【世界規模のランサムウェア攻撃 Petya】WannaCry との違いと脅威について


カスペルスキー社のブログより

こんにちは、BackStore です。

WannaCry のニュースが収束し始めたと思った矢先、また新たな世界規模の「ランサムウェア」攻撃が開始されました。

一口に同じ「ランサムウェア」と言っても、今回の攻撃と WannaCry とでは、大きく違います(一方で共通点も多くあります)。

今回の攻撃は、「Petya」と呼ばれるランサムウェアとの類似点が多く指摘されていることから、Petya と呼ばれることが多いです。この記事でも、Petya と呼称します。
※ 後述しますが Petya とは大きく異なる点も指摘されており、NotPetya、ExPetr と呼ばれることもあります。

今回の Petya も WannaCry と同様かそれ以上の感染力をもっています(メカニズムは違います)。ローカルネットワーク内の1台が感染すると、次々に他の機器も暗号化される危険があります。

前回の WannaCry と同様、SMB の脆弱性(Eternal Blue と呼ばれる)を悪用しているため、まだパッチを当てていない企業は、早急に対応をする必要があります。


その1. 今回の被害状況

WannaCry の攻撃では世界 100カ国以上が標的になりましたが、今回はウクライナとロシアを中心にした被害が顕著です。なお、日本での被害は今の所報告されていないようです。

まずウクライナでいえば、チェルノブイリの放射線モニタシステムや首都キエフの地下鉄、国営電力会社の Ukrenergo、銀行などに影響が及んでいます。地下鉄では、プリペイドカードが使用できないなどの被害が出ているようです(PASMO や Suica が使えないと考えると、悪夢です)。

またロシア最大の石油会社の一つ Rosneft 社、米国製薬大手の Merck 社、デンマークの海運会社大手 Maersk 社、その他にも英国、ポーランド、イタリア、ドイツ、フランスなど64カ国での被害が確認されています。


その2.  感染した場合

前回の Petya で感染後に表示されていた画面。2016年3月28日トレンドマイクロ社のブログより

今回の攻撃は、Petya というランサムウェアの亜種ではないかと言われています。
Petya はただファイルを暗号化するだけではなく、Windows の MBR を書き換えてしまい、OS 自体を起動できなくします。

今回の攻撃でも、ファイルの暗号化に加え MBR を起動不能にしています。その他にも内部コードの類似性などが指摘されています。


その3. ランサムウェアではない可能性?

ですが、セキュリティソフトウェアのカスペルスキー社などをはじめとして、少なくない研究者が今回のランサムウェアを「ランサムウェアを装った別物」である可能性を指摘しています。

というのも、「そもそも最初から復号する気などない。データを消去し混乱を引き起こすこと自体を目的にしているのではないか」と言われているのです。

カスペルスキー社がそう主張する根拠としては、本来含まれているはずの「復号に必要な情報」が見当たらない、ということです。
通常のランサムウェアであれば、身代金を要求する画面に表示される固有 ID に、復旧のための情報が含まれています。これを被害者から受け取ることによって、攻撃者は復号キーを抽出します。

ですが、カスペルスキーの調査では、今回の ID には何の情報も含まれておらず、「単なる乱数の可能性が高い」ということです。詳細はこちらのカスペルスキー社のブログをご参照ください。

この説はまだ調査段階で、今後も研究者から様々な指摘が出てくるかと思います。

なお、攻撃者の意図がどうであれ、現在このランサムウェアに身代金を支払うことはできません。支払先に指定されているメールアドレスは、アカウントが既に停止され、使用できないからです。


その4. 攻撃のメカニズム

前述したように、WannaCry 同様 Windows の脆弱性 Eternal Blue を使用します。これだけなら、パッチを当てることで防ぐことができます。

ですが今回の Petya は、加えて Windows の正規ツールである PsExec や WMIC を悪用した感染を行うことができます。

上記の正規ツールを利用するためにはユーザアカウント情報が必要ですが、今回の Petya はセキュリティツール「Mimikatz」を改造したものを活用します。これによってユーザの ID とパスワードを入手し、PsExec や WMIC を利用してマルウェアファイルを実行します。

また、ネットワークを調査し、TCP ポート 445 か 139 が開いている筐体を攻撃していきます。

さらに詳細な攻撃メカニズムなどは、トレンドマイクロ社のブログ記事やカスペルスキー社のブログ記事に詳しく記載されています。

今回の Petya は、パッチを当てても防ぐことはできません。また、1台でも感染すれば、LAN を経由して大規模な被害をもたらす可能性があります。


その5. 最初の感染

従来のランサムウェアのオーソドックスな「最初の感染方法」は、大量のスパムメール攻撃などでした。一方今回の攻撃は、ウクライナの会計ソフトウェア会社 MeDec 社へのハッキングで行われた可能性が指摘されています(MeDec 社は否定しています)。

MeDec 社のソフトウェアの自動アップデート機能を悪用し、マルウェアをコンピュータにダウンロードさせたのではないかと見られているのです。この MeDec 社のソフトウェアはウクライナ政府をはじめとし、多くのウクライナ企業に使用されていることから、同国での被害が広範囲に及んだとされています(狙い撃ちされたとも言えるでしょう)。

なおその後もウクライナのバーフムト市のウェブサイトがハッキングされ、マルウェア配布に悪用されました。

マルウェアの攻撃は進化しています。ただ「怪しいメールを開かなければいい」という対策では、対応できなくなっています。


その6. ランサムウェアに負けない企業になるためには

パッチを当てる、常にセキュリティツールや OS、その他様々なソフトウェアを最新に保つ、メールなど一部の攻撃手法だけでなく改悪された Web ページ経由の感染などあらゆる攻撃を想定したセキュリティ体制を敷くことが重要です。

また、ランサムウェアが次にどのような攻撃手法を使用するかは、予測ができません。今回も銀行や空港、政府機関など、セキュリティ設備を整えているはずの企業・団体が被害にあっています。

「感染するかもしれない」ということを念頭に起き、大事なファイルを暗号化されない場所にバックアップすることが重要です。


その6. BackStore が提供する解決策

今回は、BackStore by inSync を使用している環境でランサムウェアに感染した場合の対処法をご説明します。なお、BackStore by inSync はトレンドマイクロ社にも採用され、5,000 人の PC をバックアップしています(トレンドマイクロ社の事例は、開発元 Druva 社の HP から参照できます。)

6-1. 感染を検知

ファイルがすべて暗号化されると、異常なふるまいとして検知され、管理者にアラートが飛びます。

6-2. 感染対処を LAN から外す

Petya は最大で1時間潜伏するため、手遅れの場合もありますが、LAN から感染の疑いがある筐体を外します。

6-3. 新しい PC を用意

Petya は OS を起動することすら不可能にします。新しい PC を用意します。

6-4. 復元を行う

復元を行います。inSync のソフトウェアをインストールするか、Web ブラウザでコンソールにアクセスし、復元します。
この時、最新のものが良いからといって数時間内のデータを一括復元すると、ランサムウェア実行ファイルが潜んでいる可能性があります。
一括復元をする場合は、Petya の場合では1日から2日以上前のデータを復元した方が良いでしょう。

6-5. 業務開始

inSync はシステム情報も復元できるため、OS再設定の手間はありません。またファイル単位の復元のため、すべての復元が完了するのを待つ必要もありません。

※ 外出先で暗号化された場合

もし会社支給のスマートデバイスを持っている場合は、そのスマートデバイスからバックアップデータにアクセスすることができます。出先ですぐに新しい筐体を用意できない場合は、スマートデバイスからファイルを閲覧しながら業務を進めることが可能です。


最後に

Petya は、パッチを当てることでは防げません。今回はウクライナが標的になりましたが、日本が標的になる可能性もあります。シマンテック社によれば、日本はランサムウェア検知率2位となっています。

お隣韓国のホスティング企業も、つい先日 1億 2700万円の身代金を支払いました。これにより、アジア圏が”良質な市場”であると認識される可能性もあります。

セキュリティ対策はもちろん、いざという時のバックアップ対策も不可欠です。
BackStore by inSync は Windows PC だけでなく、Mac や Linux、スマートフォンにも対応しています。

30日無料試用も可能です。この機会にぜひおためしください。
https://www.backstore.jp/

Facebooktwitter

ランサムウェアに暗号化されるクラウド・されないクラウドとその違い

 

 

こんにちは、BackStore です。

ランサムウェアの猛威は止まりません。
最近では、モバイルを狙ったランサムウェアが増えているようです。

個人はもちろん、企業でも Android や iPhone あるいは Windows Phone を使用しているところは多いかと思いますが、それらも決してランサムウェアから無縁ではありません。これらのデータの保護も検討する必要があります。

さて、ランサムウェアに着目したデータ保護ということで、BackStore ではよく「外付けハードディスクへのバックアップは暗号化される、安全なクラウドへ」と言っていますが、お客様から「クラウドへバックアップしたデータも暗号化されると聞いたが、大丈夫か」とお問い合わせを受けることが多くなってきました。

「クラウドへバックアップすれば大丈夫」と「クラウドも暗号化される」、この2つ、実はどちらも真実です。

そこで今回は、バックアップと”クラウド”、ランサムウェアの関係を整理したいと思います。


その0. バックアップデータも暗号化されるの!?

 

クラウドの前に、まずバックアップデータから。
バックアップデータも、暗号化されます。

感染した筐体(主にPC)と物理的に接続されている、あるいは同一 LAN 内にあるデータは暗号化されます。

そのため、外付けハードディスクや USB は勿論、データセンター内のファイルサーバも、暗号化される危険性があります。物理的に繋がなければいいので、バックアップ時以外は切り離しておく、というのも手段の1つです。

が、日夜業務に追われる従業員にそれを課すことが現実的かどうかは考える必要があります。また、ランサムウェアはいつ暗号化を実行するかわかりません。繋いだ瞬間に実行されれば、意味はありません。

しかもランサムウェアにとって「バックアップ領域」はいわば天敵ですから(バックアップがあると身代金回収ができない)、これらのドライブ領域は真っ先に狙われるのです。さらに、Windows の VSS 領域や Mac の Time Machine も彼らの”敵”の1つです。


その1. クラウドもランサムウェアに暗号化される!?

 

その「天敵」には、クラウドサービスももちろん含まれます。

Google Drive や Dropbox などの【同期型クラウドストレージ】は、ランサムウェアの種類にもよりますが、暗号化されます。聖域ではありません。
Dropbox は、「Dropbox 内のファイルが暗号化された場合」の対処法を公開しています。他のクラウドストレージサービスも、復元する方法を提供してはいます。が、その工数や方法、かかる日数などが現実的なものかは、あらかじめ確認する必要があるでしょう。


その2. どうやってクラウドを暗号化するの?

 

ランサムウェアは、クラウドストレージの便利な「同期」機能を悪用します。

デスクトップに同期されたクラウドストレージのファイルは、ローカルファイルと同じように暗号化されてしまいます。
仮にその同期フォルダの中にランサムウェア実行ファイルが隠れていた場合、ストレージ内すべてのファイルが暗号化される危険性さえあります。

例えば Virlock というマルウェアは、暗号化したファイル自身を「感染源」にすることができるゾンビのようなランサムウェア(実際の挙動はむしろ寄生虫に近いです)なので、上記のような「クラウド内すべてが暗号化される悪夢」が現実になる可能性は高いでしょう。

なお Virlock の挙動に関しては、海外のクラウドセキュリティベンダーの Netskope が Box を使って検証しています。
下記の記事の「Demonstration」の項に詳細が記載されています。
https://www.netskope.com/blog/cloud-malware-fan-virlock-ransomware/


その3. 同じクラウドなら、クラウドバックアップサービスもダメなのでは?

 

一言で「クラウド」と言っても、仕組みが違います。
一般的な「クラウドバックアップサービス」であれば、暗号化はされません。
クラウドストレージが暗号化されて、クラウドバックアップサービスが暗号化されない理由は、主に下記です。

1. ユーザがクラウド内データの書き込み権限を持たないため

クラウドストレージは、当然ですが、ユーザがファイルにアクセスをし、編集をすることが可能です。ランサムウェアはこのユーザ権限を奪取し、ファイルを暗号化していきます。

一方、クラウドバックアップサービスのクラウド内のデータは、ユーザがアクセスすることができません(復元は無論可能ですが、クラウド上でデータを編集・加工することはできません。書き込み権限はありません)。

 

2. クラウド内でランサムウェア実行ファイルが活動できないため

バックアップされるデータは、クラウド内においても(大抵は)圧縮・暗号化が施されています。いわば、粉々に砕かれた状態でクラウド上に保存されています(仮死状態になっているとお考えいただければ良いかと思います)。

さらに保存先のファイルシステムは、通常ランサムウェアがターゲットとしている OS(Windows、たまに Mac)とは異なります。

 

そのため、ランサムウェア実行ファイルをバックアップしてしまったとしても、クラウド内のデータまで暗号化される、ということは防げるわけです。


まとめ 適材適所で快適なクラウド利用を

 

クラウドストレージは便利です。BackStore チームも使ってます。

ですが、これらはあくまで「作業効率化」「ファイル共有」のためのサービスであって、ファイルを「保護」するためのものではないことに留意すべきです。
一方 BackStore は「データ保護・管理」に主軸を置いたクラウドサービスです。

ストレージのように共同編集をする便利機能はありません。ですが、クラウド内のデータは暗号化されません。

 

過去の世代の復元

もちろん開発元などに問い合わせる必要なく、数クリックで完了します。例えば営業部隊しかいない A 事業所がランサムウェアに感染しても、復元したいデータを Web かクライアントソフトから選択するだけで、すぐに復元できます。IT 知識はいりません。

 

自動で細かくバックアップ

また、バックアップ対象のデータは自動的にクラウドへバックアップされるため、従業員の操作は一切不要です。
最短 1 分ごとのバックアップが可能なため、「いざ復元しようとしたら一週間前のデータしかない」という事態を防ぎます。

 

ログでランサムウェアを追跡

さらに、バックアップしたデータは細かくログを残しています。全文検索も可能なため、いつ、どの筐体にあやしいファイルが侵入したのかを探ることができます。

 

多様な保護領域で柔軟な業務復旧を

また保護するデータの種類も多様です。ファイルだけでなく、OS の設定ファイルやアプリケーション設定、メーラーなども細かくバックアップできます。新しい機器の用意ができたら、1 から設定しなおすことなく、すぐに業務を始められます。

仮想サーバであれば、仮想サーバ丸ごとの復元も、ファイルごとの復元も両方可能なため、柔軟な業務復旧プランを立てることができます。

 

お問い合わせ

今なら 30日間無料トライアルも可能です。
ぜひお気軽にお問い合わせください。

お問い合わせフォームはこちら

BackStore HP はこちら

Facebooktwitter

世界150ヶ国で被害「WannaCry」の脅威の背景と対策

 

ランサムウェア「WannaCry」の被害が止まりません。

ファイルを暗号化し、復号する代わりに金銭を要求する「ランサムウェア」の攻撃自体は新しくありません。一昨年あたりから主要なサイバー攻撃として認知されてきました。ですが、ここまで大規模な攻撃というのは例がありません。

攻撃開始から数日経ち、ある程度下火になっているとはいえ、まだ油断は禁物です。また、第二、第三の攻撃を行わないとも限りません。

その1. 今回の被害

現在、150ヶ国で 30万件の被害が出ていると言われています。

日本でも日立製作所や JR 東日本、東急電鉄をはじめとし、600ヶ所 2000台のパソコンでの被害が確認されています。

イギリスでは国民保険サービスが感染し、61ヶ所の医療施設が影響を受け、治療や手術などを中止せざるをえなくなりました。米国では運輸大手のフェデックスが被害にあい、またフランスではルノーが一部操業を停止しました。スペインでは通信大手のテレフォニカ、ドイツではドイツ鉄道が被害にあっています。ロシアでは内務省のコンピュータ 1,000台が感染しました。

今後、さらに被害が拡大する可能性も懸念されています。

その2. 被害が拡大する背景

今回のランサムウェア攻撃は、Windows SMBv1 の脆弱性をついたものです。LAN 内に感染した端末があると、LAN を経由して脆弱性を持った端末を次々に暗号化していきます。この「感染力の高さ」のために、ここまで被害が拡大したと言われています。

対策としては、「修正パッチの適応」「LAN 攻撃の停止」しかありません。

なお、Windows10 についてはこの脆弱性はありません。
また、Microsoft のサポートが終了している 2003 サーバなどについても、無料の修正パッチが公開されています。

その3. 攻撃の背景

発端は、米国家安全保障局が隠し持っていた SMBv1 の脆弱性をハッカー集団 Shadow Brokers が盗み、今年4月に公開したことでした。

Microsoft は、4月に公開される前、3月14日にはすでに修正パッチを公開していました。ですが、特に企業などでは、即時適応は容易ではありません。稼働しているシステムなどへの影響を検証する必要があるからです。結果、この「タイムラグ」をランサムウェアに利用されてしまいました。

なお、攻撃主体がどこであるかはわかっていません。ロイター通信によると、ランサムウェアのコードが過去に北朝鮮が用いたものと関連性があるのではないか、という指摘があるということです(参考記事)。

その4. 攻撃されないためには

今回の攻撃に限定して言えば、「修正パッチを適応する」です。これはマルウェアに感染しないための大原則の1つ「OS やセキュリティソフトなどを常に最新に保つ」に当てはまるものです。

ですがこれは「今回の攻撃に限ったこと」です。ランサムウェアはこの「WannaCry」だけではありません。Mac PC を狙ったもの、Android を狙ったものもあります。さらにはセキュリティソフトの「ふるまい検知」を回避する仕組みを持ったランサムウェアなど、多岐にわたります。

セキュリティソフトを導入し、そのバージョンを常に最新に保つことは必須です。ですが、それで100% 防げるわけではありません。上記のようにランサムウェアの攻撃方法は多岐にわたります。また収益性が高いことから、常に新たな手法を模索し、改善しています。

実際、今回もセキュリティソフトを入れているはずの大企業や各国政府機関で被害が出ています。

その5. では感染したらどうするのか

身代金を払ってはいけません。FBI も身代金の支払いは推奨していません。
まず、データが戻る確証はありません。次に、「優良顧客」とみなされ、第二、第三の被害を誘発する危険性があります。最後に、その身代金がランサムウェア「市場」全体の活性化につながってしまいます。

身代金を支払わずにデータを復旧するためには、適切な場所にバックアップをするしかありません。

その6. 適切なバックアップとは

・バックアップする場所

同筐体内へのバックアップや、HDD、ファイルサーバへのバックアップは「不適切」です。
今回の攻撃に限らず、多くのランサムウェアは物理的に接続されている筐体や、同一LAN上にある筐体のデータも暗号化します。

必ずクラウドか、ファイルシステムが特殊なバックアップアプライアンスサーバへバックアップすることが求められます。

・バックアップするもの

前述したように、AndroidMac を狙ったランサムウェアも登場しています。また、感染した端末と同一 LAN 上にある場合、サーバのランサムウェア対策も必須です。パソコンだけ、あるいはサーバだけでなく、すべての機器が適切にバックアップされているか確認する必要があります。

筐体だけでなく、その中の何のデータを / どのようにバックアップするかも考える必要があります。パソコンであれば、ファイルだけでいいのか、システム設定情報なども必要なのか、必要な場合ちゃんと取れているのかを検討・確認しましょう。

・復元できるか

迅速な復元が出来なくては、意味がありません。ランサムウェアは時と場所を選びません。出張中の社員が感染した、担当者が休みなのに社内すべてが感染した場合も想定した復元プランが望ましいです。

その7. BackStore で何ができるか

BackStore はクラウドバックアップのため、ランサムウェアの暗号化対象にはなりません。

またエンドポイント向けプラン( BackStore by inSync )では、スマートフォンやパソコン、クラウドアプリ内のデータまですべてをバックアップできます。システム情報の取得も可能です。

サーバ向けプラン(BackStore by Phoenix )では、仮想や物理サーバ、SQL サーバのバックアップが可能です。仮想サーバは ESXi をイメージでバックアップするため、復元も容易です。

さらに BackStore by inSync では、バックアップしたデータの「不穏なふるまい」を検知します。例えばランサムウェアに感染し、大量にファイルが暗号化されるなどの通常とは異なる動きを検知し、アラートを出すことが可能です。

また、BackStore すべてのサービスで「迅速な復元」が可能です。
どのサービスも、ユーザ自身が自分で復元できるほど操作が容易です。また、管理者による遠隔復元も可能なため、東京本社にいながら沖縄支社のランサムウェア感染に対応できます。

BackStore 製品ページ:https://www.backstore.jp/

BackStore by inSync / Phoenix ページ:https://backstore.jp/bs-by-druva.html

Facebooktwitter

【今更聞けない】なんでクラウドにバックアップを取るの?〜クラウドバックアップに向く企業・向かない企業〜

こんにちは、BackStore です。

厳しい寒波がなかなか落ち着きませんが、いかがお過ごしでしょうか。

今回は、「なんでクラウドにバックアップを取る必要があるの?」についてです。

 

blog-why-cloud-backup

 

 

なお、クラウドバックアップについては、その必要性と同じくらい、「ストレージをバックアップ代わりにできないの?」という疑問が投げかけられます(経験上)。
そちらについては、このブログの2016年8月25日「【今更聞けない】クラウドストレージがバックアップとして使用できない理由5つ」をご確認ください。

 


その1. どういう背景でクラウドにバックアップを取るの?

 

バックアップであれば、当然安価な NAS を購入した方が安く済むわけです。では、なぜ多くの企業がクラウドにバックアップを取るのでしょうか。会社によって理由は様々ですが、主なものは下記の5つです。

・ランサムウェア対策
・BCP 対策
・管理、運用の手間削減
・拡張性の確保

各項目については、その5で詳しく記述します。


その2. クラウドバックアップはどういうところに特に向いてるの?

 

・データを絶対に消失させたくない
・持ち出しの多い機器もバックアップしたい
・バックアップ専任担当者がいない

社内バックアップは、後述するようにランサムウェアや災害、バックアップ機器の故障などからデータを守れません(自社でバックアップアプライアンスサーバを構築し、データセンター並みの設備を備えている会社はまた別です)。

また、例えば営業がパソコンをバックアップするために一々社外から VPN をつないで社内サーバへバックアップを取ることは、業務の中断すなわち生産性の低下につながります。

そもそも、すべての営業が定期的にちゃんと VPN につないでバックアップする、ということ自体、考えにくいでしょう。だからと言って HDD に手動バックアップでは、継続性は確保できません。さらにその HDD を社外へ持って行った際に盗難・紛失が起きたら、ただバックアップデータを失うだけでなく、情報流出につながりかねません。

専任担当者がいない状況で、バックアップ機器の運用や入れ替え、拡張、保守を行うのは手間です。本来の業務に手が回らなくなる可能性がありますし、人件費も嵩みます。

上記のような会社には、特にクラウドバックアップが向いていると言えるでしょう。


その3.クラウドバックアップが向かない会社は?

 

・データを外に出せない
・データが消えても良いので、コストを抑えたい

上記の会社には向きません。プライベート構築か、NAS などへのバックアップが望ましいです。


その4. クラウドバックアップにデメリットはある?

 

クラウドバックアップすべてに共通のデメリットは、特にありません。
ですが、サービスによっては下記のデメリットがあります。

・セキュリティ不安
・ストレージコスト
・帯域の圧迫
・機器への負荷

 

・セキュリティ不安

これを払拭するためには、そのデータが保管されるデータセンターは信頼性が高いか、サービス側でデータと通信を自動で暗号化するか、データへアクセスできるのが誰か、このあたりが明確になっている必要があります。

よく「クラウドは流出する!」と不安になる企業様もいらっしゃいますが、すべてのクラウドにそういう危険があるわけではありませんし、社内においておけば絶対安心というわけでもありません。なお、クラウドバックアップのセキュリティ及び BackStore のセキュリティについては、このブログの2016年10月13日「【クラウドへのバックアップって安全?】バックアップ編」をご確認ください。

 

・ストレージコスト

ハイレベルな重複排除機能を用いておらず、かつストレージ容量での課金の場合、必要以上に費用がかかる可能性があります。この状況を回避するためには、どのような重複排除機能を搭載しているか、どこの容量で課金されるかを確認する必要があります。
なお、BackStore はブロック単位重複排除を搭載してはおりますが、バックアップ対象に選択したファイルの容量に準じてプランを決定します。

 

・帯域の圧迫

遠隔地のクラウドへデータを転送するため、帯域の圧迫は大きな懸念となります。その場合、上記と同じく、どのような重複排除を行うか、設定で制限することは可能かを確認する必要があります。

なお、BackStore は前述した通りブロック単位重複排除で、クラウドへ転送する容量を最低限にしています。また、バックアップに使用する帯域の制限も可能です。

 

・機器への負荷

バックアップを使用していると、機器が重くなって業務に支障をきたす…ということがあります。ユーザのパソコンやサーバの生産性を下げるバックアップは、推奨されるべきではありません。生産性が下がったことによる機会損失などは無論です。加えて、特にパソコンの場合、こういうバックアップはユーザがオフにしてしまい、結局バックアップが取れていなかった、ということがあります。

事前にテストを行い、実際の運用と同じように試用してみるのが良いでしょう。


その5. クラウドバックアップ導入の背景詳細

 

<ランサムウェア対策>

昨年大流行し、今年も衰える気配のないランサムウェア対策には、NAS や HDD、ファイルサーバは不適切です。

ランサムウェアは、感染した筐体と物理的に接続された、あるいは同一ネットワーク上にある筐体のデータ全てを暗号化します。そのため、NAS などにとっていたバックアップデータもすべて暗号化されてしまうのです。

クラウドやバックアップアプライアンスサーバであれば、ランサムウェアがアクセス権限を奪取することができないため、暗号化されることはありません。

ランサムウェア対策については、合わせて BackStore HP 内の「ランサムウェア対策」ページをご参照ください。

 

<BCP 対策>

災害やパンデミックなど不測の事態に備えるためには、「社外の強固なデータセンター」に構築され、かつ「必要であればどこからでもアクセスできる」クラウド環境が最適です。

BCP 対策というと、よく「このビルが倒壊するほどの地震があったら、業務継続どころではない」とおっしゃる企業様もいらっしゃいます。ですが、 NAS やファイルサーバが壊れるためにビルが倒壊する必要はありません。強い揺れや停電、スプリンクラー誤作動なども故障の原因となります。

BCP 対策のためには、特に担当者様が出社できない場合の復元シナリオなどを策定する必要があります。

 

<管理、運用の手間削減>

クラウドバックアップなら、機器の管理や運用の手間は必要ありません。たいていのクラウドサービスには Web 管理コンソールがありますので、各機器のバックアップ状況も、一括で管理・閲覧できます。わざわざ現場に出向く必要はほとんどありません。

データセンターを契約して定期的にメンテナンスを行ったり、社内に置いてサーバのための環境を整えたり、社員がちゃんと各々の HDD を管理しているかを確認する作業は全て不要になります。

 

<拡張性の確保>

企業のデータは日々増えていきます。特に成長著しい企業では、バックアップデータもすぐに膨大な数に上ってしまう可能性があります。クラウドバックアップであれば、ベンダーに連絡するだけで増量が完了します。管理者が手を煩わせる必要はほとんどありません。


まとめ

以上のように、クラウドバックアップは様々なリスクからデータを守り、バックアップ業務を効率化し、人的コストを軽減します。

ですが、そのメリットを感じない企業様には、クラウドバックアップは向きません。また上記に当てはまるとしても、多数あるクラウドバックアップの中で最適なサービスはそれぞれに異なります。

Facebooktwitter

【ランサムウェア】なぜこんなに流行るのか?

backstore-logo-blue-big

 

 

こんにちは、BackStore チームです。

早くも2016年が終わろうとしていますが、いかがおすごしでしょうか。

さて 2016 年はいろいろなものが流行りましたが、やはり情報セキュリティの世界でいえば、「ランサムウェア」が一番でしょう。

その1. 流行の背景

このランサムウェア、なぜこんなに流行ったのでしょうか。様々な要因がありますが、一言で言えば、簡単に儲かるからです。

簡単といっても、やはり「暗号化」「感染」などの言葉から推し量るに、高い IT の知識が必要なのでは‥?と思われますが、実際はそんなことはないのです。ランサムウェアは、ヤミ市場で買うことができるからです。

これは Ransomware as a Service (RaaS)と呼ばれます。ランサムウェアを開発した人が、そのウィルスを販売します。「欲しい!」と思った人がこれを購入し、スパムメールなどでばら撒きます。そしてそこから得た収益の一部は、開発者が得ることができます。

つまりコードなんて知らなくても、ウィルスを購入するだけでランサムウェア攻撃を実行することができるのです。そしてコードを知っている人は、よりたくさん儲けることができます。ランサムウェアを1つ作れば、複数人・複数グループがばらまいてくれるからです。

さらに、質の高いランサムウェアを作成すればするほど皆に買ってもらえるため、開発者は頑張って開発します。そして頑張って開発された質の高いランサムウェアを使えば儲けられるため、たくさんの犯罪グループがそれを購入します‥という、ユーザにとってはまさに負のサイクルになっているわけです。

その2. 流行を食い止めるために

さて、このサイクルを止めるために、無辜の市民ができることは何でしょうか。

それは「ランサムウェアに感染しても身代金を支払わない」ことです。
ランサムウェアを開発しても、あるいはバラまいても、収益がないとわかれば自然と衰退していくでしょう。

身代金を支払わないためには、適切なバックアップを行うことです。
ランサムウェアは上記のような「活発な市場」を持つため、次々に新しいものや改善されたものが出てきます。セキュリティソフトで100%防ぐことはできません。また、仮にセキュリティソフトが「怪しい」と思っても、人間がそれを許可してしまえば終わりです。

ランサムウェアに身代金を支払わないためには、下記が欠かせません。

・クラウドやアプライアンスサーバへバックアップする

・複数世代保存する

 

2017年はランサムウェアを流行させないためにも、上記を考慮の上、自社と守りたいデータに最適なバックアップをご検討ください。

パソコン・サーバ・NAS を東京・沖縄へバックアップ→ BackStore
AWS クラウドへのパソコンバックアップを500円から→ Backpulse

Facebooktwitter

【ランサムウェア】マディソン郡がランサムウェアの被害に、身代金も支払い済み

こんにちは、BackStore チームです。

先日新しい大統領が誕生しまして、期待と不安と恐怖が渦巻いておりますが、いかがおすごしでしょうか。

さて先週、かの国のインディアナ州マディソン郡が、ランサムウェアの犠牲者となってしまいました。

その1. 概要

感染が発覚したのは先週末でした。コンピュータのシステムがダウンし始めたそうです。職員たちは紙とペンで仕事をしなくてはならず、「80年代に戻ったよう」だと語っていました。

感染経路などは現在調査中のようです。金曜あたりから徐々にシステムがダウンされていったようです。

その2. 結果

マディソン郡は、結局身代金を支払うこととなりました。なお、バックアップは「導入中」だったそうです。遅きに失したということでしょうか。なお、身代金の額は明らかになっていません。

参照:Forbes Nov. 8

まとめ

昨年から今年の初めには、ランサムウェアの主要なターゲットといえば個人でした。ですが2月にハリウッドの病院が1万7000ドルの身代金を払ってから、病院や企業、学校など、あらゆるところのコンピュータがターゲットになっています。

今回マディソン郡はバックアップを取っていなかったことから、身代金を支払わざるをえませんでした。しかし、言うまでもなく、ランサムウェアに身代金を支払うことは推奨されていません。

ファイルが戻ってくる確証がないだけでなく、ランサムウェアをはじめとするサイバー攻撃の「優良顧客」とみなされ、第二、第三の被害にあう可能性もあります。

業務に大事なファイルは必ずクラウドか、可能であれば物理的に切り離された筐体にバックアップを取る必要があります。

Facebooktwitter

【ランサムウェア】何より怖いランサムウェア4選

こんにちは、BackStore です。

ハロウィン1色になってきましたが、いかがお過ごしでしょうか。

「怖いもの」つながりで、今回は、今年に入り隆盛を極めているランサムウェアをまとめたいと思います。


1. Locky

160219comment01

画像:TrendMicro

このブログでも 8 月に取り上げました。
Locky は比較的早くから他言語に対応していまして、その中に日本語もあったこと、大々的なスパムキャンペーンの対象地域に日本が含まれていたことなどから、日本におけるランサムウェア界の黒船的存在となりました。

なお、今までは暗号化したファイルの拡張子を「.locky」に変えることで有名でしたが、先日のアップデートでは「.shit」にするそうです(参照:Bleeping Computer 1o/24 記事)。このこまめなアップデートや数日で何万通も展開する大々的なスパムキャンペーンなどが特徴的かつ脅威です。


2. Zepto

160219comment01

画像:Security Affairs

このブログでも先月取り上げました。

Locky の亜種です。より企業向けで、より多額の身代金を要求します。なお、日本語で検索すると、Zepto が集中的に大規模なキャンペーンを行った6月に「感染してしまった」などのブログ記事が多く見つかります。


3. Jigsaw

jigsaw1
画像:TrendMicro
名前は言わずもがな「ソウ」から取られているわけですが、このランサムウェアは(シリーズ1作目みたいに)「心理戦」を展開します。

すなわち、ファイルを暗号化するだけではなく、身代金が支払われるまでの間、ファイルを毎時間ごとに削除する、と脅します。それだけでなく、身代金の額も釣り上がっていきます。
また、6月のアップデートではライブチャットも取り入れたようです。手厚いサポートに付加価値があることはビジネスの常識、ということです。


4. Cerber

cerber-v3-3

画像:TrendMicro

ランサムウェアというとメール添付による感染が主ですが、この Cerber は Web 上の不正広告や Web サイト経由で感染します。

この Cerber の最大の特徴は、「人気が高い」ということです。無論、犯罪組織からの人気です。

このランサムウェアは、「サービスとしてのランサムウェア(Ransomware as a Service)」として、ヤミ市場で取引対象となっているのです。更新が早く、容易に拡散できる点が人気の要因でしょう。


最後に

ここで取り上げたのは氷山の一角のその欠片程度です。

これらの有名なランサムウェアを模倣した粗悪品や全くの新種など、ランサムウェアが金のなる木でありつつける限り、ランサムウェアはどんどん増え続けます。

彼らを衰退させるためには、やはりランサムウェアに万が一感染した時に「身代金を払わない」ことです。

そのためには、感染しないための対策をしっかり行った上で、バックアップをとり、身代金を払わなくても業務を復旧できるよう準備しておくことが重要です。

 


パソコン・サーバ・NAS を東京・沖縄へバックアップ→ BackStore
AWS クラウドへのパソコンバックアップを500円から→ Backpulse

Facebooktwitter

【ランサムウェア】猛威を振るい続ける Zepto ランサムウェアとは

こんにちは、BackStore チームです。

本日はおやすみをいただいている方も多いのかと思います。

お休み中にはあまり考えたくないかもしれませんが、今回は神戸大学も被害にあった zepto ウィルスについてお伝えします。


その1. zepto ウィルスとは?

2016年6月27日に発見されたランサムウェアです。
登場するや、大々的なスパムキャンペーンを展開し、4日間で 130,000 通のメールを拡散しました。
なお、日本でランサムウェアが注目されるきっかけであったと言っても過言ではない Locky (当ブログ8/記事参照)との類似点も指摘されています。
参照:Talos blog 2016/6/30


その2. Locky との類似点

まずその大々的なスパムキャンペーン、RSA 暗号鍵によるファイルの暗号化などの手法の点で多くの共通点が見られます(参照:トレンドマイクロ「LOCKY」に関連したランサムウェアの亜種を確認)。

またその他にも、コードが酷似している( Locky のコードに新たな要素を追加したものが Zepto という印象のようです / 参照:security  affairs 2016/7/7 )など、多くの共通点があることから、Zepto と Locky を同一視する流れもあります。

なお、Zepto の身代金要求額は Locky の数倍の 3 bitcoins (約18万円)です。


その3. Zepto の進化

他のランサムウェアと同じく、Zepto も日々進化を続けています。

 

3-1. VSS の削除

ランサムウェアが企業をターゲットにしてから、Volume Shadow Copy Service は身代金獲得を邪魔する「敵」と認識されています。多くのランサムウェアが VSS 内のファイルを削除しますが、Zepto も例外ではありません。

 

3-2. Zepto の進化 – ファイル形式の変更

zepto は当初、Java Script ファイルファイルを添付していました。が、8月に入り、Windows Script Files ファイルへと変わりました。(参照:bleeping computer 2016/8/1
細かい変更、と思われるかもしれませんが、この変更のおかげで、Zepto はより自身を無害なレポートや見積もり、宅配情報のメールだと思わせることができるようになりました。

 

3-3. Zepto の進化 – オフラインでの暗号化

通常のランサムウェアだと、暗号化を実行するために、攻撃者側のコマンド&コントロールサーバ(C&C サーバ)へ接続する必要があります。ですが Zepto はあらかじめ暗号化のための RSA 鍵を内蔵しているため、サーバへ接続する必要がありません。

ランサムウェアの侵入を感知したらとりあえずネットワークをオフにするという対策が効かなくなるわけです。

 

3-4. Zepto の進化 – ファイルの優先順位付け

Zepto は賢いランサムウェアですから、闇雲にファイルを暗号化するなんてことはしません。
拡張子ごとに 7 段階の優先順位づけを行います。

感染後、まずは対象範囲内のファイルをスキャンし、拡張子とファイルの容量に応じて優先順位づけをし、パスとともにリスト化していきます。無論、軽い容量のものから暗号化されていくわけです。

参照:avast blog 2016/9/8

 

その4. 最後に

Zepto に身代金を支払う企業が多ければ多いほど、Zepto の開発資金は潤沢になり、さらに進化を続けるでしょう。また、このような企業を狙った攻撃や大々的なスパムキャンペーンが優れた費用対効果を持つということが犯罪集団に認知されれば、ランサムウェアはより世界中に、より広範囲に広まっていくでしょう。

そうならないためにも、身代金を支払わないための対策が必要です。


パソコン・サーバ・NAS を東京・沖縄へバックアップ→ BackStore
AWS クラウドへのパソコンバックアップを500円から→ Backpulse

Facebooktwitter

【ランサムウェア】被害者の情報を画像共有サービスへ投稿する

blog-ransomcry

 

こんにちは、BackStore チームです。

暑さはようやく下火になってきましたが、ランサムウェアの勢いは衰えを見せません。

先日、神戸大学でも業務用のパソコンが zepto ランサムウェアに感染したと報道されました。
メール添付からの感染だということですが、パソコンだけでなく NAS のデータも暗号化されていたということです(参照:Security NET 2016/09/09)。

ますます対岸の火事ではない感が出ているランサムウェアですが、先週、また新たなランサムウェアが発見されました。
その名も Cry (または CryLocker )です。


その1. Cry とは?

 

Cry はパソコンに侵入すると、まずファイルをコピーします。
次に、コピーしたファイルを暗号化します。
なお、拡張子は全て .cry に変換されます。
そして、ファイルのオリジナルも、シャドーコピーも、全て削除されます。

ファイルをコピーして暗号化という挙動も特殊ですが、さらにこの Cry は、攻撃により取得した情報を画像共有サービスの  Imgur に投稿します。


その2. なぜ Imgur に投稿するの?

 

通常のランサムウェアであれば、情報の送信先は、攻撃者のサーバです。が、Cry はその代りに取得した情報を PNG 画像に変換し、世界最大級の画像共有サービス Imgur へと送ります。

なお、投稿される情報は、ユーザの位置情報や暗号化されたファイルのリスト、MAC アドレスなどです。

こんなまわりくどい方法を用いるのは、攻撃者のサーバ情報を隠すためです。

なお、Imgur 内にある CryLocker のアルバムには、すでに 10,000 以上の被害者のデータがアップされているとのことです。
また、身代金要求額は約$630前後(約64,100円)です。(参照:softpedia 2016/9/6


最後に

ランサムウェアによる情報流出の危険性は早くから囁かれていました。が、情報を売るのではなく、画像共有サービスへ投稿するというケースは初めてです。

ランサムウェアの模倣と改善のスピードは、他のマルウェアと比べても驚異的です。他のランサムウェアが同様の手法を用いないとも限りません。

ランサムウェアに感染しないための予防策、感染した場合にデータを復旧させるための事後策が必要です。

なお、CryLocker はオリジナルを削除してしまうため、データ復旧サービスなどを用いることができない可能背があります。


パソコン・サーバ・NAS を東京・沖縄へバックアップ→ BackStore
AWS クラウドへのパソコンバックアップを500円から→ Backpulse

Facebooktwitter

【ランサムウェア】日本を重点的に攻撃した Locky とは?

blog-locky

 

こんにちは、BackStore チームです。

全国的に猛暑が続いていますが、明日は記念すべき第1回目の「山の日」ですね。
楽しみです。

ですが会社が休みでも、ランサムウェアに休みはありません。

今日は日本企業がランサムウェアに着目せざるをえないきっかけとなった「Locky」についてまとめたいと思います。

Locky が行ったあるスパムキャンペーンでは、全体の攻撃の実に45%が日本を標的にしていました。
今後もまた標的にされないとも限りません。正しい情報を集めておくことが重要です。


その1. 概要

 

Locky の初登場は 2016 年の初頭でした(参考:Symantec ブログ 2月18日)。

感染するとファイルが暗号化されます。拡張子も「.locky」あるいは「.zepto」に変えられてしまいます。要求額は 210 ドルから 420 ドルです。

基本的な感染経路は、主に「請求書通知」を装ったメールです。
メールに添付されたワードやエクセル、あるいは zip ファイルを開くと、中に組み込まれたマクロ( zip の場合は JavaScript )によってランサムウェア実行ファイルがダウンロード / インストールされます。


その2. なぜ「ランサムウェアの中で最も恐るべき」とされるのか

 

Locky の最大の特徴は、その大々的なスパムキャンペーンです。

その登場当時から、1日あたり5万回を超える攻撃を行っていました(参考:Check Point ブログ  3月2日)。そのばらまかれた数もさることながら、その対象地域もまた類を見ないものとなっています。
実に世界 110 カ国以上で Locky のスパムが確認されています。

 

なお、Locky を展開しているのは、口座情報などを盗み出す悪質かつ巧妙な Dridex Trojan と呼ばれるスパムをばらまいている集団と同じではないかと言われています(Dridex については Symantec ブログ 2月16日を参照)。
ランサムウェアは新規参入が容易なことから、アマチュアによる稚拙かつ小規模な攻撃も目立ちます。
ですが、この Locky はそれには当てはまりません。


その3. 日本と Locky

 

日本企業にとって、数多あるランサムウェアの中でも、Locky は特に聞く名前かと思います。

というのも、今年の6月に Locky が行ったスパムキャンペーンにおいて、実に全体の45%の攻撃が日本に集中していたのです。6月21日から23日の攻撃に限れば、2位のアメリカ(17%)に大差をつけて、日本が1位に躍り出ています(参考:FireEye ブログ 6月24日)
また Locky は日本語を含む数十カ国以上の言語に対応しているため、日本語で身代金要求文書や支払いページが表示されます。

 

160219comment01

 

なお、Locky に感染すると、デスクトップの壁紙が上図のように身代金要求文書になります(画像参考:トレンドマイクロ)。


その4. サンドボックスを回避?

 

ランサムウェアが恐ろしいのは、日々「改良」を怠らない点です。

Locky も無論例外ではありません。

今年の6月にアップデートされたバージョンは、サンドボックスによる検知を回避します。
(日本を重点的に狙った攻撃は、このバージョンにて行われているようです。)

この場合、添付ファイルはオフィスではなく、JavaScript ファイルを含んだ zip データです。
このランサム実行ファイルは正しい JS ダウンローダーでのみ実行される仕様になってます。
そのためサンドボックスでは、ランサムウェアは実行されません。

サンドボックスを回避する機能を持っているということは、つまり高いセキュリティを持つ企業を狙っている、ということに他なりません。


その5.  オフラインでも暗号化?

 

Locky の改良は止まりません。
今年の 7 月にも新たなアップデートを行っています(参考:avira blog 7月13日)。

以前のバージョンでは他のランサムウェア同様、ファイルを暗号化するために外部のサーバと通信をする必要がありました。
ですがこの仕様では、ファイアウォールなどで通信をブロックされ、暗号化に失敗する「危険」があります。

 

今回のバージョンでは、Locky はサーバとの通信に失敗してもファイルを暗号化します。
感染からオフラインモードの暗号化を始めるまで、実に1-2分だそうです。

ただし、このオフラインでの暗号化は、オンラインの状態で行う場合と比べて脆弱です。

オフラインでは、公開鍵でファイルを暗号化します。
この公開鍵はその PC にユニークなものではありません。
同様にオフラインの状態で暗号化された PC 全て共通の鍵となります。

そのため、誰かが手に入れた複合鍵を取得できれば、ファイルを取り戻すことができます。

 

なお新しいバージョンのリリースを記念してか、7月にも大々的なスパムキャンペーンを展開しています。
この時は、なんと1時間に12万ものスパム攻撃が観測されました。
通常時は1日で12万なので、実に200倍にもなります(参考:F-secure ブログ 7月13日)。


その6. 最後に

 

日本を狙い、多言語に対応しているランサムウェア、Locky。

サンドボックスを回避しようとするなど、ランサムウェアも、ターゲットである企業から確実に身代金を要求できるよう、日々改良を行っています。

言うまでもなく、二重三重のセキュリティ対策を行った上で、
万が一感染した時のためにバックアップを取っておく必要があります。

 

また、「感染してしまったから身代金を払っておこう」という考えは危険です。
Locky がこれほどの改良を次々に行えるのも、大々的なスパムキャンペーンを行えるのも、
ひとえにランサムウェア攻撃の収益が莫大であるからです。
また6月には日本が攻撃されましたが、日本企業が身代金を支払うと犯罪集団に証明されれば、
第二、第三の日本を狙った攻撃が展開されます。

 

繰り返しますが、上記のような状況を作らないためにも、

  1. 感染しないようにセキュリティ対策を導入し、社員教育を徹底する
  2. 感染した時のために、有効なバックアップを行う

上記の二つの対策が不可欠です。

 

Facebooktwitter