世界150ヶ国で被害「WannaCry」の脅威の背景と対策

 

ランサムウェア「WannaCry」の被害が止まりません。

ファイルを暗号化し、復号する代わりに金銭を要求する「ランサムウェア」の攻撃自体は新しくありません。一昨年あたりから主要なサイバー攻撃として認知されてきました。ですが、ここまで大規模な攻撃というのは例がありません。

攻撃開始から数日経ち、ある程度下火になっているとはいえ、まだ油断は禁物です。また、第二、第三の攻撃を行わないとも限りません。

その1. 今回の被害

現在、150ヶ国で 30万件の被害が出ていると言われています。

日本でも日立製作所や JR 東日本、東急電鉄をはじめとし、600ヶ所 2000台のパソコンでの被害が確認されています。

イギリスでは国民保険サービスが感染し、61ヶ所の医療施設が影響を受け、治療や手術などを中止せざるをえなくなりました。米国では運輸大手のフェデックスが被害にあい、またフランスではルノーが一部操業を停止しました。スペインでは通信大手のテレフォニカ、ドイツではドイツ鉄道が被害にあっています。ロシアでは内務省のコンピュータ 1,000台が感染しました。

今後、さらに被害が拡大する可能性も懸念されています。

その2. 被害が拡大する背景

今回のランサムウェア攻撃は、Windows SMBv1 の脆弱性をついたものです。LAN 内に感染した端末があると、LAN を経由して脆弱性を持った端末を次々に暗号化していきます。この「感染力の高さ」のために、ここまで被害が拡大したと言われています。

対策としては、「修正パッチの適応」「LAN 攻撃の停止」しかありません。

なお、Windows10 についてはこの脆弱性はありません。
また、Microsoft のサポートが終了している 2003 サーバなどについても、無料の修正パッチが公開されています。

その3. 攻撃の背景

発端は、米国家安全保障局が隠し持っていた SMBv1 の脆弱性をハッカー集団 Shadow Brokers が盗み、今年4月に公開したことでした。

Microsoft は、4月に公開される前、3月14日にはすでに修正パッチを公開していました。ですが、特に企業などでは、即時適応は容易ではありません。稼働しているシステムなどへの影響を検証する必要があるからです。結果、この「タイムラグ」をランサムウェアに利用されてしまいました。

なお、攻撃主体がどこであるかはわかっていません。ロイター通信によると、ランサムウェアのコードが過去に北朝鮮が用いたものと関連性があるのではないか、という指摘があるということです(参考記事)。

その4. 攻撃されないためには

今回の攻撃に限定して言えば、「修正パッチを適応する」です。これはマルウェアに感染しないための大原則の1つ「OS やセキュリティソフトなどを常に最新に保つ」に当てはまるものです。

ですがこれは「今回の攻撃に限ったこと」です。ランサムウェアはこの「WannaCry」だけではありません。Mac PC を狙ったもの、Android を狙ったものもあります。さらにはセキュリティソフトの「ふるまい検知」を回避する仕組みを持ったランサムウェアなど、多岐にわたります。

セキュリティソフトを導入し、そのバージョンを常に最新に保つことは必須です。ですが、それで100% 防げるわけではありません。上記のようにランサムウェアの攻撃方法は多岐にわたります。また収益性が高いことから、常に新たな手法を模索し、改善しています。

実際、今回もセキュリティソフトを入れているはずの大企業や各国政府機関で被害が出ています。

その5. では感染したらどうするのか

身代金を払ってはいけません。FBI も身代金の支払いは推奨していません。
まず、データが戻る確証はありません。次に、「優良顧客」とみなされ、第二、第三の被害を誘発する危険性があります。最後に、その身代金がランサムウェア「市場」全体の活性化につながってしまいます。

身代金を支払わずにデータを復旧するためには、適切な場所にバックアップをするしかありません。

その6. 適切なバックアップとは

・バックアップする場所

同筐体内へのバックアップや、HDD、ファイルサーバへのバックアップは「不適切」です。
今回の攻撃に限らず、多くのランサムウェアは物理的に接続されている筐体や、同一LAN上にある筐体のデータも暗号化します。

必ずクラウドか、ファイルシステムが特殊なバックアップアプライアンスサーバへバックアップすることが求められます。

・バックアップするもの

前述したように、AndroidMac を狙ったランサムウェアも登場しています。また、感染した端末と同一 LAN 上にある場合、サーバのランサムウェア対策も必須です。パソコンだけ、あるいはサーバだけでなく、すべての機器が適切にバックアップされているか確認する必要があります。

筐体だけでなく、その中の何のデータを / どのようにバックアップするかも考える必要があります。パソコンであれば、ファイルだけでいいのか、システム設定情報なども必要なのか、必要な場合ちゃんと取れているのかを検討・確認しましょう。

・復元できるか

迅速な復元が出来なくては、意味がありません。ランサムウェアは時と場所を選びません。出張中の社員が感染した、担当者が休みなのに社内すべてが感染した場合も想定した復元プランが望ましいです。

その7. BackStore で何ができるか

BackStore はクラウドバックアップのため、ランサムウェアの暗号化対象にはなりません。

またエンドポイント向けプラン( BackStore by inSync )では、スマートフォンやパソコン、クラウドアプリ内のデータまですべてをバックアップできます。システム情報の取得も可能です。

サーバ向けプラン(BackStore by Phoenix )では、仮想や物理サーバ、SQL サーバのバックアップが可能です。仮想サーバは ESXi をイメージでバックアップするため、復元も容易です。

さらに BackStore by inSync では、バックアップしたデータの「不穏なふるまい」を検知します。例えばランサムウェアに感染し、大量にファイルが暗号化されるなどの通常とは異なる動きを検知し、アラートを出すことが可能です。

また、BackStore すべてのサービスで「迅速な復元」が可能です。
どのサービスも、ユーザ自身が自分で復元できるほど操作が容易です。また、管理者による遠隔復元も可能なため、東京本社にいながら沖縄支社のランサムウェア感染に対応できます。

BackStore 製品ページ:https://www.backstore.jp/

BackStore by inSync / Phoenix ページ:https://backstore.jp/bs-by-druva.html

Facebooktwitter

【今更聞けない】なんでクラウドにバックアップを取るの?〜クラウドバックアップに向く企業・向かない企業〜

こんにちは、BackStore です。

厳しい寒波がなかなか落ち着きませんが、いかがお過ごしでしょうか。

今回は、「なんでクラウドにバックアップを取る必要があるの?」についてです。

 

blog-why-cloud-backup

 

 

なお、クラウドバックアップについては、その必要性と同じくらい、「ストレージをバックアップ代わりにできないの?」という疑問が投げかけられます(経験上)。
そちらについては、このブログの2016年8月25日「【今更聞けない】クラウドストレージがバックアップとして使用できない理由5つ」をご確認ください。

 


その1. どういう背景でクラウドにバックアップを取るの?

 

バックアップであれば、当然安価な NAS を購入した方が安く済むわけです。では、なぜ多くの企業がクラウドにバックアップを取るのでしょうか。会社によって理由は様々ですが、主なものは下記の5つです。

・ランサムウェア対策
・BCP 対策
・管理、運用の手間削減
・拡張性の確保

各項目については、その5で詳しく記述します。


その2. クラウドバックアップはどういうところに特に向いてるの?

 

・データを絶対に消失させたくない
・持ち出しの多い機器もバックアップしたい
・バックアップ専任担当者がいない

社内バックアップは、後述するようにランサムウェアや災害、バックアップ機器の故障などからデータを守れません(自社でバックアップアプライアンスサーバを構築し、データセンター並みの設備を備えている会社はまた別です)。

また、例えば営業がパソコンをバックアップするために一々社外から VPN をつないで社内サーバへバックアップを取ることは、業務の中断すなわち生産性の低下につながります。

そもそも、すべての営業が定期的にちゃんと VPN につないでバックアップする、ということ自体、考えにくいでしょう。だからと言って HDD に手動バックアップでは、継続性は確保できません。さらにその HDD を社外へ持って行った際に盗難・紛失が起きたら、ただバックアップデータを失うだけでなく、情報流出につながりかねません。

専任担当者がいない状況で、バックアップ機器の運用や入れ替え、拡張、保守を行うのは手間です。本来の業務に手が回らなくなる可能性がありますし、人件費も嵩みます。

上記のような会社には、特にクラウドバックアップが向いていると言えるでしょう。


その3.クラウドバックアップが向かない会社は?

 

・データを外に出せない
・データが消えても良いので、コストを抑えたい

上記の会社には向きません。プライベート構築か、NAS などへのバックアップが望ましいです。


その4. クラウドバックアップにデメリットはある?

 

クラウドバックアップすべてに共通のデメリットは、特にありません。
ですが、サービスによっては下記のデメリットがあります。

・セキュリティ不安
・ストレージコスト
・帯域の圧迫
・機器への負荷

 

・セキュリティ不安

これを払拭するためには、そのデータが保管されるデータセンターは信頼性が高いか、サービス側でデータと通信を自動で暗号化するか、データへアクセスできるのが誰か、このあたりが明確になっている必要があります。

よく「クラウドは流出する!」と不安になる企業様もいらっしゃいますが、すべてのクラウドにそういう危険があるわけではありませんし、社内においておけば絶対安心というわけでもありません。なお、クラウドバックアップのセキュリティ及び BackStore のセキュリティについては、このブログの2016年10月13日「【クラウドへのバックアップって安全?】バックアップ編」をご確認ください。

 

・ストレージコスト

ハイレベルな重複排除機能を用いておらず、かつストレージ容量での課金の場合、必要以上に費用がかかる可能性があります。この状況を回避するためには、どのような重複排除機能を搭載しているか、どこの容量で課金されるかを確認する必要があります。
なお、BackStore はブロック単位重複排除を搭載してはおりますが、バックアップ対象に選択したファイルの容量に準じてプランを決定します。

 

・帯域の圧迫

遠隔地のクラウドへデータを転送するため、帯域の圧迫は大きな懸念となります。その場合、上記と同じく、どのような重複排除を行うか、設定で制限することは可能かを確認する必要があります。

なお、BackStore は前述した通りブロック単位重複排除で、クラウドへ転送する容量を最低限にしています。また、バックアップに使用する帯域の制限も可能です。

 

・機器への負荷

バックアップを使用していると、機器が重くなって業務に支障をきたす…ということがあります。ユーザのパソコンやサーバの生産性を下げるバックアップは、推奨されるべきではありません。生産性が下がったことによる機会損失などは無論です。加えて、特にパソコンの場合、こういうバックアップはユーザがオフにしてしまい、結局バックアップが取れていなかった、ということがあります。

事前にテストを行い、実際の運用と同じように試用してみるのが良いでしょう。


その5. クラウドバックアップ導入の背景詳細

 

<ランサムウェア対策>

昨年大流行し、今年も衰える気配のないランサムウェア対策には、NAS や HDD、ファイルサーバは不適切です。

ランサムウェアは、感染した筐体と物理的に接続された、あるいは同一ネットワーク上にある筐体のデータ全てを暗号化します。そのため、NAS などにとっていたバックアップデータもすべて暗号化されてしまうのです。

クラウドやバックアップアプライアンスサーバであれば、ランサムウェアがアクセス権限を奪取することができないため、暗号化されることはありません。

ランサムウェア対策については、合わせて BackStore HP 内の「ランサムウェア対策」ページをご参照ください。

 

<BCP 対策>

災害やパンデミックなど不測の事態に備えるためには、「社外の強固なデータセンター」に構築され、かつ「必要であればどこからでもアクセスできる」クラウド環境が最適です。

BCP 対策というと、よく「このビルが倒壊するほどの地震があったら、業務継続どころではない」とおっしゃる企業様もいらっしゃいます。ですが、 NAS やファイルサーバが壊れるためにビルが倒壊する必要はありません。強い揺れや停電、スプリンクラー誤作動なども故障の原因となります。

BCP 対策のためには、特に担当者様が出社できない場合の復元シナリオなどを策定する必要があります。

 

<管理、運用の手間削減>

クラウドバックアップなら、機器の管理や運用の手間は必要ありません。たいていのクラウドサービスには Web 管理コンソールがありますので、各機器のバックアップ状況も、一括で管理・閲覧できます。わざわざ現場に出向く必要はほとんどありません。

データセンターを契約して定期的にメンテナンスを行ったり、社内に置いてサーバのための環境を整えたり、社員がちゃんと各々の HDD を管理しているかを確認する作業は全て不要になります。

 

<拡張性の確保>

企業のデータは日々増えていきます。特に成長著しい企業では、バックアップデータもすぐに膨大な数に上ってしまう可能性があります。クラウドバックアップであれば、ベンダーに連絡するだけで増量が完了します。管理者が手を煩わせる必要はほとんどありません。


まとめ

以上のように、クラウドバックアップは様々なリスクからデータを守り、バックアップ業務を効率化し、人的コストを軽減します。

ですが、そのメリットを感じない企業様には、クラウドバックアップは向きません。また上記に当てはまるとしても、多数あるクラウドバックアップの中で最適なサービスはそれぞれに異なります。

Facebooktwitter

【ランサムウェア】なぜこんなに流行るのか?

backstore-logo-blue-big

 

 

こんにちは、BackStore チームです。

早くも2016年が終わろうとしていますが、いかがおすごしでしょうか。

さて 2016 年はいろいろなものが流行りましたが、やはり情報セキュリティの世界でいえば、「ランサムウェア」が一番でしょう。

その1. 流行の背景

このランサムウェア、なぜこんなに流行ったのでしょうか。様々な要因がありますが、一言で言えば、簡単に儲かるからです。

簡単といっても、やはり「暗号化」「感染」などの言葉から推し量るに、高い IT の知識が必要なのでは‥?と思われますが、実際はそんなことはないのです。ランサムウェアは、ヤミ市場で買うことができるからです。

これは Ransomware as a Service (RaaS)と呼ばれます。ランサムウェアを開発した人が、そのウィルスを販売します。「欲しい!」と思った人がこれを購入し、スパムメールなどでばら撒きます。そしてそこから得た収益の一部は、開発者が得ることができます。

つまりコードなんて知らなくても、ウィルスを購入するだけでランサムウェア攻撃を実行することができるのです。そしてコードを知っている人は、よりたくさん儲けることができます。ランサムウェアを1つ作れば、複数人・複数グループがばらまいてくれるからです。

さらに、質の高いランサムウェアを作成すればするほど皆に買ってもらえるため、開発者は頑張って開発します。そして頑張って開発された質の高いランサムウェアを使えば儲けられるため、たくさんの犯罪グループがそれを購入します‥という、ユーザにとってはまさに負のサイクルになっているわけです。

その2. 流行を食い止めるために

さて、このサイクルを止めるために、無辜の市民ができることは何でしょうか。

それは「ランサムウェアに感染しても身代金を支払わない」ことです。
ランサムウェアを開発しても、あるいはバラまいても、収益がないとわかれば自然と衰退していくでしょう。

身代金を支払わないためには、適切なバックアップを行うことです。
ランサムウェアは上記のような「活発な市場」を持つため、次々に新しいものや改善されたものが出てきます。セキュリティソフトで100%防ぐことはできません。また、仮にセキュリティソフトが「怪しい」と思っても、人間がそれを許可してしまえば終わりです。

ランサムウェアに身代金を支払わないためには、下記が欠かせません。

・クラウドやアプライアンスサーバへバックアップする

・複数世代保存する

 

2017年はランサムウェアを流行させないためにも、上記を考慮の上、自社と守りたいデータに最適なバックアップをご検討ください。

パソコン・サーバ・NAS を東京・沖縄へバックアップ→ BackStore
AWS クラウドへのパソコンバックアップを500円から→ Backpulse

Facebooktwitter

【ランサムウェア】マディソン郡がランサムウェアの被害に、身代金も支払い済み

こんにちは、BackStore チームです。

先日新しい大統領が誕生しまして、期待と不安と恐怖が渦巻いておりますが、いかがおすごしでしょうか。

さて先週、かの国のインディアナ州マディソン郡が、ランサムウェアの犠牲者となってしまいました。

その1. 概要

感染が発覚したのは先週末でした。コンピュータのシステムがダウンし始めたそうです。職員たちは紙とペンで仕事をしなくてはならず、「80年代に戻ったよう」だと語っていました。

感染経路などは現在調査中のようです。金曜あたりから徐々にシステムがダウンされていったようです。

その2. 結果

マディソン郡は、結局身代金を支払うこととなりました。なお、バックアップは「導入中」だったそうです。遅きに失したということでしょうか。なお、身代金の額は明らかになっていません。

参照:Forbes Nov. 8

まとめ

昨年から今年の初めには、ランサムウェアの主要なターゲットといえば個人でした。ですが2月にハリウッドの病院が1万7000ドルの身代金を払ってから、病院や企業、学校など、あらゆるところのコンピュータがターゲットになっています。

今回マディソン郡はバックアップを取っていなかったことから、身代金を支払わざるをえませんでした。しかし、言うまでもなく、ランサムウェアに身代金を支払うことは推奨されていません。

ファイルが戻ってくる確証がないだけでなく、ランサムウェアをはじめとするサイバー攻撃の「優良顧客」とみなされ、第二、第三の被害にあう可能性もあります。

業務に大事なファイルは必ずクラウドか、可能であれば物理的に切り離された筐体にバックアップを取る必要があります。

Facebooktwitter

【ランサムウェア】何より怖いランサムウェア4選

こんにちは、BackStore です。

ハロウィン1色になってきましたが、いかがお過ごしでしょうか。

「怖いもの」つながりで、今回は、今年に入り隆盛を極めているランサムウェアをまとめたいと思います。


1. Locky

160219comment01

画像:TrendMicro

このブログでも 8 月に取り上げました。
Locky は比較的早くから他言語に対応していまして、その中に日本語もあったこと、大々的なスパムキャンペーンの対象地域に日本が含まれていたことなどから、日本におけるランサムウェア界の黒船的存在となりました。

なお、今までは暗号化したファイルの拡張子を「.locky」に変えることで有名でしたが、先日のアップデートでは「.shit」にするそうです(参照:Bleeping Computer 1o/24 記事)。このこまめなアップデートや数日で何万通も展開する大々的なスパムキャンペーンなどが特徴的かつ脅威です。


2. Zepto

160219comment01

画像:Security Affairs

このブログでも先月取り上げました。

Locky の亜種です。より企業向けで、より多額の身代金を要求します。なお、日本語で検索すると、Zepto が集中的に大規模なキャンペーンを行った6月に「感染してしまった」などのブログ記事が多く見つかります。


3. Jigsaw

jigsaw1
画像:TrendMicro
名前は言わずもがな「ソウ」から取られているわけですが、このランサムウェアは(シリーズ1作目みたいに)「心理戦」を展開します。

すなわち、ファイルを暗号化するだけではなく、身代金が支払われるまでの間、ファイルを毎時間ごとに削除する、と脅します。それだけでなく、身代金の額も釣り上がっていきます。
また、6月のアップデートではライブチャットも取り入れたようです。手厚いサポートに付加価値があることはビジネスの常識、ということです。


4. Cerber

cerber-v3-3

画像:TrendMicro

ランサムウェアというとメール添付による感染が主ですが、この Cerber は Web 上の不正広告や Web サイト経由で感染します。

この Cerber の最大の特徴は、「人気が高い」ということです。無論、犯罪組織からの人気です。

このランサムウェアは、「サービスとしてのランサムウェア(Ransomware as a Service)」として、ヤミ市場で取引対象となっているのです。更新が早く、容易に拡散できる点が人気の要因でしょう。


最後に

ここで取り上げたのは氷山の一角のその欠片程度です。

これらの有名なランサムウェアを模倣した粗悪品や全くの新種など、ランサムウェアが金のなる木でありつつける限り、ランサムウェアはどんどん増え続けます。

彼らを衰退させるためには、やはりランサムウェアに万が一感染した時に「身代金を払わない」ことです。

そのためには、感染しないための対策をしっかり行った上で、バックアップをとり、身代金を払わなくても業務を復旧できるよう準備しておくことが重要です。

 


パソコン・サーバ・NAS を東京・沖縄へバックアップ→ BackStore
AWS クラウドへのパソコンバックアップを500円から→ Backpulse

Facebooktwitter

【ランサムウェア】猛威を振るい続ける Zepto ランサムウェアとは

こんにちは、BackStore チームです。

本日はおやすみをいただいている方も多いのかと思います。

お休み中にはあまり考えたくないかもしれませんが、今回は神戸大学も被害にあった zepto ウィルスについてお伝えします。


その1. zepto ウィルスとは?

2016年6月27日に発見されたランサムウェアです。
登場するや、大々的なスパムキャンペーンを展開し、4日間で 130,000 通のメールを拡散しました。
なお、日本でランサムウェアが注目されるきっかけであったと言っても過言ではない Locky (当ブログ8/記事参照)との類似点も指摘されています。
参照:Talos blog 2016/6/30


その2. Locky との類似点

まずその大々的なスパムキャンペーン、RSA 暗号鍵によるファイルの暗号化などの手法の点で多くの共通点が見られます(参照:トレンドマイクロ「LOCKY」に関連したランサムウェアの亜種を確認)。

またその他にも、コードが酷似している( Locky のコードに新たな要素を追加したものが Zepto という印象のようです / 参照:security  affairs 2016/7/7 )など、多くの共通点があることから、Zepto と Locky を同一視する流れもあります。

なお、Zepto の身代金要求額は Locky の数倍の 3 bitcoins (約18万円)です。


その3. Zepto の進化

他のランサムウェアと同じく、Zepto も日々進化を続けています。

 

3-1. VSS の削除

ランサムウェアが企業をターゲットにしてから、Volume Shadow Copy Service は身代金獲得を邪魔する「敵」と認識されています。多くのランサムウェアが VSS 内のファイルを削除しますが、Zepto も例外ではありません。

 

3-2. Zepto の進化 – ファイル形式の変更

zepto は当初、Java Script ファイルファイルを添付していました。が、8月に入り、Windows Script Files ファイルへと変わりました。(参照:bleeping computer 2016/8/1
細かい変更、と思われるかもしれませんが、この変更のおかげで、Zepto はより自身を無害なレポートや見積もり、宅配情報のメールだと思わせることができるようになりました。

 

3-3. Zepto の進化 – オフラインでの暗号化

通常のランサムウェアだと、暗号化を実行するために、攻撃者側のコマンド&コントロールサーバ(C&C サーバ)へ接続する必要があります。ですが Zepto はあらかじめ暗号化のための RSA 鍵を内蔵しているため、サーバへ接続する必要がありません。

ランサムウェアの侵入を感知したらとりあえずネットワークをオフにするという対策が効かなくなるわけです。

 

3-4. Zepto の進化 – ファイルの優先順位付け

Zepto は賢いランサムウェアですから、闇雲にファイルを暗号化するなんてことはしません。
拡張子ごとに 7 段階の優先順位づけを行います。

感染後、まずは対象範囲内のファイルをスキャンし、拡張子とファイルの容量に応じて優先順位づけをし、パスとともにリスト化していきます。無論、軽い容量のものから暗号化されていくわけです。

参照:avast blog 2016/9/8

 

その4. 最後に

Zepto に身代金を支払う企業が多ければ多いほど、Zepto の開発資金は潤沢になり、さらに進化を続けるでしょう。また、このような企業を狙った攻撃や大々的なスパムキャンペーンが優れた費用対効果を持つということが犯罪集団に認知されれば、ランサムウェアはより世界中に、より広範囲に広まっていくでしょう。

そうならないためにも、身代金を支払わないための対策が必要です。


パソコン・サーバ・NAS を東京・沖縄へバックアップ→ BackStore
AWS クラウドへのパソコンバックアップを500円から→ Backpulse

Facebooktwitter

【ランサムウェア】被害者の情報を画像共有サービスへ投稿する

blog-ransomcry

 

こんにちは、BackStore チームです。

暑さはようやく下火になってきましたが、ランサムウェアの勢いは衰えを見せません。

先日、神戸大学でも業務用のパソコンが zepto ランサムウェアに感染したと報道されました。
メール添付からの感染だということですが、パソコンだけでなく NAS のデータも暗号化されていたということです(参照:Security NET 2016/09/09)。

ますます対岸の火事ではない感が出ているランサムウェアですが、先週、また新たなランサムウェアが発見されました。
その名も Cry (または CryLocker )です。


その1. Cry とは?

 

Cry はパソコンに侵入すると、まずファイルをコピーします。
次に、コピーしたファイルを暗号化します。
なお、拡張子は全て .cry に変換されます。
そして、ファイルのオリジナルも、シャドーコピーも、全て削除されます。

ファイルをコピーして暗号化という挙動も特殊ですが、さらにこの Cry は、攻撃により取得した情報を画像共有サービスの  Imgur に投稿します。


その2. なぜ Imgur に投稿するの?

 

通常のランサムウェアであれば、情報の送信先は、攻撃者のサーバです。が、Cry はその代りに取得した情報を PNG 画像に変換し、世界最大級の画像共有サービス Imgur へと送ります。

なお、投稿される情報は、ユーザの位置情報や暗号化されたファイルのリスト、MAC アドレスなどです。

こんなまわりくどい方法を用いるのは、攻撃者のサーバ情報を隠すためです。

なお、Imgur 内にある CryLocker のアルバムには、すでに 10,000 以上の被害者のデータがアップされているとのことです。
また、身代金要求額は約$630前後(約64,100円)です。(参照:softpedia 2016/9/6


最後に

ランサムウェアによる情報流出の危険性は早くから囁かれていました。が、情報を売るのではなく、画像共有サービスへ投稿するというケースは初めてです。

ランサムウェアの模倣と改善のスピードは、他のマルウェアと比べても驚異的です。他のランサムウェアが同様の手法を用いないとも限りません。

ランサムウェアに感染しないための予防策、感染した場合にデータを復旧させるための事後策が必要です。

なお、CryLocker はオリジナルを削除してしまうため、データ復旧サービスなどを用いることができない可能背があります。


パソコン・サーバ・NAS を東京・沖縄へバックアップ→ BackStore
AWS クラウドへのパソコンバックアップを500円から→ Backpulse

Facebooktwitter

【ランサムウェア】日本を重点的に攻撃した Locky とは?

blog-locky

 

こんにちは、BackStore チームです。

全国的に猛暑が続いていますが、明日は記念すべき第1回目の「山の日」ですね。
楽しみです。

ですが会社が休みでも、ランサムウェアに休みはありません。

今日は日本企業がランサムウェアに着目せざるをえないきっかけとなった「Locky」についてまとめたいと思います。

Locky が行ったあるスパムキャンペーンでは、全体の攻撃の実に45%が日本を標的にしていました。
今後もまた標的にされないとも限りません。正しい情報を集めておくことが重要です。


その1. 概要

 

Locky の初登場は 2016 年の初頭でした(参考:Symantec ブログ 2月18日)。

感染するとファイルが暗号化されます。拡張子も「.locky」あるいは「.zepto」に変えられてしまいます。要求額は 210 ドルから 420 ドルです。

基本的な感染経路は、主に「請求書通知」を装ったメールです。
メールに添付されたワードやエクセル、あるいは zip ファイルを開くと、中に組み込まれたマクロ( zip の場合は JavaScript )によってランサムウェア実行ファイルがダウンロード / インストールされます。


その2. なぜ「ランサムウェアの中で最も恐るべき」とされるのか

 

Locky の最大の特徴は、その大々的なスパムキャンペーンです。

その登場当時から、1日あたり5万回を超える攻撃を行っていました(参考:Check Point ブログ  3月2日)。そのばらまかれた数もさることながら、その対象地域もまた類を見ないものとなっています。
実に世界 110 カ国以上で Locky のスパムが確認されています。

 

なお、Locky を展開しているのは、口座情報などを盗み出す悪質かつ巧妙な Dridex Trojan と呼ばれるスパムをばらまいている集団と同じではないかと言われています(Dridex については Symantec ブログ 2月16日を参照)。
ランサムウェアは新規参入が容易なことから、アマチュアによる稚拙かつ小規模な攻撃も目立ちます。
ですが、この Locky はそれには当てはまりません。


その3. 日本と Locky

 

日本企業にとって、数多あるランサムウェアの中でも、Locky は特に聞く名前かと思います。

というのも、今年の6月に Locky が行ったスパムキャンペーンにおいて、実に全体の45%の攻撃が日本に集中していたのです。6月21日から23日の攻撃に限れば、2位のアメリカ(17%)に大差をつけて、日本が1位に躍り出ています(参考:FireEye ブログ 6月24日)
また Locky は日本語を含む数十カ国以上の言語に対応しているため、日本語で身代金要求文書や支払いページが表示されます。

 

160219comment01

 

なお、Locky に感染すると、デスクトップの壁紙が上図のように身代金要求文書になります(画像参考:トレンドマイクロ)。


その4. サンドボックスを回避?

 

ランサムウェアが恐ろしいのは、日々「改良」を怠らない点です。

Locky も無論例外ではありません。

今年の6月にアップデートされたバージョンは、サンドボックスによる検知を回避します。
(日本を重点的に狙った攻撃は、このバージョンにて行われているようです。)

この場合、添付ファイルはオフィスではなく、JavaScript ファイルを含んだ zip データです。
このランサム実行ファイルは正しい JS ダウンローダーでのみ実行される仕様になってます。
そのためサンドボックスでは、ランサムウェアは実行されません。

サンドボックスを回避する機能を持っているということは、つまり高いセキュリティを持つ企業を狙っている、ということに他なりません。


その5.  オフラインでも暗号化?

 

Locky の改良は止まりません。
今年の 7 月にも新たなアップデートを行っています(参考:avira blog 7月13日)。

以前のバージョンでは他のランサムウェア同様、ファイルを暗号化するために外部のサーバと通信をする必要がありました。
ですがこの仕様では、ファイアウォールなどで通信をブロックされ、暗号化に失敗する「危険」があります。

 

今回のバージョンでは、Locky はサーバとの通信に失敗してもファイルを暗号化します。
感染からオフラインモードの暗号化を始めるまで、実に1-2分だそうです。

ただし、このオフラインでの暗号化は、オンラインの状態で行う場合と比べて脆弱です。

オフラインでは、公開鍵でファイルを暗号化します。
この公開鍵はその PC にユニークなものではありません。
同様にオフラインの状態で暗号化された PC 全て共通の鍵となります。

そのため、誰かが手に入れた複合鍵を取得できれば、ファイルを取り戻すことができます。

 

なお新しいバージョンのリリースを記念してか、7月にも大々的なスパムキャンペーンを展開しています。
この時は、なんと1時間に12万ものスパム攻撃が観測されました。
通常時は1日で12万なので、実に200倍にもなります(参考:F-secure ブログ 7月13日)。


その6. 最後に

 

日本を狙い、多言語に対応しているランサムウェア、Locky。

サンドボックスを回避しようとするなど、ランサムウェアも、ターゲットである企業から確実に身代金を要求できるよう、日々改良を行っています。

言うまでもなく、二重三重のセキュリティ対策を行った上で、
万が一感染した時のためにバックアップを取っておく必要があります。

 

また、「感染してしまったから身代金を払っておこう」という考えは危険です。
Locky がこれほどの改良を次々に行えるのも、大々的なスパムキャンペーンを行えるのも、
ひとえにランサムウェア攻撃の収益が莫大であるからです。
また6月には日本が攻撃されましたが、日本企業が身代金を支払うと犯罪集団に証明されれば、
第二、第三の日本を狙った攻撃が展開されます。

 

繰り返しますが、上記のような状況を作らないためにも、

  1. 感染しないようにセキュリティ対策を導入し、社員教育を徹底する
  2. 感染した時のために、有効なバックアップを行う

上記の二つの対策が不可欠です。

 

Facebooktwitter

【ランサムウェア】正しく知るために押さえるべき7つのポイント

blog-ransom-7points

2016年から国内でのランサムウェアの被害が急増しています。

BackStore にも、ランサムウェア関連のお問い合わせが増えています。

このブログでも、ランサムウェア関連の情報は随時お届けしようと思います。
今回は、ランサムウェアの基本的な事項を記載します。

 

1. ランサムウェアとは?

 

ランサムウェアとは、データや機器を”人質”に取り、身代金を要求するサイバー攻撃です。
2015年以降、アメリカを中心に世界中で非常に活発になっています。

 

2. どうやって感染するの?

 

主な感染経路は、下記の2通りです。

  1. メール添付ファイル
  2. 不正な Web サイトへのアクセス

メール添付ファイルにウィルスを潜ませる方法自体は昔からありますが、その手法は日に日に洗練されています。
よく知られたサービスやブランド、あるいは政府機関などを騙り、信頼を勝ち取ろうとします。

また Web サイトの場合も、「いつも見ているサイトだから」といって安心はできません。
サイバー攻撃の実行者は、サイトに表示される広告や、古い WordPress などの脆弱性に漬け込みます。
知らぬ間にいつものサイトがランサムウェアなどのバラマキ源になっている可能性があります。

 

3. 人質にとる、とは?

 

ランサムウェアに感染すると、下記2つのいずれかの事象が発生します。
(この2つを両方とも引き起こすランサムウェアもあります)

  1. 機器内のファイルの中身、名称、拡張子が暗号化される
  2. 機器が立ち上がらなくなる

ファイルを暗号化された場合、自力で復号することはほぼ不可能です。

なおランサムウェアの種類やバージョンによっては、研究者やセキュリティ会社が復号鍵を開発している場合もあります。
ですが「復号鍵だ」と偽ったフィッシング行為なども頻発しているため、慎重な判断が必要です。

なお先月末、Chimera というランサムウェアの鍵が、別のランサムウェア( Petya と Mischa )の作成者によってリークされました。
非常に稀なケースですが、こういうことも起こるようです。

 

4. 身代金を払えばデータが戻ってくるの?

 

身代金を払うことは、下記の理由から推奨されていません。

  1. データが戻ってくる保証はない
  2. ランサムウェアの実行者を”支援”することにつながり、さらなる犯罪行為を誘発する
  3. ランサムウェア市場が活性化し、新たな参入者を招く

なお、Ranscam というランサムウェアの場合、身代金を支払っても100%データは戻りません。
このランサムウェアは、ファイルを暗号化したと見せかけて、実はファイルをすべて削除しています。
同様のランサムウェアが今後登場しない保証はありません。

 

5. ランサムウェアに感染しないためにはどうすればいいの?

 

少なくとも、下記3つの対策は不可欠です。

  1. 社員教育を徹底する
  2. UTM などでランサムウェアの侵入を防ぐ
  3. OS・セキュリティソフトを常に最新に保つ

社員教育の徹底は不可欠です。
UTM やセキュリティソフトが怪しい挙動を検知しても、ユーザが添付ファイルの実行などを許可してしまえば、意味はありません。

ですが、大手企業になるほど、すべての社員への教育の徹底は困難になります。
また中小企業では、そこまでのリソースを避けないという実情があります。

UTM やセキュリティソフトで万全に固めていたとしても、ランサムウェアはそれを掻い潜ろうとするかもしれません。
ランサムウェアは非常に収益性の高い”ビジネス”なので、参入者は後を絶ちません。日々新たなランサムウェアが登場しています。
中にはサンドボックスをかいくぐる機能を持ったものなどもあります。

ランサムウェアを100%防ぐことはできないと考えた上で、
感染した後の対策も合わせて考えることが重要です。

 

6. 感染した後の対策って?

 

業務上欠かせないファイルをバックアップしていれば、ファイルを暗号化されたりすべて消去されても、ビジネスには影響しません。
身代金を払わずに、通常業務を再開することができます。

 

7. とりあえずバックアップしていればいいの?

 

ランサムウェアに打ち勝つためには、下記の要素が欠かせません。

  1. 外付け HDD や USB などが、直接 PC に接続されていない
  2. 感染の恐れのある機器(PCなど)と同一のネットワークにない
  3. 複数の世代を保存している
  4. 迅速な復元が可能

ランサムウェアはユーザ権限を奪取し、ファイルを暗号化していきます。
つまり、ユーザがアクセスできる範囲にあるファイルはすべてランサムウェアの”暗号化対象”です。
物理的に接続されている HDD などの端末や、同一ネットワーク内のファイルサーバは、暗号化される可能性があります。

また、1世代しか保存していない場合、ランサムウェアに暗号化されたファイルをバックアップしてしまえば、業務を復旧することができなくなります。
さらに、ランサムウェアの実行ファイルがバックアップされたデータの中に潜んでいる可能性があります。
その場合、新しい機器にそのデータを復元してしまえば、またその機器内のデータが全て暗号化されてしまいます。必ず複数世代を残す必要があります。

さらに、復元するのに数十時間かかるなど、データの復元が現実的でない場合、「身代金を払ったほうがいい」という判断になる可能性があります。
ですが、身代金を支払えば、「この企業は金を払う」と思われ、さらなる攻撃にさらされる可能性もあります。

迅速かつ簡単に復元できることが望ましいです。

 

8. つまり、どういうバックアップが良いの?

 

  1. クラウドやバックアップアプライアンスサーバにバックアップする
  2. 世代を複数保存する
  3. 復元が容易である

上記の要素を備えたバックアップが望ましいです。
特に3番目の「復元」は意外と見落としがちですが、重要な要素です。

最後に

なお BackStore は、東京・沖縄の2か所のクラウドに保存します。
また、保存可能な世代数に制限はありません。
復元は、ファイルを選択して「復元」ボタンをクリックするだけの2ステップで完了します。
OS をまたいだ復元や、Web からの復元も可能です。

一口にバックアップといっても、
様々な仕様や機能があります。
自社の運用に最適かつあらゆるリスクに対応出来るバックアップを選定することが大切です。

Facebooktwitter