事業停止のリスクも。
再び活発化したランサムウェアに注意

    

ランサムウェアとは

ランサムウェアは、感染したPCにあるファイルを暗号化して使えなくしてしまい、もとに戻す(復号する)ために金銭(身代金)を要求する「身代金要求型マルウェア」で、最初に確認されたのは1980年代と歴史のあるマルウェアです。2014年頃に「CryptoLocker」が登場し、感染被害が多発しました。感染するとPCの画面に、ファイルを暗号化したことと、復号するためには数日以内に身代金を支払うことが書かれ、カウントダウンタイマーなどが表示されます。支払いには追跡が困難な仮想通貨による入金を指定されます。

暗号化されるファイルに、「xlsx」「docx」などのMicrosoft Officeのファイルや、「.jpg」「.png」などの画像ファイル、「.mp3」や「.txt」など主要な拡張子のファイルが盛り込まれているため、感染してしまうと仕事用PC・個人用PCに関わらず重大な損害が発生します。

世界中で被害が発生。ランサムウェア「WannaCry」

ランサムウェアの検出数は年々徐々に増えていましたが、2017年5月に確認された「WannaCry」(画像1)が世界的に有名になりました。
WannaCryが特徴的だったのは、その感染手法でした。それまでのランサムウェアは、スパムメールの添付ファイルやメールから誘導されるWebサイトに仕掛けられていましたが、WannaCryはSMB1.0というファイル転送用プロトコルの脆弱性を悪用しました。

    

※出典:世界中で感染が拡大中のランサムウェアに悪用されている Microsoft 製品の脆弱性対策について

従来のランサムウェアは感染したPC1台と、ネットワーク上のファイルを暗号化するものがほとんどでした。しかしWannaCryはSMB1.0を介し、自動的にインターネット上から同じ脆弱性を持つPCを探し出して侵入し、侵入先のPCにも感染を広げることができます。これにより、感染PCからWannaCryが自動配信される形となり、爆発的に感染が拡大しました。悪用された脆弱性は、2017年3月に修正プログラムが公開されていたため、これを適用したPCは感染しません。しかし、アジアで最初のWannaCry感染が確認されてからわずか24時間で世界150か国、30万台以上のPCに感染が拡大し、甚大な被害を巻き起こしました。

WannaCryはたとえ身代金を支払ったとしてもファイルが元に戻ること事は無いため、感染し、ファイルの暗号化がされてしまうと、そのファイルは永遠に失われてしまうことになるのです。
十分なバックアップが取れていれば、最悪でもPCの交換をすれば復旧は可能ですが、そういった準備の無い個人や中小企業においては、重大な問題を引き起こします。 WannaCryをきっかけに、ランサムウェアの新種や亜種が次々に登場しており、「NotPetya」はファイルを暗号化せずに破壊するなど、悪質化も同時に進んでおります。

ランサムウェアの標的も変化しています。最初は個人ユーザーを狙っていましたが、現在では企業ユーザーを狙うようになったのです。その理由は簡単で、個人よりも企業の方がより高い身代金を得られるためです。企業を狙うランサムウェアでは、デスクトップや「ドキュメント」フォルダにあるファイルだけでなく、共有フォルダにあるファイルやバックアップファイルも暗号化しました。このため、部署・企業単位で影響を受け、業務が止まってしまうケースもありました。

ランサムウェアへの対策

ランサムウェア感染で業務が止まってしまった企業の中には、身代金を支払ってしまうケースも多くありました。調査によると、件数は少ないものの億単位の身代金を支払った企業もあります。しかし、身代金を支払ったところで全てのファイルが復元されるとは限りません。復元できる割合は45%程度といわれ、まったく復元されないケースもあるのです(WannaCryも全く復元されませんでした)。むしろ「この企業は身代金を支払う」という情報がサイバー犯罪者間で共有され、さらにサイバー攻撃を受けることになってしまいます。中小企業では、被害がより大きくなる傾向もあります。

ランサムウェアは進化を続けており、他のマルウェアや標的型攻撃と組み合わせるケースも確認されています。また、以前はランサムウェアの中にデータ復元のコードが記録されており、それを解析することで復号できる可能性がありました。しかし現在では、復号コードを攻撃者のサーバーに保存し、そのサーバーのIPアドレスを定期的に変更して追跡を困難にするなど、高度化が進んでいます。
また、標的型攻撃の過程でランサムウェアに感染させ、ファイルを暗号化させることで追跡を困難にするケースも確認されるなど、ランサムウェアを用いた攻撃手法は洗練され、より大きな脅威となりつつあります。

ランサムウェア対策には、まずはPCのアップデートを最新にすること。そして、セキュリティ対策ソフトを見直すことです。製品はパターンファイルに依存せず、ファイルの振る舞いから不正な動作を検知できる次世代型が理想的です。また、政府が推奨する複数の検知エンジン(マルチエンジン)を搭載する製品を選びましょう。さらに、万一の感染に備えて、重要なファイルは常にバックアップを取っておくことも対策の一つです。外付けのハードディスクやクラウドサービスなどを利用して、リアルタイムにバックアップを行える環境を整えましょう。

次世代エンドポイントセキュリティ特集一覧

次世代エンドポイントセキュリティ特集


法人向け 次世代エンドポイント製品

Yarai Yarai

エンドポイントでの多層防御により未知の脅威をブロック

FFRI yaraiは、パターンファイルに依存しない「先読み防御」技術を徹底的に追及した次世代エンドポイントセキュリティです。 標的型攻撃のトリガーとなる未知の脆弱性攻撃や、未知のマルウェア攻撃からシステムを保護します。

次世代エンドポイントセキュリティ
FFRI yarai製品詳細

お問い合わせ

個人・小規模事業者向け 次世代エンドポイント製品

FFRI yarai Home and Business Edition FFRI yarai Home and Business Edition

「先読み防御」技術で仕事もプライベートも保護

次世代エンドポイントセキュリティFFRI yarai Home and Business Editionは、従来のパターンマッチング型ウイルス対策ソフトでは防御することが難しかった未知の脅威を、独自の「先読み防御」技術を用いた多層構造の検出エンジンで防御する個人・小規模事業者向けセキュリティソフトです。

次世代エンドポイントセキュリティ
FFRI yarai Home and Business Edition
製品詳細

pagetop