2020.07.09   セキュリティ脅威

ランサムウェアとその対策方法について

2017年自動車メーカーが攻撃され国内でも多くのメディアで報道されたことで「ランサムウェア」という名前は大きく広まった。
そして進化を続けるランサムウェア、6月には特定の企業を標的にした攻撃手法で新たに別の自動車メーカーがランサムウェアの被害にあっている。
そうしたランサムウェアの対策はないのか確認してみよう。

ランサムウェア(Ransomware)とは?

image.png


ランサムウェアは身代金を意味する「Ransom」と不正コードを意味する「Malware」の合成語でユーザーの同意を得ずにインストールされ、ファイルを暗号化させ、身代金を要求するウィルスの一種である。
Windows OSのパソコンだけではなく、macOS, Linux, モバイル機器まで現在存在しているほぼ全てのOSがランサムウェアの影響範囲に含まれている。

ランサムウェアに感染すると内部のファイルが暗号化され、ハッカーは復号化する条件でビットコインなどの仮想通貨で見代金を要求することが一般的である。暗号化される間、CPU、Disk、Memoryなどの使用率が急激に上昇するケースなどもある。

ランサムウェア攻撃をSIEMで検知する為のブログも掲載している。(下のリンク先をご参照。)
検知方法の参考として参照されることをお勧めする。

image.png


【▲ 2017年5月に現れたWannaCryの脅迫文】

ランサムウェアの攻撃は一般的にユーザーがメール添付などのファイルをダウンロードしたりして発生するトロイの木馬のような方法で感染させるが、WannaCryの場合は、ワームのような方法で添付ファイルなどをダウンロードしなくてネットワーク経路で感染させた。

復旧させるためには?

残念ながらランサムウェアに感染し、暗号化されたファイルは復号化ツールがない限り復旧はできない。
復号化ツールはランサムウェアを作ったハッカーが公開、もしくはアンチウィルスの企業などが復号化キーを探し出してツールを作った場合だけ該当する。
ただし、この場合も特定のファイル(ユーザーがシステムを強制終了し、不完全な暗号化になった場合など)が復旧できなかったりする場合もある。

image.png


【▲ No More Ransom!】

上記のサイト( https://www.nomoreransom.org/ja/index.html )はオランダの警察全国ハイテク犯罪ユニット、EuroPolの欧州サイバー犯罪センター、Kaspersky、McAfeeの共同でランサムウェアからの被害を抑えるために作られたサイトで、復号化ができるランサムウェアのツールなどを公開している。
万が一ランサムウェアに感染した場合、上記のサイトで復号化ツールが公開されているか確認することを推奨する。

身代金を払って運が良ければ復号化ツールをもらえる可能性もあるが、身代金を払っても復号化ツールをもらえないさらに高い金額で脅迫する場合があるので推奨しない。

予防するためには?

最新アップデートやアンチウィルス

image.png


【▲ アンチウィルス企業Kaspersky】

当たり前の話かもしれないが、OSやアンチウィルスのアップデートも大事な予防である。
Windowsの場合は持続的なアップデートをサポートしている。特にサポートが終わっているWindows XPなど産業用で使用していてすぐOSの変更が難しい場合、最新版のOSの利用また、アップデートが大事である。
最近のランサムウェアは変種も多いのでランサムウェアをアンチウィルス製品が全て検知することは難しいかもしれないが最近のアンチウィルス製品は無料版でもランサムウェアに感染し、ファイルが暗号化させることになった場合、すぐランサムウェアを隔離するなどランサムウェア攻撃に対応している。

バックアップ

バックアップはランサムウェアの一番最適な対策方法である。
ランサムウェアから感染する前から事前にバックアップを取って万が一の場合でも復旧ができるようにすることが一番の方法である。もちろんランサムウェアだけではなくやむを得ず発生しうる様々なシステムのエラーにも対応ができる方法である。

バックアップを取る方法は複数あるが、三つの方法を紹介しようと思っている。

NAS

image.png


【▲ Synology NAS DS720+】

NASの場合はパソコンと物理的に分離されていてまたバックアップ機能をデフォルトで搭載されている。自動バックアップ機能でランサムウェアに感染する前のデータも保存しているため、ランサムウェアに感染しても感染以前のファイルに復旧することができる。
ただし、最近はNASをターゲットにしたランサムウェアもあるため、アップデートや権限、アカウント管理に注意しなければならない。

Blu-Ray Disk

image.png


【▲ Blu-Ray】

次に安全なバックアップメディアは1回だけ書き込める光学メディアに保存することである。1回のみ記録ができる特性を持っているためハッカーが物理的にメディアを奪取して破壊すること以外に記録されて保存しているデータファイルを破壊することはできない。
短所として、ディスクの容量とデータを書き込む時間、コスパ的な問題があり、サイズが小さくて大事なデータの補充バックアップ用途で適合している。

Cloud Service

image.png


【▲ Google Cloud】

クラウドサービスを利用してバックアップをするのも安全な方法である。グーグルドライブやドロップボックスのような同期化クラウドはパソコンのデータを自動でバックアップしてくれるためより楽に利用できる。
また、バックアップ専門のクラウドサービスを提供している企業もあるため、こちらを利用することも一つの方法である。
ただ、クラウドの場合、インターネットにアップロードする特性のため、アカウントの管理がもっとも重要で機密情報などのバックアップには合わない。
クラウドを使うしかない場合は重要なファイルは暗号化してアップロードすることを推奨する。
また、月額のようなお金を払わなければならない問題もあり、もし利用しているクラウド企業がサービスを中止したり、サーバのエラーなどでデータが損失される可能性もあるので主なバックアップ方法としては推奨できない。

まとめ

ランサムウェアは最近の話ではないが1991年マルタ共和国から発見された「カジノウィルス」も今のランサムウェアのようなルーティンを持っているウィルスである。
ビットコインの登場以来から本格的にランサムウェアが広がったとも言える。
前述のようにランサムウェアに感染すると復旧がとても困難であるため、障害に備えて万が一、感染しても、すぐに復旧ができるように持続的なバックアップやアップデートをすることを推奨する。

参考サイト

https://blog.trendmicro.co.jp/archives/tag/wannacry
https://en.wikipedia.org/wiki/Ransomware
https://www.kaspersky.com/resource-center/threats/ransomware-threats-an-in-depth-guide
https://www.nomoreransom.org/ja/index.html

[blogcard url=” https://www.cyberfortress.jp/contact/ “]

2021/05/17 更新

Written by CYBERFORTRESS, INC.

サイバーフォートレス CYBERTHREATS TODAY 編集チーム

サイバーフォートレスは、サイバーセキュリティ対策を提供するセキュリティ専門企業です。

セキュリティ対策や、最新のセキュリティ脅威、サイバー攻撃のトレンドなど、当社が研究開発や情報収集した内容をもとに、最新のセキュリティ脅威・セキュリティ対策についてお伝えします。

関連記事

よく読まれている記事