Embed Size (px)
Citation preview
ランサムウェア被害を回避するためのポイント
企業各社の間では、40秒に1回の頻度でランサムウェア攻撃が発生しています。身代金と聞くと、多くの人は、新聞や雑誌の文字を切り抜いて作った脅迫状を思い出すのではないでしょうか。漫画や映画の「バットマン」に登場する悪役ジョーカーが送りつけたあの手紙です。しかし現実のランサムウェア攻撃は、映画のようにハラハラドキドキして楽しめるものではなく、映画よりもさらに悪質です。その破壊活動の矛先は、PCだけでなくモバイル・デバイスにも向けられています。
ランサムウェアは、攻撃ツールとして広く使用されるようになっており、多くの場合、トロイの木馬として拡散しています。正規のファイルに偽装されており、ユーザをだましてダウンロードさせ、開かせようとします。またWannaCryやNotPetyaのケースでは、ユーザに直接ファイルを開かせるのではなく、ワームとしてコンピュータ間で感染を広げます。
広範囲に被害を拡大しているランサムウェアですが、その感染を防ぐことは決して不可能ではありません。ランサムウェア感染は1つの可能性であって、絶対に避けられないというわけではないのです。適切なアンチランサムウェア・ソリューションを使用すれば、感染や破壊活動を阻止することができます。
ランサムウェア被害を回避するためのポイント | 2
ランサムウェア被害を回避するためのポイント | 3
概要ランサムウェアは、ある意味で人間的な、非常に悪質なマルウェアです。その活動は、他人の家に押し入り、コンピュータを盗み出す行為に似ています。ランサムウェアに感染したコンピュータは、実質的に使用不能となり、ユーザはデータにアクセスできなくなります。主な感染のきっかけは、ソーシャル・エンジニアリング手法にだまされたユーザが、不正なファイルをそれと知らずに不注意で開いてしまうことです。ソーシャル・エンジニアリングとは、認証情報を入手したり、不正なソフトウェアをインストールさせてコンピュータを乗っ取ることを目的に、巧妙な手口でユーザをだます手法を指します。
攻撃者は、このようにしてユーザが気づかぬうちにランサムウェアをインストールさせます。ユーザが不正なファイルを開くとすぐ、コンピュータのロックやバックアップの削除、ファイルの暗号化などの処理が行われます。そして、「すべてのファイルがロックされました!」という無慈悲なメッセージが表示されるのです。
ランサムウェアにとって最も重要なのは、身代金を支払わせることです。感染に成功したランサムウェアは、身代金の支払いを要求する「脅迫状」を表示します。多くの場合、身代金の支払いは、Bitcoinなど指定の仮想通貨で行うように指示されます。攻撃者が仮想通貨を好むのは、追跡不能で、規制当局による規制がほとんど存在していないからです。
ランサムウェア攻撃の目的はただ1つ、ランサムウェアを拡散し、感染を広げ、身代金を回収することです。ちなみに、コンピュータやデータを人質に金銭を要求するという攻撃手法は、決して目新しいものではありません。実は、ランサムウェアは数十年前から存在しています。
確認されている史上初のランサムウェア攻撃は、1989年に発生した、AIDS Trojan(別名PC Cyborg)と呼ばれるマルウェア
によるものです。「初歩的な技術」だったこのランサムウェアは、2万枚以上のフロッピー・ディスク経由でAIDS(後天性免疫不全症候群)の研究者にばらまかれました。AIDS Trojanは、ドライブ上のファイルを隠蔽し、ファイル名を暗号化して、あるソフトウェアのライセンス有効期限が切れたというメッセージを表示。修復ツールがほしければ189米ドルを支払うように要求しました。しかし、ランサムウェアのコードから簡単に復号化ツールを抽出できるようになっていたため、身代金を支払わせようとする試みは失敗に終わっています。
ランサムウェア被害を回避するためのポイント | 4
急増するランサムウェア
Bad RabbitやCryptolocker、TelsaCrypt、WannaCry、NotPetyaなど、このところ、大規模なランサムウェア攻撃が世界各地で混乱を引き起こし、メディアで大きく報道されています。実際、ランサムウェア攻撃の発生件数は2015年から2016年にかけて
世界全体で36%増加し、さらに身代金の平均要求額も同期間に294ドルから1,077ドルへと増加しています1。
ランサムウェアが行う破壊活動は、データの暗号化だけではありません。ランサムウェア感染事例の83%では、ファイルをアクセス不能にする暗号化型ランサムウェアが使用されていました。一方、データやファイルへのアクセスを妨害するだけの非暗号化型ランサムウェアは10%を占め、身代金を支払わなければ機密データを漏洩させると脅迫するタイプも6%存在します2。
全体として、ランサムウェアは、2018年も増加の一途を辿ると予想されます。2016年上半期に確認されたランサムウェア・ファミリーは109種類でしたが、2017年上半期には179種類が確認されています。ランサムウェアは、新たな手口の採用、攻撃規模の拡大、身代金要求額の増大によって、さらに被害を拡大していくことでしょう。このランサムウェア被害を防ぐ方法は、攻撃者の思いどおりにさせないこと以外にありません。
ランサムウェア被害を回避するためのポイント | 5
ランサムウェアについて 理解しておくべき5つのポイント
1. だれでも感染する可能性がある
攻撃者は非常に巧妙です。ランサムウェアが他のマルウェアと大きく異なるのは、感染を発覚させる必要がある点です。感染を阻止されては目的を達成できませんが、感染に気づかれること自体はむしろ必要なのです。指令サーバとの通信が基本的に不要であるランサムウェアでは、ペイロードが小さくて済むため、感染や標的のコントロールは比較的容易に実行できます。ランサムウェアは、電子メールや不正なリンク、エクスプロイト経由で拡散します。エクスプロイトでは、ソフトウェアの脆弱性がコンピュータへのバックドアとして悪用されます。
攻撃者は、データ復元のための身代金を手頃な額に設定することで、個人から企業、各種組織まで、幅広い対象を標的とします。通常、身代金の支払期限は72時間に設定されます。支払いには匿名の仮想通貨(主にBitcoin)が指定され、時間の経過につれて身代金が増額されていきます。
攻撃者は、投資対効果を高めるため、手当たり次第に攻撃を仕掛けます。身代金を支払ったユーザには復号鍵が送られ、データにアクセスできるようになります。しかし、身代金を支払ったユーザは、「得意客」として攻撃者に認識されます。一度支払ったからには、次も支払うだろうと見なされるのです。攻撃者は、価値の高いユーザを見定めることで、確実に成果を上げようとします。
攻撃者から見た、クレジット・カード番号や個人情報を窃取する従来型のサイバー犯罪と、ランサムウェア攻撃の大きな違いは、後者の方がはるかに逮捕の危険性が低いという点です。仮想通貨を利用した金銭のやり取りは、実質的に追跡不能です。つまり攻撃者は、標的を選ぶ必要がないため、ユーザはだれでも被害に遭う可能性があります。どれほどITに詳しくても、十分な知識を得ていても、被害者になり得ます。またランサムウェアは、ほとんどすべてのエンドポイントから侵入する可能性があります。感染経路も、電子メールの添付ファイルやソーシャル・エンジニアリング、ネットワーク経由の拡散、共有サービス経由の拡散など、多種多様です。
ランサムウェア被害を回避するためのポイント | 6
販売されるランサムウェア
ダークWebを利用すれば、だれでもサイバー犯罪者になることができます。最近では、サイバー犯罪に参入する足がかりとして、
Ransomware-as-a-Service(RaaS)を利用してランサムウェアを購入する新参者が増えています。初心者ハッカーは、ダークWeb上にホストされたシンプルなWebコントロール・パネルからRaaSを購入することで、広範囲に向けた高度な攻撃をいとも簡単に実行できます。その手続きは、一般的なSoftware-as-a-Service(SaaS)を利用する場合と何も変わりません。
代表的なRaaSパッケージの1つであるCerberは、サイバー犯罪者向けのアフィリエイト・プログラムとして運用されています。ロシアで開発されたといわれるCerberランサムウェアは、不正なMicrosoft Office文書を添付した電子メールで感染を広げます。ユーザがこのメールを開くと、ファイルがRC4およびRSAアルゴリズムで暗号化され、拡張子が「.cerber」に変更されます。Cerberは、デスクトップと、ファイルを暗号化したすべてのフォルダに3つの脅迫状を残します。Cerberが要求する身代金の額は、数百ドルから数千ドルまでさまざまです。
要点だれでもランサムウェアの標的になる可能性があり、感染被害を受ける可能性がある。
ランサムウェア被害を回避するためのポイント | 7
2. 従来型のアンチウイルスでは不十分
ある調査によると、回答組織の79%は、現在使用しているシグネチャ・ベースのアンチマルウェア(アンチウイルス)ソリューションでは、ランサムウェア対策として不十分であると感じています³。昨今の攻撃者は高い知性を備えており、高度なアンチウイルスによる検出をすり抜ける術を熟知しています。多くのランサムウェアは、デスクトップやドキュメント・フォルダにあるファイルを暗号化します。
アンチウイルス・ソリューションを導入していれば、あらゆる種類のマルウェアから自動的に保護されると誤解している人もいますが、実際には、ランサムウェアはかなりの確率でアンチウイルスをすり抜けます。従来型のアンチウイルスは、既知のシグネチャに基づいてマルウェアを検出します。脅威がシグネチャで確認できた場合、その脅威をブロックするのです。アンチウイルスで検出できるのは既知の脅威のみであるため、新種や変種のランサムウェアには対応できません。仮に、ランサムウェアを正しく検出できるシグネチャを備えていたとしても、暗号化されたファイルを元に戻すことはできません。
ただし、アンチウイルス・ソリューションは、ランサムウェアによる被害を防止できないとしても、既知の攻撃に対しては高い効果を発揮します。マルウェア攻撃の大半は防御できるため、総合的なセキュリティ対策の一環として、必ず導入しておく必要があります。
要点アンチウイルス・ソリューションは、既知のマルウェア対策として欠かせないが、ランサムウェア対策としては不十分である。
ランサムウェア被害を回避するためのポイント | 8
3. バックアップは最後の手段
ランサムウェア対策のベスト・プラクティスについて解説する文書は多数公開されています。理屈でいえば、バックアップを作成しておけば、ランサムウェアによってファイルを暗号化されてもすぐに復元できるように思えます。しかし多くの組織では、バックアップを作成する際、すべてのファイルをバックアップする、定期的にバックアップする、いざ必要となったときにバックアップから復元できるかどうか事前にテストしておく、といった事前の準備が十分とはいえません。さらに、バックアップをネットワーク・ドライブに保存しているようなケースでは、ローカル・ドライブのファイルと同じくランサムウェアによって容易に暗号化されてしまいます。これでは、ファイルを復元しても、ランサムウェアによって暗号化されたファイルが復元される結果となります。
バックアップがうまくいかないもう1つの理由は、バックアップ戦略の策定に関する知識が欠けていることです。大規模組織でランサムウェア感染が発生した場合、復元プロセスは非常に煩雑となります。大規模な組織には、さまざまなタイプのデータ、ファイル、エンドポイントが存在するからです。ファイル復元の負担は甚大であるため、この困難に直面した組織は、その手間を回避するため、身代金を支払うという決断を下すケースが少なくありません。
要点状況を問わず、バックアップの作成は常に推奨されるが、バックアップがランサムウェアによる被害を防いでくれるわけではない。
ランサムウェア被害を回避するためのポイント | 9
4. 多層防御のアプローチ
今日では、あらゆるデータがサイバー攻撃のリスクにさらされています。アイデンティティ情報(社会保障番号やパスワードなど)、デバイス、アプリケーション、データなど、デジタル資産であれば、どのようなものでも攻撃の標的になり得ます。攻撃者は、金銭的利益や恐喝、詐欺などを目的に、デバイスを侵害して個人データにアクセスしようと試みるため、このようなデータへの不正アクセスを防ぐための対策が必要です。
保護の形として最も効果的なのは「防御」ですが、多層防御のアプローチを用いれば、ランサムウェアによるデータの暗号化を未然に防ぐことができます。異なる種類の保護メカニズムを組み合わせることにより、侵入前の時点でランサムウェアを防御することが可能になるのです。サイバー攻撃では、Web、電子メール、エンドポイントなどが攻撃経路として使用されます。既知の攻撃は、IPS、アンチウイルス、アンチボット、アンチスパム、アンチフィッシングなどの技術で防御できます。また未知の攻撃やゼロデイ攻撃は、サンドボックス、コンテンツの無害化と再構成、アンチウイルス、アンチランサムウェアで防御可能です。
エンドポイントでのセキュリティ対策は必ず必要です。ゲートウェイでの対策だけでなく、標的となる対象そのものにも対策が欠かせないのです。ネットワークで検出できなかった脅威も、エンドポイントで検出できる可能性があります。優れた多層防御システムでは、複数のレベルで攻撃を防御できます。セキュリティ対策のギャップを埋めるには、各レベルでの保護が必要です。エンドポイント保護レイヤを複数用意すれば、脅威のリスクを低減できるほか、アンチランサムウェアの手前で脅威を防御できる場合があります。しかし、多層防御のアプローチは効果的である一方、それですべてを防御できるとは限りません。このような場合に出番となるのが、アンチランサムウェアです。
要点多層防御のアプローチは脅威のリスクを低減し、Web、電子メール、エンドポイントという複数の攻撃経路を保護する追加のレイヤを提供する。
ランサムウェア被害を回避するためのポイント | 10
5. ランサムウェア対策ソリューションはすでに存在する
増加の一途を辿るランサムウェア攻撃ですが、その新たな被害者となることは回避できます。ランサムウェアが増加する一方で、その攻撃を防御するためのソリューション、つまりアンチランサムウェアが登場しているからです。
アンチランサムウェア・ソリューションが効果的であるためには、3種類の主な機能を備えることが重要です。それは、1)不審な振る舞いを検出する能力、2)攻撃を防御する能力、そして3)被害を復旧する能力です。複数のアンチランサムウェア・ソリューションを比較検討する際には、システムへの影響、誤検出率、検出性能、復旧能力を基準とする必要があります。この他のポイントとしてパフォーマンスへの影響も重要です。セキュリティ面で非常に強力であっても、PCの動作が極端に遅くなるのでは、実用的ではありません。
しかし、すべてのアンチランサムウェア・ソリューションが、あらゆる種類のランサムウェアに対応できるわけではありません。ほとんどのソリューションは、一般的なタイプのランサムウェアを防御する、または、すでに感染被害を受けたコンピュータから
ランサムウェアを駆除できます。優れたアンチランサムウェア・ソリューションであれば、あらゆる種類のランサムウェア攻撃を防御
できます。感染を最初から防止することはもちろん、その活動に素早く対処することが可能です。すべての検出レイヤを突破され、感染が発生した場合でも、暗号化プロセスを監視し、ローカル・コピーを使用してデータを復元する機能も備えています。
アンチウイルスが果たす役割は、アンチランサムウェアとは異なります。両者が提供する保護レベルの違いを次の表に示します。
ランサムウェア被害を回避するためのポイント | 11
機能 アンチウイルス アンチランサムウェア
マルウェア感染Webサイトへのアクセス遮断 √
既知の不正なファイルの侵入阻止(電子メール、USB、
Web経由)√
既知の特徴を備えるマルウェアの検出 √
未知のランサムウェアによるゼロデイ攻撃の阻止 √
ランサムウェア攻撃の検出 限定的 √
PCを不正にロックする行為の阻止 √(製品による) √
他のアンチウイルス、ファイアウォール、PC向け
各種セキュリティ・ソリューションとの共存√(アンチウイルス以外は可能) √
振る舞い分析に基づく検出 √(製品による) √(部分的に対応)
暗号化されたファイルの検出、ブロック、復元 √
フォレンジック分析 √(部分的に対応)
新たなサイバー攻撃の一歩先を行くために、アンチランサムウェア・ソリューションが果たす役割は重要です。企業や各種組織、個人がアンチランサムウェアを導入すれば、妨害を受けずに業務や作業を継続し、サイバー攻撃によるデータ損失という深刻な被害を防止することができます。
要点最終防衛ラインとなるアンチランサムウェア・ソリューションを導入して、ランサムウェアによる被害を未然に防ぐ必要がある。
ランサムウェア被害を回避するためのポイント | 12
結論ランサムウェア攻撃に確実に対処できなければ、甚大な被害に見舞われて、業務やビジネスが麻痺状態に陥りかねません。セキュリティに関する一般的なベスト・プラクティスやアンチマルウェア・ソリューションは、既知の存在となっている古いランサムウェアには一定の効果を発揮します。しかし、ランサムウェアは進化と高度化の一途を辿っており、従来の対策だけでは、未知のゼロデイ攻撃を検出、防御することはできません。
Check Point SandBlastのアンチランサムウェア機能は、あらゆる種類のランサムウェア攻撃から組織を保護します。感染そのものの防止に加えて、ランサムウェアの活動に素早く対処できます。チェック・ポイントのSandBlastテクノロジーは、高度なセキュリティ・エンジンとアルゴリズムに基づき、巧妙で検出困難なランサムウェアの感染活動を自動的に見つけ出し、ブロックして駆除し、さらにファイルの復元も可能とします。
シグネチャに依存しない予測型の振る舞い分析技術を搭載するSandBlastのアンチランサムウェア機能は、ゼロデイのランサムウェアを検出して対処し、攻撃時に暗号化されたデータやファイルをほぼ瞬時に復元することにより、ビジネスへの影響を最小限に抑えます。多層防御のアーキテクチャを採用するCheck Point SandBlastは、包括的なソリューションの一部としてランサムウェア対策機能を提供します。
関連資料
Ransomware: A New Approach to Identifying, Blocking and Real-Time Remediation
詳細
SandBlast Agent
1 出典:Ransomware Protection:Five Best Practices Harden Your Defenses Now For This Growing Threat.Chris Sherman and Salvatore
Schiano, July 27, 2017.
2 出典:2017 Ransomware Defense Survey:The Enterprise Strikes Back.SMG Information Security Media Group and Check Point
Software Technologies LTD.
3 出典:2017 Ransomware Defense Survey:The Enterprise Strikes Back.SMG Information Security Media Group and Check Point
Software Technologies LTD.
製品に関するお問い合わせチェック・ポイント・ソフトウェア・テクノロジーズ株式会社〒160-0022 東京都新宿区新宿5-5-3 建成新宿ビル6F Tel:03( 5367 )2500 E-mail:[email protected] http://www.checkpoint.co.jp
©2017 Check Point Software Technologies Ltd. All rights reserved.
※記載された製品仕様は予告無く変更される場合があります。最新の仕様については、弊社または販売会社まで、直接お問い合わせ下さい。 P/N EWO5BJ0
