ランサムウェア対策に有効なアプローチとは？ | サイバーセキュリティ

ランサムウェアが大きな脅威へと進化しています。世界規模で被害をもたらした「WannaCry(ワナクライ)」によるサイバー攻撃は記憶に新しいところでしょう。自己増殖活動(ワーム活動)による強い感染力で急速に拡散、日本でも猛威を振るいました。
身代金要求型不正プログラムとも呼ばれるランサムウェア。何らかの方法で侵入、データやPC自体を暗号化して使用不能にし、それらを復号化することと引き換えに身代金を要求する手口が特徴です。マルウェアの中で非常に悪質なタイプと言えますが、マルウェアにはウイルスやワーム、トロイの木馬など数多く存在し、脅威の種類、特徴も異なります。ランサムウェア防御を考える上では、特定のタイプのみでなく、数多くの脅威の対策を同時におこなう必要があります。
今回はWannaCryを中心にランサムウェアの脅威と、未知のマルウェア被害に遭わないための有効な防御対策について考えてみましょう。

ランサムウェア(Ransomware)とは

身代金(Ransom)を要求するマルウェアの一種(不正プログラム)。
感染した端末のロック、端末に保存されているデータを高度な暗号化など制限をかけ、その制限解除と引き換えに金銭を要求。データが利用できなくなることによる「業務停止」「データ損失」の発生、身代金に応じた場合には「金銭的な被害」など被害は甚大です。また、身代金を払ってもデータが戻る保証はありません。

攻撃者は、かつてはスキルを誇示したい単独の愉快犯が主でしたが、現在は金銭そのものを目的とした犯罪グループ、敵対する国の機密情報を狙う国の諜報組織など、個人ユーザのみならず、企業や組織を標的とした被害も増え、悪質化しています。

世界で初めてランサムウェアが出現したのは1989年。現在のようにインターネット経由でなく、外部媒体(フロッピーディスク)を介して感染、解除のために身代金を要求する不正プログラム(AIDS Trojan＝ AIDS トロイの木馬)でした。

以降、しばらく目立った動きはなかったものの、2015年から2016年にかけてランサムウェアファミリー(種類)が急増しました。これはネットワーク常時接続の普及など通信インフラの整備や、仮想通貨ビットコイン出現による身代金受取りリスクの軽減などの環境変化が原因ではないかと考えられます。

主な感染経路

メールを介して感染(フィッシングメール、ばらまき型メール)

メールを介して感染
(フィッシングメール、ばらまき型メール)

メールのリンクをクリックして不正サイトに誘導されて感染、またはメール添付のzipファイルや実行ファイルを誤って開くことによって感染。

Webサイトを介して感染

改ざんされた正規サイト、そのサイトからダウンロードしたファイル、表示されている不正広告(マルバタイジング)から感染。

リムーバブルメディアから感染

USB接続のリムーバブルメディアを媒介として増殖、拡散する不正プログラム(USBワーム)から感染。

急増の背景

インフラ環境の変化に加えて、アンダーグラウンド市場で提供されるランサムウェア作成ツール・サービスの充実・流通(攻撃者が開発・拡散しやすく、攻撃実行のハードルが下がった)も要因とされています。

作成・配布ツールの充実

RaaS(Ransomware-as-a-Service：サービスとしてのランサムウェア)

技術的な知識がなくてもランサムウェアが自動生成できるランサムウェア取引のビジネスモデル。

Exploit Kit

PCやデバイスの脆弱性を利用する際に用いるハッキングツール。不正プログラムの拡散や不正活動が可能に。

隠ぺい技術の巧妙化

Fast-Flux

IPアドレスやドメインを頻繁に変更してサーバの存在を隠し、悪意あるWebサイトの発見とその対策を遅らせる。

Tor(The Onion Router:トーア)

接続経路を匿名化し、IPアドレスを相手に知られることなくインターネットに接続したりメールを送信したりできる。

Malvertising

malware(マルウェア)＋advertising(広告)、悪意ある行為および仕掛けが組み込まれたオンライン広告。

Anti-Sandbox

時間のかかる処理・技術を組み込んで、監視・検出の時間切れを狙う。

複雑な暗号化・難読化

Payload

暗号化、難読化、またはエンコードした不正なペイロードをユーザーのシステムに送り付ける。

Polymorphic

ダウンロード/感染のたびに異なるファイルを生成。感染時のデータが毎回違うため検知が困難。

ランサムウェアの名と脅威を知らしめたWannaCry

世界150ヵ国30万台以上の端末に感染被害をもたらしたランサムウェアWannaCry

世界150ヵ国30万台以上の端末に感染被害をもたらしたランサムウェアWannaCry(別名：WannaCrypt、WannaCryptor、Wcryなど)は、いかにして発生し、拡散したのでしょうか。

感染経路

初期の感染経路は不明
感染した端末がネットワーク上でファイル共有を行うWindows OSのプロトコルServer Message Block(SMB)の脆弱性(CVE-2017-0145)を利用して、LAN経由で感染(ワーム活動)

感染後の挙動

特定URLにアクセスしてアクセスができなかった場合には感染動作を開始(キルスイッチ動作)
166種類の拡張子を対象にファイルを暗号化
暗号化したファイルの名称末尾に[ .WNCRY ]の文字列が付与
暗号化処理が完了後、ボリュームシャドーコピーを削除
デスクトップに暗号化されたことを示すメッセージが表示
身代金の要求と支払期限を示すタイマーが表示
身代金の要求額は仮想通貨ビットコイン(現金ではない)で300～600ドル
身代金支払い期限は3日以内。以降、要求額は倍。7日間未払いの場合は暗号化ファイルを削除する旨の脅迫文を表示

当時のアンチウイルスベンダの対応

ニュースになる前の時点では、ほとんどのAV製品がWannaCryのサンプルを検知できておらず、一部振る舞いシグネチャなどで検知できたものを除いてすり抜ける状況
発生後2日間にインターネット上で数多くのWannaCryサンプルが報告され、これらのハッシュを順次ブラックリストに登録
インターネット接続があるオンライン端末は、クラウドへの問合せ検索により既知のハッシュ検体が検知可能に
各社がブログで対応を発信

しかし、まだ報告されていないハッシュ検体の亜種については現在も検知不可(ウイルス対策製品を導入していても、シグネチャ更新が行われていなければ感染するケースがある)

ランサムウェア感染の被害低減策

WannaCry事例から、強固な対策を講じても感染しない保証のないランサムウェア。
ここでは感染、またはその疑いが発生した場合の被害低減策についてご紹介します。

感染後の対応

基本的なことですが、パソコンが正常に使用できない焦りで何らか操作をし、却って状況を悪化させることは実際に多々あります。まずは落ち着いて社内のシステム管理部など担当者に連絡し、可能な対処をおこないましょう。

ネットワークから端末を外す
ネットワーク共有をオフラインにする
該当の端末が接続していた(接続可能であった)システムを洗い出す
他のシステム上にあるファイルが暗号化されていないかを確認
感染経路を確認
暗号化されたデータのバックアップがないか確認
暗号化されたデータについての方針を決定

身代金は払うべきか

感染してしまった場合、要求額の身代金を払えばデータは取り戻せるのでしょうか。
戻る場合もあります。戻らない場合もあります。つまり、確実に戻せる保証はありません。
しかも、支払いに応じた場合、「脅せば払ってくれる標的」とみなされ、増額を要求されたり、別の攻撃を仕掛けられる危険や、攻撃者にとっては活動資金となることで新たなネット犯罪や被害者を生み出し、被害者が犯罪に貢献してしまう事態にもなりかねません。払う・払わないの選択は慎重に検討すべきです。

ランサムウェアに感染しないための対策

ランサムウェア感染回避のための事前対策は必要不可欠です。ここからは具体的に有効な対策を見ていきます。

基本対策

不審なメールの添付ファイルを開封しない、本文中に記載されたURLにアクセスしない
ウイルス対策ソフトを使用して、常に最新の状態を保持する
ランサムウェアの侵入口となるOS、ソフトウェアを更新し、常に最新の状態を保持する
重要データは定期的にバックアップし、外付けHDDやクラウドのストレージサービスなど端末と異なるネットワーク環境へ避難させておく。

既存の対策における課題

シグネチャ/パターンマッチング

過去に認識された攻撃パターンを管理しているため予防には適している。未知の脅威には対応不可。

サンドボックス

未知の脅威を検知するが分析完了までに時間がかかり、その間にすり抜けられる危険がある。

アンチサンドボックス技術(時間がかかる処理を混入し、サンドボックスの監視・分析の時間切れを狙う)の向上で、検知率がさらに低下。

レピュテーション

既存機能の補完。サーバ情報リスト登録は第三者がおこなうため運用負荷が大きい。

振る舞い検知

既存機能の補完。誤検知に課題。内部侵入が前提の対策。予防に不向き。

エンドポイントにおける検知と対応(EDR:Endpoint Detection & Response)

感染後の迅速な修復には効果的。予防目的の対策ではない。

確実な防御のために

WannaCry以降もPetya(ペトヤ/ペチャ)やCERBER(サーバー)などランサムウェアの猛威は現在も世界で進行中です。基本対策や感染後の被害低減策に加え、今後発生するであろう「全く未知の脅威」についての対策も同時に取り組む必要があります。
より高度化、巧妙化するサイバー攻撃にリアルタイムに対処し、リスクを排除するためにはどうすればよいか。
カギとなるのが、従来の対策だけに頼らない新たな手法の導入です。

AI(人工知能)の活用で脅威を予測防御

ダミーダミー

99.7％の脅威検知率を実現するウイルス対策ソフト「CylancePROTECT」は、人工知能(AI)と機械学習の技術を駆使して、実行される前にランサムウェアを判定。
予測して未然に防御(脅威を検知、感染を回避、エンドポイントを保護)することで、従来のウイルス対策ソフトでは対応しきれなかった“入口の前で侵入を止める”を実現します。

前述のWannaCry攻撃に関しても、AIによって作成されたデータモデルに基づく判定で、亜種を含むWannaCryサンプルを検知しブロックできることが確認されています。このデータモデルは2015年11月にリリースされたもので、これはCylancePROTECTがその時点ですでにWannaCryを予測・防御可能であったことを意味します。
「予測防御」はランサムウェアをはじめ多様化を極めるサイバー攻撃に非常に効果の高い対策と言えるでしょう。

WannaCryへの対応の時系列推移

	従来型製品	CylancePROTECT
2015年11月	マイクロソフトのパッチは未リリースでWindowsは攻撃に脆弱な状態	WannaCryに対応可能な数理モデルをリリースし、防御可能に WannaCry出現以前からユーザを保護
1.5年経過
2017年3月12日	マイクロソフトが脆弱性に対するパッチをリリース、一部ユーザがパッチ適用を開始	CylancePROTECTユーザは保護された状態
2017年4月14日	“Shadow Brokers”が攻撃に使われる元となったツールを公開
2017年5月12日	WannaCryが世界中で感染拡大、被害が報告され始める
2017年5月12日	従来型アンチウイルスのベンダがシグネチャやパッチ、対応ブログをリリースし始める

マルウェア検知率の推移

掲載日：2017年9月25日

情報漏えい対策コラムダウンロード

情報漏えい対策強化に役立つ情報を詳細に解説！

このような方へおすすめ

・企業のセキュリティ対策をご担当されている方
・セキュリティのトレンドを知りたい方
・様々なセキュリティトピックスをまとめて読みたい方

内部不正に強いWebシステム、個人情報保護、未知のサイバー攻撃への対処法、企業経営とサイバーセキュリティ、標的型サイバー攻撃の監視、ランサムウェア対策など、情報漏えい対策に関するコラムをダウンロードいただけます。

コラムダウンロード

セミナー・イベント情報

資料ダウンロード

企業の情報漏えい対策に役立つ情報をPDF形式の資料として無償でダウンロードしていただけます。

サイバー脅威からお客様の資産・ビジネスを守る

サイバーセキュリティ対応のポイントリーフレット

NECソリューションイノベータのサイバーセキュリティサイトをA4裏表でコンパクトにまとめた紹介リーフレット。

（A4・全2ページ）

ダウンロードする

情報セキュリティ対策の特集/業界トレンド情報をご提供

ホワイトペーパー

IT部門　意思決定者を対象
とした調査結果レポート
（A4/全8ページ）
「終わりなきITセキュリティ対策」
に必要な2つの視点とは
（A4/全4ページ）
21世紀のセキュリティに
AIが果たす役割
（A4/全6ページ）

資料を請求する

情報漏えい対策ソリューション

製品ご紹介リーフレット

本サイトでご紹介している製品のご紹介リーフレットを無料でまとめてダウンロードしていただけます。導入ご検討の際にぜひご活用ください。

NonCopy2(A4・全2ページ)
4thEye Professional(A4・全2ページ)
Tripwire Enterprise(A4・全2ページ)
CylancePROTECT(A4・全2ページ)
Webコンテンツ保護・情報漏えい対策リーフレット(A4・全4ページ)