セキュリティ最新事情 ランサムウェア(身代金要求ウイルス)

悪質なコンピューターウイルスであるランサムウェアの被害が世界中で拡大しています。この攻撃の被害を予防する方法と、万が一感染してしまった際の保険としての具体的な対策をご紹介します。

ランサムウェアとは

ランサムウェアとはマルウェアの一種で、感染してしまうとデータを強制的に暗号化し、ファイルを開けるようにするためには金を払えと身代金を要求してくる不正プログラムです(Ransom=身代金)。身代金の決済は銀行振り込みではなくネット上でビットコインまたはPayPalで行われるため、後を追うことは極めて困難です。

画面拡大画像(JPG)[177KB]
ランサムウェア感染により作成される身代金要求文書

ランサムウェアの感染経路

ランサムウェアの感染経路は主に二つあります。メールの添付ファイルを開いて感染するパターンと、改ざんされたWebサイトを閲覧して感染するドライブ・バイ・ダウンロードによるものです。

*ドライブ・バイ・ダウンロード…ユーザーが改ざんされたWebサイトを訪れると、埋め込まれたJavaScriptやリダイレクト(別のサイトにアクセスし直させること)を行うHTML構文によって別のサイトに誘導し、ユーザーのPCにあるOSやソフトウェアの脆弱性を突いてウイルスに感染させる仕組み。

メールからの感染

メールの添付ファイルを開くことで感染

攻撃の第一歩はメールです。請求書や配達通知などを装った偽装メールを送りつけ、添付ファイルをクリックさせる手口で感染させようとしています。感染すると壁紙を脅迫文の画像に変更し、全てのファイルを暗号化したことを使用者に伝え、身代金を要求します。

かつてのメールは不正送金ウイルスのメールをはじめ、偽Webサイトへ誘導するフィッシングメールが主体でした。いかにも偽装されたアドレスからの送付で見破ることは容易でしたが、昨今はそのメールが変化しています。実在する人物になりすまし、業務に直接関係があると思われる件名、本文、そして拡張子が偽装されたマルウェアが添付されているため、非常に開封率が高くなっています。

メール本文中のURLにアクセスすることで感染

閲覧者のソフトウェア(OS・Java・Flash・ブラウザー)が古く、脆弱性がある状態で不正な細工がされたWebサイトにアクセスしてしまうと、ドライブ・バイ・ダウンロード攻撃によってランサムウェアに感染してしまいます。

Webサイトからの感染

改ざんされた正規のWebサイトや不正な細工をされた広告を閲覧することで感染

閲覧者のソフトウェアに脆弱性がある状態で、改ざんされた国内を含む正規サイトや細工がされた不正広告を閲覧するだけでドライブ・バイ・ダウンロード攻撃によってランサムウェアに感染します。

Webサイトからダウンロードしたファイルを開いて感染

Webサイトからダウンロードしたファイルがランサムウェアに感染するように細工がされていて、ソフトウェアの脆弱性の有無に関わらず、そのファイルを開いてしまうことで感染します。

ランサムウェアの感染を予防

脆弱性対策

古いソフトウェアの脆弱性を攻撃されないために、OSや各種ソフトウェアのバージョンを常に最新にすることが大切です。更新プログラムが提供されたら、速やかに適用しましょう。

メール経由での侵入対策

現在でも、電子メールを経由したウイルス感染が後を絶ちません。マルウェアが侵入するかしないかはメールを受け取った人のリテラシーしだいではありますが、前述のとおり偽装手口が巧妙化しており、偽装メールを誤って開封してウイルスに感染してしまうケースが増えています。

標的型メール訓練サービス(無償版)

標的型メールを模した訓練メールを送信し、そのメールに対する従業員の対応結果をレポートとして提供するシステムを無償でご利用いただけます。標的型メールへの対応について、従業員の実態を可視化できます。

本サービスはご利用回数やユーザー数に制限がございます。訓練内容をお客様のご要望にあわせて実施する有償のサービスもご用意しています。

標的型攻撃メール訓練サービス

メール・Web経由での侵入対策

Webサイトからのランサムウェアの感染は、犯罪者がインターネット上に用意したC&Cサーバー(司令塔サーバー)に接続できないと、ファイルを暗号化する動作を行いません。このため、不正アクセス先を検知してブロックする機能を持ったセキュリティ製品を導入することが、有効な対策となります。

ウイルスの挙動監視、ふるまい検知で新種のウイルスをブロック

ランサムウェアをはじめとした近年の攻撃には、新種や亜種と呼ばれるまだ定義ファイルに登録されていないウイルスを使用するケースが増えています。過去に流行したウイルスを確実に捕まえるには定義ファイルが重要ですが、新種や亜種の場合はそのウイルスがどのような動きをしているか、不審な動作はしていないかなどの「ふるまい」を見て、ウイルスかどうかを判定する検知技術が重要になってきます。

大切なデータを安全な場所で管理

ランサムウェアに感染したPCは、Excel・Word・PDF・JPGなどのファイルが暗号化されて開けなくなります。またその被害はファイルサーバーの共有フォルダーのデータなど、「PCから共有で見えているサーバーのフォルダー」にも影響することが分かっています(本項目は2016年3月時点の情報を元にしています)。

基幹業務システムのデータベースをサーバーに格納

データを安全に保管するために、例えば基幹業務システムであれば、データベースをサーバーの非共有領域に格納しておくことができます。データベースが入っているフォルダーに対してドライブの割り当てやフォルダーの共有化をしなければ、ランサムウェアに感染しても暗号化の対象から外れることになります。

「SMILE」ならExcelのデータもSQL Serverに取り込み可能

Excelで管理している情報をシステム化することで、顧客情報などもサーバーの非共有領域で管理することが可能となります。「SMILE BS 2nd Edition CRM QuickCreator」を利用すれば、Excelで管理している項目をパーツとして読み込み、それらをドラッグ&ドロップで簡単に配置・画面を設計してオリジナルの業務システムを作成することができます。

データベース変換できないファイルは文書管理システムを活用

データベース変換できないファイルは「eValue NS 2nd Edition ドキュメント管理」で共有。ネットワーク非共有領域上にあるデータベース内に、ファイルを保管します。クライアント感染時も、ここからの原本ファイルの復旧が可能です。

ランサムウェア感染後のデータ復旧方法

ランサムウェアに感染してファイルが暗号化されてしまうと、そのデータの復旧は不可能です。元に戻すためには、感染前のバックアップデータをリストアする必要があります。

バックアップデータのポイント

  • 感染を防ぐためにオフラインのメディアに取得、もしくはネットワーク越しに見ることができないサーバーに保管されている。
  • バックアップ自体も複数世代に遡れる世代管理が重要(発見が遅れた場合、直近のバックアップデータは既に感染しているリスクがあります)。 *ただし世代管理は大量のデータを保存する必要があります。

重複排除バックアップソリューション

重複排除機能を持ったバックアップ用装置であれば、保存するデータの量を削減できるため、バックアップ世代を多く残せて安心です。また重複排除後の小さくなったデータは遠隔地への転送も容易で、災害対策としても活用することができます。

iStorage HS

バックアップ先、アーカイブ先(長期保管用)に適した、堅牢で拡張性のあるストレージです。重複排除機能で容量効率良くバックアップデータを複数世代保管することができます。さらに、大塚商会では保管データのランサムウェア対策に、感染経路を遮断した筐体内クローン設定(オプション)もご用意しています。

仮想化サーバーパック

適切なバックアップ運用が重要です

ローカルディスクのデータだけでなく、バックアップデータまで暗号化するなど進化した新型ウイルスも出現しています。バックアップデータを守るためには、世代管理以外にもアクセス権など適切な運用も重要です。またウイルスも日々進化しており、どんな対策も100%安全とはいえません。少しでも被害を低減するため、バックアップ運用をローカル・リモート(クラウド)・オフサイト(テープ保管)と多重化する検討も必要です。

遠隔バックアップ

大塚商会が推奨するセキュリティ対策

大塚商会では一般的なセキュリティ脅威に対して、ファイアウォール・セキュリティスイッチ・IT資産管理など、多重のセキュリティ対策で危険を低減させる「多層防御」を推奨しています。

フェア・セミナー

ITインフラコラム

ページID:00122473