Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
企業がさらされているサイバー脅威の現実
上級スレットディフェンスエキスパート
新井悠
Copyright © 2016 Trend Micro Incorporated. All rights reserved. 2
企業を脅かすランサムウェアの脅威
3 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
法人利用者でランサムウェア被害拡大中
• 国内法人利用者での検出台数:2.6倍*¹
• 国内法人での被害報告は前年比16.2倍*²
※1 トレンドマイクロSPNによる
法人ユーザからのランサムウェア被害報告件数推移(日本)※2
※2 2014年1月~2015年12月トレンドマイクロの法人向けサポートセンターへのランサムウェアに関する問い合わせ数。
ランサムウェア検出台数推移(日本)※1
380 1000
7220 5700
0
1000
2000
3000
4000
5000
6000
7000
8000
2014年 2015年
法人 個人
40
650
0
100
200
300
400
500
600
700
2014年 2015年
4 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
ランサムウェアの種類
• 端末ロック型
– 画面ロックなどの手口で感染端末を操作不能にすることで「感染端末を人質」にするタイプ
– ほとんどの場合、ランサムウェア自体を駆除できれば端末は操作可能になる
– 警察などの法執行機関を詐称するタイプは、特に「ポリスランサム」と呼ばれる
• 暗号化型
– 感染端末内のデータやネットワーク共有上のデータを暗号化し使用不能にすることで、「データを人質」にするタイプ
– ランサムウェア自体を駆除してもデータは暗号化されたまま残るため、被害が深刻化しやすい
5 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
端末ロック型「ポリスランサム」事例
※端末ロック型ランサムウェア(ポリスランサム)の身代金要求画面例
6 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
暗号化型ランサムウェア事例
• 2013年9月:CryptoLocker
–データ暗号化のためにインターネット経由でC&Cサーバを利用する初のランサムウェア
※暗号化型ランサムウェアの身代金要求画面例
7 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
暗号化型ランサムウェア
8 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
共有フォルダの暗号化
• 2015年3月前後に登場した「CryptoFortress」の亜種において、ネットワーク内の共有ファイルを探し暗号化する活動を確認
• 企業などのネットワークに侵入した場合、ファイルサーバ上の共有データが暗号化されるなど、被害が深刻化しやすい
CryptoLockerの身代金要求画面例
9 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
ランサムウェアの「日本語対応」
• 2014年3月 暗号化型ランサムウェア「BitCrypt」の亜種において、日本語表示を初確認
※「BitCrypt」の日本語による身代金要求表示例
※「CryptoWall」の日本語による身代金要求表示例
• 2015年4月暗号化型ランサムウェア「CryptoWall」の亜種でより本格的な日本語表示を確認。
• 以降、ランサムウェアの日本語対応が定番化
10 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
破壊的・壊滅的なランサムウェア
• PETYA:マスターブートレコード(MBR)を上書きして起動不能にする暗号化型ランサムウェア
システム領域に感染する暗号化型ランサムウェアの身代金要求画面例
11 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
破壊的・壊滅的なランサムウェア
• データをインターネット上に公開すると恐喝する暗号化型ランサムウェア
データの公開を行うと恐喝する暗号化型ランサムウェアの身代金要求画面例
12 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
ランサムウェア感染経路-Web経由
• 正規サイト汚染
– インターネット利用者が安全と考えている「正規サイト」にアクセスしただけで被害に遭う攻撃手法
– 「Web改ざん」あるいは「不正広告」を利用
– 脆弱性を攻撃し、見ただけで感染することがある
利用者
OSやソフトウェアに脆弱性が存在
脆弱性攻撃サイト
不正プログラム
• 不正広告、Web改ざんやスパムメールから脆弱性攻撃サイトに誘導
• そこから脆弱性攻撃を受け、ランサムウェアに感染
13 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
「正規サイト汚染」の恐怖
• 「不正広告」や「Webサイト改ざん」により、ユーザを脆弱性攻撃サイトに誘導する一連の攻撃
• ユーザは、正規サイトを見ただけで攻撃を受ける
• 2015年日本国内のWeb経由感染の38%がランサムウェア
ランサムウェ
ア
38%
オンライン銀
行詐欺ツー
ル
38%
ダウンロー
ダ型
13%
クリッカー
(広告詐欺)
8%
バックドア・
ボット
3%
正規Webサイト脆弱性攻撃サイト
14 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
ランサムウェア感染経路-メール経由
• メール添付型:
– 不正プログラム付き電子メールをインターネット利用者に送信
– メール受信者が添付ファイルを開くことで感染
– 通常は不特定多数への攻撃
利用者
スパムメール + 添付ファイル
攻撃者
※ランサムウェアを拡散するマルウェアスパム画面例
15 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
動画デモ:メール経由ならびにWeb経由での感染
16 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
国内における被害事例
• 2015年:国内製造業
–スパムメールの大量送信でプロバイダ停止
–業務端末とファイルサーバ上のデータがCryptoLockerにより暗号化される
–ランサムウェアに他の端末も感染し、ファイルが復旧不能な状態に
17 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
海外における被害事例②
• 2016年2月:アメリカの病院
–ランサムウェアによりネットワークアクセス不能に
–急患対応が不可能になり紙・ペンで診療記録システム復旧に10日間を要す
–全システム復旧のため、要求された40ビットコイン(約17,000ドル、約180万円)の支払いを公表
http://hollywoodpresbyterian.com/default/assets/File/20160217%20Memo%20from%20the%20CEO%20v2.pdf
×
18 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
なぜ法人利用者で被害拡大?
• 暗号化型ランサムウェアが巧妙化
–インターネットを利用した暗号化
–暗号化キーを不正サーバから取得、保存する手法が登場
• ネットワーク共有を狙った暗号化型
–ネットワーク共有上のデータも暗号化する活動が本格化
• 攻撃者の狙いが法人へも拡大
–法人の方が身代金を支払いやすい
–法人の方が得られる金額が大きい
19 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
手口のまとめ
• 侵入経路は「Web」と「メール」
– Web経由:「正規サイト汚染」から見ただけで感染
– メール経由:なりすましメールの添付ファイル
• C&Cサーバを利用した攻撃
– 標的型:攻撃基盤として必ずC&Cサーバを利用
– ランサムウェア:復号化情報がC&Cサーバにのみあり、自力復号は非常に困難
• 法人で被害が拡大中
– ネットワーク共有上のファイル暗号化により被害が深刻化
– サイバー犯罪者は法人の方が利益を得やすい標的として認識
FreeDigitalPhotos.net
20 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
ランサムウェア対策のポイント
サーバクライアント端末
Web経由の感染を抑止
メール経由の感染を抑止
エンドポイントで感染を抑止
ネットワーク早期発見自動化対応
脆弱性攻撃サイト
迷惑メール
メールゲートウェイ
内部ネットワーク監視
ランサムウェアの横展開防止
Webゲートウェイ
インターネット