ランサムウェアの被害事例と6つの対策方法とは?

2017年10月31日(火) ノウハウ

<ちょい読み>
・ランサムウェアとはコンピュータを暗号化・乗っ取りをして身代金を要求するソフトウェア
・世界中で爆発的に感染が広がるものもある
・基本的な対策を行えば感染を免れる可能性がある


みなさんランサムウェアという言葉をご存知ですか?
度々SecurityTIMESでもピックアップしていますが、ランサムウェアはIPAが発表した「情報セキュリティ10大脅威 2017」で第2位となっているように、最近かなり注目されている脅威の一つです。

ランサムウェアはマルウェアの一種で、身代金要求型ウイルスとも呼ばれます。ランサムとはransom(身代金)を意味しており、このマルウェアは被害者のコンピュータに対して悪意ある動作をし(またはそうすると脅迫し)、この制限を解除するために身代金を支払うことを要求する不正ソフトウェアです。

今回はランサムウェアの被害事例とその対策方法についてご紹介していきます。

ランサムウェアの被害事例と事件

WannaCry

最近話題となったWannaCry(またはWannaCrypt)もランサムウェアの一種です。
2017年5月に流行し、まだ記憶に新しい人もいるかもしれません。
WannaCryはWindowsのSMBv1の脆弱性を利用して感染するランサムウェアです。
マイクロソフトから提供されているセキュリティパッチを適用させていないWindowsに感染し、被害が拡大しました。
150カ国23万台以上のコンピュータに感染し身代金を要求しました。

国内の被害状況としては、警察庁の発表によると5月17日17:00時点で21件を把握しているとのことです。
国内の企業で最も大きな被害が出たのは日立製作所の事件です。
社内のメール管理システム、受発注システムに影響が出てしまいました。
http://www.hitachi.co.jp/New/cnews/month/2017/05/0517a.html
WannaCryにはキルスイッチが埋め込まれており、それの発見によって比較的早期段階で収束しました。
それでも爆発的に世界中に広がっただけあり、未だに大きな脅威として人々の記憶に残っているでしょう。

ランサムウェアの自作

日本でもランサムウェアを作成し、逮捕されるという事件が発生しています。
驚くことにこのランサムウェアを自作したのは大阪の男子中学生でした。
複数の暗号化ソフトを組み合わせて自作したランサムウェアをSNSでシェアしていました。自分の知名度を上げるためといったなんとも中学生らしい動機ではありますが、中学生でも知識とツールさえあればランサムウェアを作成できてしまうということがわかった事件でもあります。
http://www.itmedia.co.jp/news/articles/1706/05/news098.html

Bad Rabbit

2017年10月24日より感染が拡大した新型ランサムウェア「Bad Rabbit」はロシア・ウクライナの企業を中心に広く感染が確認されています。
Bad RabbitはWebサイトからAdobe Flashのインストーラーを偽装した「install_flash_player.exe」をダウンロードさせて感染を広げます。
感染したコンピュータを暗号化し0.05ビットコインを要求するものです。
アイカ工業株式会社のWebサイトもBad Rabbitの被害にあい、Webサイトが改ざんされてしまいました。
感染したネットワークを通じてユーザの関与なしで感染を広げていくことも発覚しています。
現在も拡大を広げており、決定的な対策方法は見つかっていません。

現在進行形で流行しているランサムウェアもありますが、最低限の対策はどのようにすれば良いのでしょうか?

ランサムウェアの対策方法とは?

ウイルス対策ソフトを使う

マルウェア対策機能により、侵入したランサムウェアの不正プログラムを検知し、ブロックすることができます。
また、端末に侵入したウイルスはバックグラウンドで動作しているため、ユーザ自身が気づくことは困難です。
そのウイルスなどを発見するためにもウイルス対策ソフトが必要になります。
なお、最新の脅威に対応するため、最新バージョンのパターンファイルを適用しておくことが重要です。

電子メールセキュリティを導入する

不正Webサイトの次に多い侵入経路として、電子メールが挙げられます。ランサムウェアに感染した添付ファイルを開くと、場合によっては電子メールを開いただけで、不正プログラムがインストールされてしまうこともありえます。
電子メールの添付ファイルに対するウイルス検出機能とスパムメール対策機能を有効にしておくことで、電子メールがユーザに配布される前にブロックします。
サービス提供形態としては、アプライアンス型、ソフトウェア型、クラウド型と様々です。
電子メールサービスに付帯されている場合もあります。

セキュリティパッチの適用
を行う

ランサムウェアはセキュリティの脆弱性を狙った攻撃が多く報告されています。
実際に、WannaCryはWindowsの脆弱性(MS17-010)を利用して拡散する機能を持っていました。
セキュリティソフトのアップデートを頻繁に行い脆弱性をカバーする必要があります。
脆弱性が発覚した場合は速やかにセキュリティパッチの適用を行いましょう。

ファイルのバックアップをする

セキュリティソフトを導入したとしても、ランサムウェアを100%ブロック出来るわけではありません。セキュリティベンダーがパターン提供開始前に被害にあった場合はなおさらです。
そこで有効的なのがファイルのバックアップです。ランサムウェアはPCをロックもしくはデータの暗号化を実行し、身代金を要求するという手口です。被害にあったら、そのデータは破棄し、バックアップから戻したデータを復旧します。

アクセス権限の設定をする

ランサムウェアがPCに感染すると、共有フォルダへ侵入しファイルの暗号化を試みますが、感染PCが共有フォルダでの編集・書き込み権限がないと暗号化することが出来ません。そのため各ユーザ毎に適切なアクセス権限を設定することにより、ランサムウェアによる被害を最小限に抑えることが出来ます。

不正サイトへのアクセス制限

ランサムウェアの主な侵入経路として、不正に改ざんされたWebサイトが第一に挙げられます。ユーザが気付かずに不正Webサイトにアクセスすると、ランサムウェアに感染したドライバを自動的にダウンロードし、そして不正プログラムが実行されます。
なお、表だって動作はしないので、画面上の変化で気付くことは出来ません。ウイルス検知機能で検知される可能性もありますが、100%ではありません。
不正サイトへのアクセス制限をかけておくだけでなく、セキュリティ意識を高める訓練など、2重、3重の防御が必要です。

もしも被害にあってしまったら?

もしランサムウェアに感染した場合は、すぐに身代金要求に応じるのではなく、落ち着いて以下の点を確認してみましょう。

①ウイルス対策ソフトメーカーから暗号化解除ソフトが公開されているか確認し、公開されている場合はそれを利用します。復号化が明らかになっている暗号化であれば、解除できる可能性があります。

②バックアップが取得できているか確認します。少なくとも重要なデータがバックアップされている場合は、現時点の状態での復旧はあきらめ、OSをクリーンインストールし、バックアップから復旧します。
このように、オフラインでのバックアップ保管はランサムウェアの被害を最小限に抑えるために有効な手段といえます。

ランサムウェアに感染してからでは、解決できない可能性も高いです。
感染をしてから慌てるのでは遅い可能性があるので、感染をしないように対策を行うことが大切です。
自分たちでできることから行なっていきましょう。

Writer:SecurityTIMES編集部