【ランサムウェア】正しく知るために押さえるべき7つのポイント

2016/08/03 - ランサムウェア

 

2016年から国内でのランサムウェアの被害が急増しています。

BackStore にも、ランサムウェア関連のお問い合わせが増えています。

このブログでも、ランサムウェア関連の情報は随時お届けしようと思います。
今回は、ランサムウェアの基本的な事項を記載します。

 

1. ランサムウェアとは?

 

ランサムウェアとは、データや機器を”人質”に取り、身代金を要求するサイバー攻撃です。
2015年以降、アメリカを中心に世界中で非常に活発になっています。

 

2. どうやって感染するの?

 

主な感染経路は、下記の2通りです。

  1. メール添付ファイル
  2. 不正な Web サイトへのアクセス

メール添付ファイルにウィルスを潜ませる方法自体は昔からありますが、その手法は日に日に洗練されています。
よく知られたサービスやブランド、あるいは政府機関などを騙り、信頼を勝ち取ろうとします。

また Web サイトの場合も、「いつも見ているサイトだから」といって安心はできません。
サイバー攻撃の実行者は、サイトに表示される広告や、古い WordPress などの脆弱性に漬け込みます。
知らぬ間にいつものサイトがランサムウェアなどのバラマキ源になっている可能性があります。

 

3. 人質にとる、とは?

 

ランサムウェアに感染すると、下記2つのいずれかの事象が発生します。
(この2つを両方とも引き起こすランサムウェアもあります)

  1. 機器内のファイルの中身、名称、拡張子が暗号化される
  2. 機器が立ち上がらなくなる

ファイルを暗号化された場合、自力で復号することはほぼ不可能です。

なおランサムウェアの種類やバージョンによっては、研究者やセキュリティ会社が復号鍵を開発している場合もあります。
ですが「復号鍵だ」と偽ったフィッシング行為なども頻発しているため、慎重な判断が必要です。

なお先月末、Chimera というランサムウェアの鍵が、別のランサムウェア( Petya と Mischa )の作成者によってリークされました。
非常に稀なケースですが、こういうことも起こるようです。

 

4. 身代金を払えばデータが戻ってくるの?

 

身代金を払うことは、下記の理由から推奨されていません。

  1. データが戻ってくる保証はない
  2. ランサムウェアの実行者を”支援”することにつながり、さらなる犯罪行為を誘発する
  3. ランサムウェア市場が活性化し、新たな参入者を招く

なお、Ranscam というランサムウェアの場合、身代金を支払っても100%データは戻りません。
このランサムウェアは、ファイルを暗号化したと見せかけて、実はファイルをすべて削除しています。
同様のランサムウェアが今後登場しない保証はありません。

 

5. ランサムウェアに感染しないためにはどうすればいいの?

 

少なくとも、下記3つの対策は不可欠です。

  1. 社員教育を徹底する
  2. UTM などでランサムウェアの侵入を防ぐ
  3. OS・セキュリティソフトを常に最新に保つ

社員教育の徹底は不可欠です。
UTM やセキュリティソフトが怪しい挙動を検知しても、ユーザが添付ファイルの実行などを許可してしまえば、意味はありません。

ですが、大手企業になるほど、すべての社員への教育の徹底は困難になります。
また中小企業では、そこまでのリソースを避けないという実情があります。

UTM やセキュリティソフトで万全に固めていたとしても、ランサムウェアはそれを掻い潜ろうとするかもしれません。
ランサムウェアは非常に収益性の高い”ビジネス”なので、参入者は後を絶ちません。日々新たなランサムウェアが登場しています。
中にはサンドボックスをかいくぐる機能を持ったものなどもあります。

ランサムウェアを100%防ぐことはできないと考えた上で、
感染した後の対策も合わせて考えることが重要です。

 

6. 感染した後の対策って?

 

業務上欠かせないファイルをバックアップしていれば、ファイルを暗号化されたりすべて消去されても、ビジネスには影響しません。
身代金を払わずに、通常業務を再開することができます。

 

7. とりあえずバックアップしていればいいの?

 

ランサムウェアに打ち勝つためには、下記の要素が欠かせません。

  1. 外付け HDD や USB などが、直接 PC に接続されていない
  2. 感染の恐れのある機器(PCなど)と同一のネットワークにない
  3. 複数の世代を保存している
  4. 迅速な復元が可能

ランサムウェアはユーザ権限を奪取し、ファイルを暗号化していきます。
つまり、ユーザがアクセスできる範囲にあるファイルはすべてランサムウェアの”暗号化対象”です。
物理的に接続されている HDD などの端末や、同一ネットワーク内のファイルサーバは、暗号化される可能性があります。

また、1世代しか保存していない場合、ランサムウェアに暗号化されたファイルをバックアップしてしまえば、業務を復旧することができなくなります。
さらに、ランサムウェアの実行ファイルがバックアップされたデータの中に潜んでいる可能性があります。
その場合、新しい機器にそのデータを復元してしまえば、またその機器内のデータが全て暗号化されてしまいます。必ず複数世代を残す必要があります。

さらに、復元するのに数十時間かかるなど、データの復元が現実的でない場合、「身代金を払ったほうがいい」という判断になる可能性があります。
ですが、身代金を支払えば、「この企業は金を払う」と思われ、さらなる攻撃にさらされる可能性もあります。

迅速かつ簡単に復元できることが望ましいです。

 

8. つまり、どういうバックアップが良いの?

 

  1. クラウドやバックアップアプライアンスサーバにバックアップする
  2. 世代を複数保存する
  3. 復元が容易である

上記の要素を備えたバックアップが望ましいです。
特に3番目の「復元」は意外と見落としがちですが、重要な要素です。

最後に

なお BackStore は、東京・沖縄の2か所のクラウドに保存します。
また、保存可能な世代数に制限はありません。
復元は、ファイルを選択して「復元」ボタンをクリックするだけの2ステップで完了します。
OS をまたいだ復元や、Web からの復元も可能です。

一口にバックアップといっても、
様々な仕様や機能があります。
自社の運用に最適かつあらゆるリスクに対応出来るバックアップを選定することが大切です。

お問い合わせはこちら

ランサムウェア News - Tags: , , ,

  • Linked-in