つとして、ボットネットや高度な脅威コマンド&コントロールセンタなどの悪意のあるサイトのカテゴリを防御する機能を挙げることができます。
暗号化マルウェアの新種はオフラインでも完全に機能することが可能であり、データがロックされてしまうかもしれません。それでも諦めてはいけません。敵を知ることです。多くのケースでは、ランサムウェアを特定することで対処できる可能性があります(参考に BleepingComputer.com をご覧下さい)。まずはアンチウイルススキャナをダウンロードし、ハードドライブをオフラインでスキャンして下さい。この方法によりロックスクリーンのランサムウェアを解除できる場合があります。また、旧型の暗号化ランサムウェアの中には、暗号化性能が劣っているものがあり、ファイルを復号できるツールがあります。さらに、古いランサムウェアはファイルを上書きしないので、Windows「シャドウボリューム」またはアンデリートソフトウェアを使ってファイルを取り戻すこともできます。初期のCryptolockerの亜種も対策が施されDecryptCryptolocker.com などのサイトから秘密鍵を取得することができます。
タイムアップ(時間切れ)
最悪の事態が発生したら、恐喝者に身代金を支払う前に時間をかけてよく考えて下さい。重要なファイルが消えることはショックかもしれませんが、身代金を一度払ってしまえば、攻撃者は成功体験からさらに付け込んでくるでしょう。ランサムウェアも他のマルウェアと同じく、あらゆる手法で侵入を試みてくるため、NGFW(次世代ファイアウォール)あるいはUTM(統合脅威管理)システムなどできめ細かい防御策をとり、どこから攻撃を仕掛けられても安全な体制を整えておくことをお勧めします。