ESET/マルウェア情報局
ランサムウェアはどう対応すればいいのか、感染経路を含めて解説
本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「ランサムウェアの感染経路と求められる対策とは?」を再編集したものです。
ランサムウェアがもたらした衝撃
ランサムウェアは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせて作られた造語で、攻撃者が身代金の獲得を目的に開発されたマルウェアのことである。ランサムウェアに感染すると、ハードディスクを暗号化され、データへのアクセス権限を失ってしまう。さらには、身代金の要求画面が表示され、支払いを拒否するとデータを完全に消去すると脅しをかけるのだ。
一般的に、ランサムウェアに感染した場合は、要求どおりに身代金を支払うべきではないと言われている。しかし、企業の存続を左右するような重要なデータが暗号化されてしまった場合、わらにもすがる思いで身代金の支払い要求に応じることも心情的には理解できる。デジタル化が進展しAIがプレゼンスを高めた未来では、データの所持が事業の根幹を担うような可能性も否定できない。その未来において、ランサムウェアは今よりも脅威としての位置づけを高めていくことになるだろう。
ランサムウェアがもたらした衝撃は、その悪質性だけではない。過去に横行していたような、自分の力を誇示する愉快犯的なマルウェアから、金銭や情報窃取を目的とする確信犯的なマルウェアへと変貌してきている。実際に、近年のサイバー攻撃では、単なるホームページの改ざんや、ユーザーのパソコンにあるプライベートのデータを強制的に公開するといった事例は少なくなってきている。その一方で、大規模な個人情報の漏えいや、不正送金などの金銭的な被害に直結する攻撃が増加傾向にあるのだ。その攻撃手法がより悪質化する中、ランサムウェアを正しく理解し、適切な対策を講じていくことが求められている。
ランサムウェアの種類
ランサムウェアと一口に言っても、その種類は数多くある。年を追うごとにランサムウェアは進化し、被害は拡大しているのだ。次に、過去に大きな被害をもたらしたランサムウェアを紹介していく。
Windows OSの端末をターゲットに、データを暗号化して身代金を要求するランサムウェア。信頼できるソフトウェアを装うためにデジタル署名されていることに加え、正常なソフトウェアの振る舞いをして自身を隠蔽する特徴を持つ。最新のバージョン4.0では、プログラムの内容だけではなくファイル名も暗号化されてしまうだけでなく、セキュリティソフトでの検出も難しいとされる。自身のコピーを作らないものの、バージョンアップを繰り返すこともあり、検出が難しくなっている。そのため、ターゲットにされてしまうと感染するリスクが高い。
メールを使ったばらまき型ランサムウェアの代表例がLockyである。感染力が高いうえに、コンピューターの内蔵ドライブに加えて、外付けディスク、ネットワーク上の共有ファイル、データベースなど100種類以上のファイルを暗号化してしまう。その手口は特別なものではなく、請求書を偽装したメールを大量発信し、ユーザーが添付ファイルを開いてしまうことでランサムウェアを実行させるような場合が多い。
2017年に大流行し、ランサムウェアという言葉を日本中に知らしめた悪名高いランサムウェア。WannaCryの日本語訳である「泣きたくなる」状況になったユーザーも少なくない。自己拡散能力を持ち、その感染力の高さが被害拡大に繋がった。古いバージョンのWindows OSが有していた脆弱性を利用することで感染したことが知られている。世界中に被害が広がったが、日本でも企業に加えて一般ユーザーも相次いで被害に遭い、社会的な問題となった。
MacOSを使用していることで、ランサムウェアの被害とは無縁と安心しているユーザーもいるだろう。しかし、安穏とできていた時代は終わりを告げている。MacOSをターゲットとした最初のマルウェアかつランサムウェア、KeRangerは多くのランサムウェアと同様に、Macユーザーのデータを暗号化し、復号するためには要求されたビットコインを支払わなければならない。KeRangerはウイルス対策ソフトを適切にインストールしていないユーザーをターゲットに感染を広げた。
- Android / Filecoder.C(アンドロイド/ファイルコーダーC)
ユーザーのスマホに登録された連絡先リストに対し、SMSを配信して拡散を試みるランサムウェア。2019年7月以降に活動が観測されはじめているが、プログラムに欠陥を抱えているため、まだ影響は限定的である。このランサムウェアの特徴はSMSを大量配信後、端末内のファイルを暗号化することにある。しかし、先の欠陥により、復号化が可能なため、2019年12月時点ではまだ深刻な状況とはなっていないが、変化していく可能性があるため、注意が必要だ。
上記以外にも、画面をロックさせて操作不能にし、その解除のために金銭の支払いを要求するようなランサムウェアもある。近年は、パソコン以上にスマホの利用が浸透しており、ランサムウェアがスマホにも感染範囲を広げており、ランサムウェアも着実に進化を遂げてきていることは抑えておきたい。
ランサムウェアの感染経路と対応方法
ランサムウェアの感染経路は、他の多くのマルウェアと同様ウェブサイトとメールが主体である。ウェブサイト経由の感染は不審なURLのクリックやブラウザーのプラグイン、アドオンのインストールなどで生じることが多い。メールを使った感染は、添付ファイルの開封とメール内のURLクリックが主となる。しかしそれ以外にも、「Eternal Blue」と呼ばれるWindowsの「SMB(Server Message Block)」プロトコルの脆弱性などを突く巧妙な攻撃も出てきている。マルウェアと同様に、高度化・巧妙化しつつあるランサムウェアの脅威は着実に広がりつつあるのだ。
対応策としては、WindowsなどのOSやブラウザーをはじめとするソフトウェアを最新状態に保ち、セキュリティソフトの導入が基本となる。加えて、ランサムウェアに効果の高い対応策として、データのバックアップが有効であることも覚えておきたい。万が一、暗号化されて元に戻せない場合でも、USBメモリーや外付けハードディスクなどオフラインのメディアやデバイスにバックアップをしておけば、その時点のデータを復旧することができる。
このようなアップデート対応やバックアップの取得に加えて、感染経路別の対策を取ることで、ランサムウェア対策はより強固なものとなる。具体的に、感染経路別の対応方法を確認していこう。
- メール+添付ファイルによる感染
メールに添付したファイルを実行させることで、ランサムウェアに感染させる攻撃手法。メールの差出人や件名、本文をなりすまして標的型攻撃を仕掛ける場合と、よくありがちな「請求書」、「問い合わせ」といった件名と内容でばら撒き型の攻撃を仕掛ける場合がある。近年では、なりすましの精度がレベルアップしており、思わずファイルを開いてしまう場合もあるだろう。このような攻撃手法に対しては、そもそも疑わしいメールを受信しない「メールフィルタリング機能」や「ウイルス対策ソフト」を適切に組み合わせて対策しておくことが重要となる。不用意にメールの添付ファイルを開かないよう、従業員教育を徹底することも効果的だ。
- メール+本文のリンク先クリックによる感染
メールの本文にあるURLをクリックさせることで、ランサムウェアをダウンロードさせて感染させる攻撃手法だ。添付ファイルの場合と同様に、メールの件名や本文、URLのリンク先を巧妙に作りこんでおり、思わずクリックしてしまう危険性がある。不用意にURLをクリックしないよう、従業員教育も徹底したい。そのうえで、仮にURLをクリックしたとしても不正なサイトへのアクセスを遮断する「URLフィルタリング」の導入が効果的だ。不正なサイトにアクセスしてランサムウェアなどのマルウェアをダウンロードしようとしても、こうした不正なプログラムを検知して駆除するセキュリティソフトが重要な役割を果たすことは言うまでもない。
- 不正なウェブサイトを経由する感染
メールに依存することなく、ランサムウェアを仕掛けたウェブサイトを作り、ユーザーが閲覧することで感染させる攻撃手法。水飲み場型攻撃や、フィッシングサイトなどの技術を組み合わせ、今後は手口がより巧妙化する可能性もある。正常なウェブサイトからリンクを辿るうちに、いつのまにか不正なサイトへ誘導されてしまった経験があるユーザーも少なくないのではないだろうか。この攻撃手法に対しても、上記同様に「URLフィルタリング」の導入が効果的だ。セキュリティ対策が厳格に求められるような企業では、許可したサイト以外にはアクセスさせない、ホワイトリストによる運用を検討してもよいだろう。いずれにせよ、セキュリティソフトの導入が安全性を担保する。
まとめ
ランサムウェアは、従来型の愉快犯とは異なり、金銭窃取という明確な目標を持ち悪質性は比較にならない。その悪質性は、WannaCryをきっかけに、日本国内でも広く認知されることとなった。最近はビットコインを中心に秘匿性の高い送金手段が確立したこともあり、ランサムウェアはいつ流行してもおかしくない。
しかし、ランサムウェアは、感染経路について従来型のマルウェアと大きな違いはなく、特別な対策が必要ということではない。正しい知識を身につけて、必要な対策を講じれば、ランサムウェアに対する強力な防御策となるのだ。また、ランサムウェアに感染してもバックアップをしておけば支払い要求に応じる必要はなく、安心して対処ができる。ランサムウェアの餌食とならないよう、セキュリティ対策としては当たり前の対策を、確実に行なっておくようにしたい。