事業停止のリスクも。
再び活発化したランサムウェアに注意

    

ランサムウェアとは

ランサムウェアは、感染したPCにあるファイルを暗号化して使えなくしてしまい、もとに戻す(復号する)ために金銭(身代金)を要求する「身代金要求型マルウェア」で、最初に確認されたのは1980年代と歴史のあるマルウェアです。2014年頃に「CryptoLocker」が登場し、感染被害が多発しました。感染するとPCの画面に、ファイルを暗号化したことと、復号するためには数日以内に身代金を支払うことが書かれ、カウントダウンタイマーなどが表示されます。支払いには追跡を困難にするケースも確認されている他、新しいランサムウェアでは、データを暗号化する前に密かに情報を窃取するという手法がとられています。重要なデータは、攻撃者が到達できないようにネットワークを分離するなどの対策が必要となるなど、ランサムウェアを用いた攻撃手法は洗練され、より大きな脅威となりつつあります。

暗号化されるファイルに、「xlsx」「docx」などのMicrosoft Officeのファイルや、「.jpg」「.png」などの画像ファイル、「.mp3」や「.txt」など主要な拡張子のファイルが盛り込まれているため、感染してしまうと仕事用PC・個人用PCに関わらず重大な損害が発生します。

世界中で被害が発生。ランサムウェア「WannaCry」

ランサムウェアの検出数は年々徐々に増えていましたが、2017年5月に確認された「WannaCry」(画像1)が世界的に有名になりました。
WannaCryが特徴的だったのは、その感染手法でした。それまでのランサムウェアは、スパムメールの添付ファイルやメールから誘導されるWebサイトに仕掛けられていましたが、WannaCryはSMB1.0というファイル転送用プロトコルの脆弱性を悪用しました。

    

※出典:世界中で感染が拡大中のランサムウェアに悪用されている Microsoft 製品の脆弱性対策について

従来のランサムウェアは感染したPC1台と、ネットワーク上のファイルを暗号化するものがほとんどでした。しかしWannaCryはSMB1.0を介し、自動的にインターネット上から同じ脆弱性を持つPCを探し出して侵入し、侵入先のPCにも感染を広げることができます。これにより、感染PCからWannaCryが自動配信される形となり、爆発的に感染が拡大しました。悪用された脆弱性は、2017年3月に修正プログラムが公開されていたため、これを適用したPCは感染しません。しかし、アジアで最初のWannaCry感染が確認されてからわずか24時間で世界150か国、30万台以上のPCに感染が拡大し、甚大な被害を巻き起こしました。

WannaCryはたとえ身代金を支払ったとしてもファイルが元に戻ること事は無いため、感染し、ファイルの暗号化がされてしまうと、そのファイルは永遠に失われてしまうことになるのです。
十分なバックアップが取れていれば、最悪でもPCの交換をすれば復旧は可能ですが、そういった準備の無い個人や中小企業においては、重大な問題を引き起こします。 WannaCryをきっかけに、ランサムウェアの新種や亜種が次々に登場しており、「NotPetya」はファイルを暗号化せずに破壊するなど、悪質化も同時に進んでおります。

ランサムウェアの標的も変化しています。最初は個人ユーザーを狙っていましたが、現在では企業ユーザーを狙うようになったのです。その理由は簡単で、個人よりも企業の方がより高い身代金を得られるためです。企業を狙うランサムウェアでは、デスクトップや「ドキュメント」フォルダにあるファイルだけでなく、共有フォルダにあるファイルやバックアップファイルも暗号化しました。このため、部署・企業単位で影響を受け、業務が止まってしまうケースもありました。

新たなランサムウェア攻撃

2020年8月、IPA(情報処理推進機構)は、国内の企業・組織に対する被害が確認されたとして、新たなランサムウェア攻撃に対する注意喚起を行いました。このランサムウェア攻撃により、端末やサーバーの暗号化でシステムが停止してしまい、事業継続が脅かされる恐れがあります。

具体的な攻撃手法

    

ネットワークに密かに侵入し、データの窃取や暗号化を行います。その後、データの復旧と引き換えに身代金を要求し、支払いに応じない場合は窃取したデータを公開すると2重に脅迫を仕掛けます。

従来のランサムウェアと新たなランサムウェアを比較すると下表のようになります。

従来のランサムウェア新たなランサムウェア
不特定多数企業や組織
ランサムウェアをばら撒く。ネットワークに密かに侵入。データの窃取を行う。

データの復旧と引き換えに身代金を要求する。

ワーム機能によって被害を拡大させる。

データの復旧と引き換えに身代金を要求する。

企業や組織のネットワーク内の端末やサーバを一斉に攻撃する。

窃取したデータを公開しないことと引き換えに身代金を要求する。

図にすると以下のようになります。

図 従来の/新たなランサムウェア攻撃の差異 引用:IPA情報処理推進機構

新たなランサムウェアの具体的な攻撃手法は以下の2つです。 一つ目は、標的型攻撃と同様の攻撃手法を駆使して企業や組織のネットワークに密かに入り込む「人手によるランサムウェア攻撃 (human-operated ransomware attacks)」、または、「標的型ランサム」や「システム侵入型ランサム」等と呼ばれるものです。

二つ目は、従来のようなランサムウェアにより暗号化したデータの復旧に身代金を要求することに加え、暗号化する前にデータを窃取し、支払わなかった場合はデータを公開すると迫る「二重の脅迫 (double extortion)」を行うことです(別名「暴露型ランサム」)。

IPAは、新たなランサムウェア攻撃は、これまでのランサムウェア攻撃と違い、高度なサイバー攻撃の手法を使って侵入してくるため、基本的な対策を、確実かつ多層的に適用することが重要だとしています。

出典参考:IPA(情報)事業継続を脅かす新たなランサムウェア攻撃について

ランサムウェアへの対策

ランサムウェア感染で業務が止まってしまった企業の中には、身代金を支払ってしまうケースも多くありました。調査によると、件数は少ないものの億単位の身代金を支払った企業もあります。しかし、身代金を支払ったところで全てのファイルが復元されるとは限りません。復元できる割合は45%程度といわれ、まったく復元されないケースもあるのです(WannaCryも全く復元されませんでした)。むしろ「この企業は身代金を支払う」という情報がサイバー犯罪者間で共有され、さらにサイバー攻撃を受けることになってしまいます。中小企業では、被害がより大きくなる傾向もあります。

ランサムウェアは進化を続けており、他のマルウェアや標的型攻撃と組み合わせるケースも確認されています。また、以前はランサムウェアの中にデータ復元のコードが記録されており、それを解析することで復号できる可能性がありました。しかし現在では、復号コードを攻撃者のサーバーに保存し、そのサーバーのIPアドレスを定期的に変更して追跡を困難にするなど、高度化が進んでいます。
また、標的型攻撃の過程でランサムウェアに感染させ、ファイルを暗号化させることで追跡を困難にするケースも確認されるなど、ランサムウェアを用いた攻撃手法は洗練され、より大きな脅威となりつつあります。

ランサムウェア対策には、まずはPCのアップデートを最新にすること。そして、セキュリティ対策ソフトを見直すことです。製品はパターンファイルに依存せず、ファイルの振る舞いから不正な動作を検知できる次世代型が理想的です。また、新たなランサムウェア対策として多層的なセキュリティを実現するために、次世代エンドポイントセキュリティの「FFRI yarai」と、Windows10標準搭載の「Windows Defender ウイルス対策」を組み合わせることで、より強固なエンドポイントセキュリティを実現しましょう。
さらに、万一の感染に備えて、重要なファイルは常にバックアップを取っておくことも対策の一つです。外付けのハードディスクやクラウドサービスなどを利用して、リアルタイムにバックアップを行える環境を整えましょう。

FFRI yarai3.5

特集一覧

特集一覧TOP

FFRI yarai 3.5の新機能とは

FFRI yarai Home and Business Edition Version 1.4のポイント

いわゆる、CDM(Continuous Diagnostics and Mitigation)とは

FFRI yarai 3.4の新機能について

ゼロトラストを支えるエンドポイントセキュリティ

標的型・暴露型のランサムウェア

あなたの会社は大丈夫? 忍び寄るファイルレスマルウェア

テレワーク導入時に検討すべき次世代エンドポイントセキュリティとは

FFRI yarai 新バージョンの機能強化ポイント(Ver 3.3)

Windows 10における理想的なウイルス対策とは

エンドポイントセキュリティが大切な理由

事業停止のリスクも。再び活発化したランサムウェアに注意

マルウェアから保護するマルチエンジン型エンドポイントセキュリティとは

標的は中小企業!? サプライチェーン攻撃

今も潜んでいるかも? 標的型攻撃の脅威

政府が求める不正プログラム対策の要件とは?

MITB攻撃の脅威

脆弱性攻撃の脅威

標的型攻撃の脅威

人知を超えた検出ロジックで未知のマルウェアを検出する第5のエンジン

[CODE:F]未知の脅威の「先読み防御」技術

今までは守られていなかった「未知の脅威」の守り方

未知の脅威に対抗する「先読み対策」とは

次世代エンドポイントセキュリティ特集一覧

次世代エンドポイントセキュリティ特集

    

法人向け 次世代エンドポイント+EDR製品

Yarai Yarai

エンドポイントで未知の脅威をブロック

FFRI yaraiは、パターンファイルに依存しない「先読み防御」技術を徹底的に追及した次世代エンドポイントセキュリティです。 標的型攻撃のトリガーとなる未知の脆弱性攻撃や、未知のマルウェア攻撃からシステムを保護します。
また潜伏した脅威を調査・検出するEDR機能を追加料金なしでご利用いただけます。

次世代エンドポイントセキュリティ
+EDR製品 FFRI yarai詳細

個人・小規模事業者向け 次世代エンドポイント製品

FFRI yarai Home and Business Edition FFRI yarai Home and Business Edition

「先読み防御」技術で仕事もプライベートも保護

次世代エンドポイントセキュリティFFRI yarai Home and Business Editionは、従来のパターンマッチング型ウイルス対策ソフトでは防御することが難しかった未知の脅威を、独自の「先読み防御」技術を用いた多層構造の検出エンジンで防御する個人・小規模事業者向けセキュリティソフトです。

次世代エンドポイントセキュリティ
FFRI yarai Home and Business Edition
製品詳細

pagetop