ホーム > PC-Webzineアーカイブ > 企業を狙うランサムウェアにはセキュリティ対策とバックアップで対抗

企業を狙うランサムウェアにはセキュリティ対策とバックアップで対抗

企業を狙うランサムウェアにはセキュリティ対策とバックアップで対抗

2017年04月04日更新

Never Surrender to Data Terrorist
データテロリストに屈しない ランサムウェア全方位提案

端末ロック型と暗号化型

身代金を意味する「Ransom」と「Software」を組み合わせた「ランサムウェア」は、文字通り感染させたPCやそのデータを人質にとって身代金を要求する悪質な不正プログラムやその手法の総称となっている。感染すると、データやPCが使用できなくなることに加えて、身代金の支払いによる金銭的な被害が発生する可能性もある。身代金の支払い方法は、追跡が難しいビットコイン①などが利用される。


その歴史は古く、1990年代前後には最初のランサムウェアが確認されているという。それから現在に至るまで着実に進化し、近年爆発的に被害が拡大している状況だ。知識がなくてもランサムウェアの利用を可能にするランサムウェアサービス「RaaS(Ransomware as a Service)」などがアンダーグラウンドで提供されるなど、さまざまな面でランサムウェアがビジネスとして成り立っている背景がある。


ランサムウェアを大別すると2種類に分けられる。「端末ロック型」と「暗号化型」だ。端末ロック型は、感染させたPCを画面ロックなどの手口で操作不能にし、端末そのものを人質にする。多くの場合、ランサムウェア自体を駆除できれば端末の操作は可能になる。一方、暗号化型は感染させた端末内のデータやネットワーク共有されたデータを暗号化してデータを人質にとる。こちらはランサムウェア自体を駆除してもデータは暗号化されたまま残るため、被害が深刻化しやすい。


最近は暗号化型のランサムウェアが多く登場している。例えば、データを暗号化するためにC&Cサーバー②を利用する「CryptoLocker」や、多言語に対応した「Locky」、HDDを丸ごと暗号化する「Petya」など。Windowsだけでなく、MacやLinuxも狙われており、端末ロック型では、Android端末をロックするランサムウェアなども確認されている。


①ビットコイン
インターネット上で取引や通貨発行が行われる仮想通貨。


② C & C サーバー
Command & Control Server。マルウェアに感染させたコンピューターにコマンドを送って制御するサーバー。

企業の被害が拡大

ランサムウェアの被害傾向として特に指摘されているのは、企業へのターゲットシフトだ。企業が事業に関わる重要なデータを暗号化されてしまった場合、身代金を払う可能性は高く、さらにその身代金の額も個人と比較して高額に設定できると考えているからだろう。実際、企業に対する攻撃や企業PCにおけるランサムウェア検出台数などが2015年~2016年で大幅に増加しているというデータが各ベンダーから発表されている。


例えば、トレンドマイクロのクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network」の統計では、国内でのランサムウェア検出台数は2015年の6,700件に対して2016年は6万5,000件を超えた。企業だけでみれば、1,000件から1万6,600件に拡大している。被害報告件数は2016年の1年間で2,810件となり、前年比で3.5倍、約8割が企業からの報告だったという。同社では、「ランサムウェアによるネットワーク上のファイルを含めたデータ暗号化の活動が、法人の業務継続に深刻な被害を与えている」と分析している。


特定分野を狙った標的型攻撃のツールとしてランサムウェアが利用されるケースも増えている。例えば米国では医療機関が狙い撃ちされ、実際に病院などが被害を受けているという。また、ランサムウェアの日本語対応が標準化している状況もあり、従来のように言語の問題で被害を免れられるという環境ではなくなっている。

セキュリティ対策とバックアップ

企業データやシステムをランサムウェアからどう守るか。ポイントは二つ。セキュリティ対策とバックアップだ。


ランサムウェアの感染経路は、従来のマルウェアと変わらない。ほとんどは、不正なプログラムが添付されたメールを開くか、不正に改ざんされたWebサイトへのアクセスによって感染する。標的型攻撃と同様、攻撃者はソーシャルエンジニアリング③なども活用して、添付ファイルを開かせたり、不正なWebサイトにアクセスさせようとする。そのため基本的にはWebやメールからの侵入を防御する仕組みが必要だ。また、ランサムウェアにとって入口となるPC、つまりエンドポイントにおけるセキュリティ対策は必須となる。


一方で、すでにセキュリティの考え方としては常識となっているが、侵入を前提とした対策も講じる必要がある。標的型攻撃では内部に侵入されても情報を外部に出さないようにする対策など多層防御が求められたが、データを暗号化して人質にとってしまうランサムウェアに対しては、事前にデータのバックアップをとっておくことが重要になる。常にデータが別の場所にバックアップされていれば、例えPCのデータが暗号化されたとしても、バックアップデータを復旧させれば被害を免れられる。


そこで次回からは、セキュリティ対策とバックアップについて、各ベンダーの考え方とともに具体的な製品について解説していこう。


③ソーシャルエンジニアリング
人の心理的な隙を狙う手法。なりすましメールなど。

 続きを読む  トレンドマイクロの六つの掟と、カスペルスキーのシステムウォッチャー

キーワードから記事を探す