ワールドツアー:
Menloのセキュアエンタープライズブラウザがどのように攻撃者に先んじるかをライブで見てみましょう
ITが発展し、企業はもちろん個人でもスマホやPCを用いてインターネットを利用することが多くなった近年、ランサムウェアと呼ばれる不正プログラムが猛威を振るっています。
企業は特にウイルス攻撃の標的にされやすく、攻撃を受けると個人情報の漏洩やデータの損失、さらに身代金の要求などあらゆる被害を及ぼす可能性があります。そのため、あらかじめランサムウェアの脅威や侵入経路を理解し、適切な対策・対処をとらなければなりません。
そこで今回は、ランサムウェアの概要から、ランサムウェアの被害が発生する流れや侵入経路、さらにランサムウェア対策・対処法まで徹底解説します。
ランサムウェアとは?
ランサムウェアの被害が発生する流れ
ランサムウェアの侵入経路
ランサムウェアの侵入を防ぐためには?
ランサムウェアに感染したときの対処法
まとめ
ランサムウェアとは、端末などに保存されたデータを暗号化し利用不可能な状態にしたうえで、データの復元と引き換えに金銭を要求するマルウェアの一種です。「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語であり、「身代金要求型不正プログラム」とも呼ばれています。
社内・社外を問わず、あらゆる場所からあらゆるデバイスで社内ネットワークへアクセスすることが多くなった近年、被害件数も上昇傾向にあります。十分なセキュリティレベルを保っているとは言えない中小企業から大手企業まで標的にされやすいことから、特に注意すべき情報セキュリティ脅威と言えるでしょう。
また、ランサムウェアとひとくちに言っても多くの種類があり、種類によって被害の大小も異なることも覚えておきましょう。実際に日本の企業でも、多大な被害を及ぼすランサムウェアが社内ネットワークに感染し、全工業ラインの停止に追い込まれたという事例があります。
ウイルスや不正プログラムなどの知識が乏しい方にとって、ランサムウェアは「怖いもの」など漠然としたイメージしかもっていないケースも多々あります。では、なぜランサムウェアはこれほどまでに大きな問題となっているのでしょうか。
ここでは、ランサムウェアの具体的な脅威を紹介します。
●システムに被害が発生する
端末にランサムウェアが感染すると、その端末のシステムの操作ができなくなる・端末内のファイルやデータが暗号化され使用できなくなるといったシステム被害が生じます。さらに、たとえランサムウェアの駆除を行っても、暗号化されたまま残ることもしばしばです。
●業務が止まってしまう
ランサムウェアの感染によってシステムがダウンしたときや、さらなるシステム被害を食い止めたいときは、業務を停止せざるを得なくなります。業務が止まることによって生じる問題が、利益の損失です。加えて、データ復元を対価に要求された身代金を支払うことによって金銭的被害も発生するケースもあります。
●情報漏洩につながる
感染した端末内に格納されている個人情報や機密データなどの情報漏洩は、ランサムウェア感染における最も深刻な被害です。重要な情報の漏洩・流出が発生すると、企業の社会的信用は失墜し、場合によっては倒産に追い込まれるケースもあります。実際に、海外では医療機関で使用するPCにランサムウェアが感染し、人命に被害が及んだという例も報告されています。
ランサムウェア攻撃は、基本的に「侵入」「内部活動」「情報の持ち出し」「ランサムウェアの実行」といった4つのフェーズで成り立っています。
ここからは、ランサムウェアがどのようにネットワーク内を攻撃するのかを、内部で行われる被害の流れとともに順を追って詳しく説明します。
ランサムウェアの攻撃者は、標的となる組織の情報を事前に調べたうえで、脆弱性のある箇所からPCや内部ネットワークへと侵入します。
ランサムウェアの主な侵入経路は、Webサイトやメール、USBメモリ、VPN機器など複数あり、いずれにおいても脆弱性を突いた攻撃を仕掛けてくることが特徴です。
また、ランサムウェアの攻撃者が自身で直接的に侵入するケースのほか、企業のアクセス権が不正に販売された闇市場を利用し、別のサイバー犯罪者から企業ネットワークへアクセスする権利を購入して侵入するケースもあります。
攻撃者は、攻撃対象となる企業・組織のPCへの侵入に成功したあと、遠隔操作ツールや不正なプログラムを仕込んでネットワーク内の端末を遠隔操作し、内部の情報窃取を行います。ネットワーク内にある多くの強力な権限を獲得するべく、ハッキングツールが使用されるケースもしばしばです。
また、内部情報の取得にあたって、攻撃者は攻撃活動を検知されないようにするため不正プログラムではなく正規ツールを悪用する手法も採用されます。正規ツールを悪用した手法で攻撃された場合、セキュリティ製品による監視やウイルス検知のシステムをすり抜けられるため、気付かないうちに多くの情報が盗まれてしまいます。
前フェーズでネットワーク内の強力な権限を取得し、内部のあらゆる箇所にアクセスできるようになった攻撃者は、情報の暴露や身代金の要求といった脅迫を行うため、取得したデータを持ち出します。
脅迫に値する機密データや個人情報は、窃取後1つに集約したうえで攻撃者のサーバーにアップロードします。これらデータの持ち出しが完了したあとは、悪質なランサムウェアを展開・実行して情報を暗号化することも一般的です。復元用の秘密鍵は攻撃者が所持し、被害者はその鍵がなければデータの復号が不可能となるケースも多々あります。
攻撃者は、データを暗号化してランサムウェアを展開・実行したあと、対象となるデバイスに身代金の要求画面を表示させて脅迫を行います。このフェーズになって、初めて攻撃者からの攻撃やマルウェア感染を認識するケースも少なくありません。
また、従来のランサムウェア攻撃はデータ復旧と引き換えに身代金を要求する手口が一般的でしたが、近年では身代金の要求に加えて、身代金を支払わなかった場合に窃取したデータを流出させるなどといった「二重脅迫型ランサムウェア」も新たに出回っています。
ランサムウェアの侵入経路は、複数あります。下記は、代表的なランサムウェアの侵入経路です。
ランサムウェア攻撃をしっかり防ぐためには、ランサムウェアがどのように侵入するのかを把握し、適切な対策をとることが重要です。ここからは、それぞれの侵入経路におけるランサムウェアの侵入方法を詳しく紹介します。
電子メールは、ランサムウェア攻撃の代表的な感染経路となっています。メールによるランサムウェア攻撃のなかでも特に多い手法が、送信者を詐称した「フィッシングメール」や「標的型攻撃メール」です。
このような悪質なメールは、標的組織の知り合いや取引先企業のふりをして、自然なメールを装うことが特徴となっています。本文には不正なプログラムが埋め込まれたURLリンクやファイルが貼り付けられているものの、安全そうな体裁で送られてくるため、不信感をもたずにクリックしてしまう傾向にあります。
WEBサイトもメールと同様、主要な侵入経路となっています。WEBサイトを悪用したサイバー攻撃によくあるのが、サイトにアクセスするだけでランサムウェアに感染する「ドライブバイダウンロード」という手法です。アクセスしたサイトにはランサムウェアが仕込まれており、ページを開くと同時にウイルスが自動的に取り込まれてしまいます。
また、そのほかにもWEBサイトの閲覧時にソフトウェアのアップデートを促すポップアップを表示させ、悪質なウイルスをダウンロードさせる「Bat Rabbit」や、公式サイトと見分けがつかない偽サイト(ミラーサイト)を表示させてユーザーの個人情報を入力させるものなど、さまざまな手法があります。いずれの手法も適切な防止法はあるものの、ユーザーが気付かないうちに感染してしまうという点に注意が必要です。
メールやWEBサイトと同様に、気を付けておかなければならないものが「添付ファイル」です。添付ファイルも、ランサムウェアの代表的な侵入経路となっています。
メールに添付されたファイルやWEBサイトでダウンロードできるファイル、さらにクラウド型ビジネスチャットツールなどで送信されたファイルなど、人々は日々意外と多くのファイルに触れています。スマホの場合は、アプリのダウンロードにも注意が必要です。攻撃者はこの点を突いて、安全さを装って悪質なファイルのダウンロードに誘導させるケースも少なくありません。
添付ファイルのなかでも、特に注意しておきたいのが実行形式と呼ばれる「.exe」や「.js」といったタイプのファイルです。これらのファイルはランサムウェア感染の危険度が高いと考え、少しでも不信感を覚えた際はクリックしないようにしましょう。
事例はさほど多くないものの、USBメモリがランサムウェアの侵入経路や被害拡大の要因となるケースもゼロではありません。USBメモリは、複数のPCと接触する傾向のある記憶装置(ストレージ)です。
ランサムウェアが侵入しているPCにUSBメモリを接続すると、USBメモリにもランサムウェアが感染するおそれがあります。そして、ランサムウェア感染に気付かずそのUSBメモリをほかのPCにも接続した場合、さらに感染は広がっていきます。結果として、知らず知らずのうちに自分たちでランサムウェア感染を拡大させてしまっているという事態に陥ります。
企業・組織で利用するネットワークのうち、どれか一部でもランサムウェアに感染すると、ネットワークを介してさらに広がってしまう可能性があります。
大元となる侵入経路はメール・WEBサイト・添付ファイルなどになりますが、特定の端末にランサムウェアが感染していることを知らずにネットワーク内共有などを行うことで、社内ネットワーク全体にランサムウェアが広がることとなります。社内ネットワークを介したランサムウェアの感染拡大は、比較的短時間で起こることも多いため、より注意が必要です。
テレワークや在宅勤務が主流となった近年、インターネットを活用して社外から安全に社内ネットワークへとアクセスするため、VPN機器を用いる企業も増加しました。
VPNサーバーはインターネット上に公開する必要があることから、攻撃者は脆弱性のあるVPNサーバーの検出にも力を入れるようになります。万が一VPNサーバーの脆弱性が発見された場合、攻撃者はその脆弱性を悪用してネットワークへと不正にアクセスします。
VPNサーバーを悪用したランサムウェア感染の被害は、近年増加傾向にあります。自宅のネットワークは社内のネットワークと比べてセキュリティ対策が劣るため、テレワーク・在宅勤務を導入している企業はより一層注意が必要です。
ランサムウェアは、あらゆる経路から侵入し、侵入後も数々のルートを駆使して感染を拡大させます。ランサムウェア攻撃による被害を防ぐためには、侵入を防ぐための対策が最も重要です。
ここからは、ランサムウェアの侵入を防ぐための方法を4つ紹介します。
出典:警視庁「マルウェア「ランサムウェア」の脅威と対策(対策編)」
出典:警察庁サイバー犯罪対策プロジェクト「ランサムウェア被害防止対策」
ランサムウェアの侵入を防ぐためには、セキュリティ対策ソフトやウイルス対策ソフトの導入が基本です。セキュリティ対策ソフトを導入すれば、侵入を試みているランサムウェアの挙動を検知し、管理者へ通知を送ったり、侵入経路の遮断をしたりできます。
また、セキュリティ対策ソフトとひとくちに言っても、エンドポイントセキュリティ・アンチウイルスソフトなど、さまざまな種類があります。なかでも、「WEB分離(インターネット分離)」は、ランサムウェアの攻撃・不正アクセスの攻撃による被害の最小限化を図ることに特化しています。
従来のセキュリティ対策ソフトはウイルスの検知をメインとしていますが、未知の攻撃手法までを100%検知できるとは限りません。セキュリティ対策ソフトをすり抜けたランサムウェア攻撃の被害を食い止めるためにも、WEB分離・無害化を行って感染リスクを最大限なくすこともおすすめです。
セキュリティ対策ソフトやWEB分離の導入は、あくまでもシステム的に行う対策方法となっています。しかし、ランサムウェアによってはランサムウェア攻撃対策をすり抜けるケースもあるほか、社員が悪質なファイルを開いてしまったことが原因で感染するおそれも十分にあるため、組織内のセキュリティリテラシーを高めておくことは非常に重要です。
セキュリティリテラシーを高めるためには、内部ネットワークの使用者に注意喚起を行ったり、セキュリティ教育を実施したりするとよいでしょう。また、万が一ランサムウェア感染が起きてもそれぞれが冷静に対応できるよう、感染が起きた場合の対応方法について策定・周知しておくことも有効です。
攻撃者は、OSやネットワーク内のVPN機器、サーバーなどの脆弱性を狙ってランサムウェア攻撃を仕掛けます。
万が一脆弱性を突いたランサムウェア攻撃の被害に遭った場合、ランサムウェアの駆除やデータの復旧作業に加えて、脆弱性の発見・修正も行わなければなりません。発見が遅ければ再度攻撃される可能性もあるため、常に脆弱性の有無をチェックし、必要に応じて修正することが重要です。ITやシステムに詳しい人材がいない場合は、専門業者に脆弱性のチェックを依頼することも1つの手段と言えます。
ランサムウェア攻撃を防ぐためには、あらゆるシーンで設定しているパスワードを見直しましょう。ウイルスの攻撃手口・侵入手口には、パスワードを手あたり次第試行する「ブルートフォースアタック(総当たり攻撃)」というものもあります。簡単なパスワードであれば数秒程度で破られるため、強度の高いパスワードを設定することが重要です。
強度の高いパスワードを設定するなら大文字と小文字、さらに数字や記号を組み合わせた8~10文字以上にするとよいでしょう。8桁なら約5,600兆通りものパターンとなるため、ブルートフォースアタックによるランサムウェア攻撃を最大限防げます。
万が一ランサムウェアに感染してしまったときは、下記の対処法を試しましょう。
●電源を切らずにネットワークから隔離する
ランサムウェアが感染した端末内には、復号に必要な情報が残っている可能性もあります。そのため、ランサムウェア感染を認識した端末の電源は切らないようにしましょう。また、感染端末からネットワーク内のほかの端末に感染を広げるおそれがあるため、インターネット通信を遮断してネットワークから隔離することも重要です。
●セキュリティ担当者や警察に連絡する
ランサムウェア感染が判明した際は、即座に社内のセキュリティ担当者に報告し、警察に通報しましょう。警察では、サイバー犯罪に特化した相談窓口が設けられており、被害の最小限化・対策に必要な助言・情報を提供してくれます。
●身代金は支払わない
ランサムウェア攻撃では、データ復号を対価に身代金を要求するケースが一般的です。身代金を要求するポップアップ画面が表示された際、パニック状態となるあまり身代金を支払ってしまうケースも珍しくありません。しかし、金銭を支払ったからと言って必ずしもデータ暗号化が解除されるわけではないため、焦って支払わないようにしましょう。
●バックアップからデータを復元する
ランサムウェアの攻撃者から要求された身代金を支払わなくとも、バックアップからデータを復元すれば簡単に元に戻せます。たとえデータが暗号化されても焦ることのないよう、日頃からバックアップデータをとっておくことが大切です。定期的なバックアップは、社員にも周知しておくとよいでしょう。
出典:警視庁「マルウェア「ランサムウェア」の脅威と対策(対策編)」
ランサムウェアとは、内部ネットワークに格納されたデータを暗号化し利用不可能な状態にしたうえで、データの復元と引き換えに金銭を要求するマルウェアの一種です。ランサムウェアにはさまざまな種類がありますが、近年では身代金の要求に加えて、身代金を支払わなかった場合に窃取したデータを流出させるなどといった「二重脅迫型ランサムウェア」も報告されています。
ランサムウェア攻撃を防ぐためには、セキュリティ対策ソフトの導入や組織のセキュリティリテラシーの向上、さらに脆弱性の修正などが重要です。ここまでの内容を参考に、社内のセキュリティ対策レベルを確認し、必要に応じて適切な対策を講じてください。