Sophos Intercept X
ランサムウェアとは?感染経路や対策についてもわかりやすく解説!!
Blog
ランサムウェアといえば2017年に世界中で猛威をふるった「WannaCry」が有名ですが、それ以降も法人組織を狙ったとみられるランサムウェアの被害が後を絶ちません。今回はランサムウェアの最新動向や感染経路、対策について詳しく解説します。
目次
ランサムウェアとは
ランサムウェアとは、感染した端末やそこに保存されているファイルを使用不能にし、その解除と引き換えに身代金(Ransome)を要求するマルウェア*(Malware)のことです。端末内のデータを人質に身代金を要求することから、日本語では身代金要求型不正プログラムとも呼ばれます。
*マルウェア:端末に不利益をもたらす悪意のあるプログラムの総称
ランサムウェアの種類
ランサムウェアは、端末に保存されている文書や画像などのファイルを暗号化するタイプ(暗号化型)と、端末(OS)そのものを操作不能にするタイプ(端末ロック型)に分かれます。暗号化型に感染すると、その端末のローカル環境で保存されているファイルだけでなく、ネットワークを介して、外付けHDDや社内サーバー、オンラインストレージに同期されているファイルにまで被害が及ぶ可能性があります。
ランサムウェアの拡張子を知っておこう
ランサムウェアに感染して暗号化されたファイルは、ファイルの拡張子が特定の文字列に変更されていることがあります。ファイルの拡張子からどのランサムウェアに感染したのか特定することで、復号ツールを入手できる場合があります。
過去に流行したランサムウェアの拡張子には、以下のようなものが挙げられます。
| 出現した時期 | ランサムウェアの種類 | 拡張子 |
|---|---|---|
| 2017年4月 | WannaCry | .wcry .wncry |
| 2016年2月 | Locky | .locky .odin |
| 2016年6月 | Zepto | .zepto |
| 2015年12月 | TeslaCrypt | .vvv |
| 2015年4月 | Crypt0L0cker* | .encrypted |
*2013年に流行した「Crypto Locker」の亜種。別名「TorrentLocker」。
ランサムウェアに感染した際の対応手順については、後半で詳しく解説します。
意外と古いランサムウェアの歴史
ランサムウェアの歴史は意外に古く1980年代末までさかのぼります。
世界初のランサムウェア「AIDS」が確認されたのが1989年12月のことでした。暗号化型のランサムウェアで、現在のようにインターネット経由ではなく、ランサムウェアをコピーした外部記憶媒体(フロッピーディスク)を郵送するという手口で広まりました。暗号化には共通鍵暗号*が利用されていたため、身代金を支払わなくても比較的容易に復号が可能でした。また、犯人は身代金の受け取りに私書箱を利用したことから簡単に足がつき、逮捕されました。
*共通鍵暗号…暗号化と復号に同じ鍵を利用する暗号化方式。
その後、大きな流行はありませんでしたが、1990年代に公開鍵暗号*によるサイバー攻撃が可能であることが実証されたこと、さらに、デジタル通貨という(攻撃者にとって)安全な決済手段が確立されたことから、2005年になって「GPCode」と呼ばれる暗号化型ランサムウェアが流行しました。
*公開鍵暗号…暗号化には公開鍵、復号には秘密鍵を利用する暗号化方式。
2010年代に入るとその手口はさらに悪質化、巧妙化します。その中でも、2013年に登場した「Crypto Locker」は検知が難しく、暗号の解読がほぼ不可能、さらに世界で初めてビットコインでの身代金の支払いを要求したランサムウェアとして象徴的な存在です。被害が収束した後も「CryptoDefense」や「CryptoWall」「TorrentLocker(Crypt0L0cker)」といった「Crypto Locker」の亜種が登場しました。
2014年には日本語対応したランサムウェアが確認され、翌2015年にかけ報告件数が増加しました。また、ネットワークを介して共有ファイルまで暗号化するランサムウェアが一般的になり、法人をターゲットとした被害が深刻化するようになりました。
2017年にはWindowsの脆弱性を狙った「WannaCry」が世界中でかつてない規模(ユーロポールの発表によると150カ国、20万台以上)で流行しました。従来のランサムウェアは主にトロイの木馬型でしたが、「WannaCry」は自己増殖するワーム型だったことから、ネットワークを伝って世界中に感染が広がりました。被害は政府機関や医療施設、民間企業にまで及び、イギリスでは病院で患者を受け入れられなくなったり、自動車工場が製造停止に追い込まれたりと、市民生活にも大きな影響を及ぼしました。
今後も交通システムや決済システム、工場の制御系システムなど、市民生活や事業継続を支えるインフラが狙われる可能性があり、法人組織におけるセキュリティの強化はますます重要な課題になっています。
ランサムウェアの最新動向
「WannaCry」の流行が収束して以降、ランサムウェアによる攻撃は急減しているかのように見えますが、近年は不特定多数ではなく、特定の法人組織を狙ったとみられる事例が目立ちます。身代金が手に入らなくても、個人情報は闇市場で高値で売買できることから、医療施設の電子カルテが狙われた事例もあります。
手口が巧妙化し、従来のアンチウイルスソフトでは検出しにくくなっているのも特徴です。攻撃者は対象となる端末内の正規のツール(PowerShellなど)を遠隔操作することで、アンチウイルスソフトによる検知をかいくぐります。
監視カメラやルーターといった、パソコン以外のIoT機器が乗っ取られる事例も増えています。本格的なセキュリティ機能を備えていない安価な大量生産品や、購入してから何年も経過した製品は攻撃者の格好のターゲットとなります。
ランサムウェアの感染経路
ランサムウェアには、メールに添付されたファイルやURLを開いたり、不正に改ざんされたWebサイトを閲覧したりすることで感染します。
メール
実行ファイル、アーカイブファイル、画像ファイルなどの形式でメールに添付されたファイルを開いたり、記載されたURLから不正に改ざんされたWebサイトに誘導されたりすることで感染します。
メールによる攻撃には、不特定多数に同じ内容のメールが送信される「ばらまき型」と、特定のターゲットに対して、目的を達成するまで執拗に送信される「標的型」に分かれます。標的型は事前にターゲットに関する情報収集をした上で、社内外の関係者を装ってメールを送ります。メールアドレスに実在のドメインを利用するなど手口は巧妙化しており、見破ることが難しいケースも増えています。
Web
Webサイトを閲覧するだけで、不正プログラムが端末に自動的にダウンロード・実行されることで感染します。
先に挙げたメール以外にも、Web広告をクリックすることで誘導されるケースもあります。不正に改ざんされたWebサイトへ誘導することを目的とした広告を「マルバタイジング」と呼びます。安全なサイトに配信されている一見普通の広告でも、攻撃者によって細工されている可能性があります。
ランサムウェア対策
ランサムウェアの感染、被害を防ぐにはどのような対策が考えられるのでしょうか。複数の対策によって、セーフティネットを二重三重にすることが重要です。
OSやソフトは常に最新の状態に保つ
OSやソフトの脆弱性を狙った攻撃(ゼロデイ攻撃)を防ぐために、定期的にアップデートを行い、常に最新のバージョンに保ちましょう。「自動更新機能」をONしておくのが確実です。
不審なメールに注意する
身に覚えのないメールに添付されているURL、ファイルは開かずに削除しましょう。たとえ知り合いからのメッセージであってもアカウントが乗っ取られている可能性を否めません。また、実在する企業や警察、裁判所、税務署などの公的機関を装ってメッセージが送信されるケースもあるため、不審な点がないか注意しましょう。
セキュリティソフトを導入する
ランサムウェアを含むマルウェアを検知・駆除するためにアンチウイルスソフトをインストールしましょう。アンチウイルスソフトは、既知のマルウェアに対しては、データベース内に登録されているウイルスの特徴(シグネチャ)と照合することで、未知のマルウェアに対しては、疑わしい動きをしているファイルを検知することで、不正プログラムが実行される前に駆除してくれます。
しかし先にも挙げたように、近年は攻撃手法が巧妙化しているため、従来のアンチウイルスソフトで感染を100%防ぐことは難しくなっています。そんな中注目されているのがEDRソフトです。EDRとはEndpoint Detection and Response(エンドポイントの検出と応答)の略で、感染をいち早く検知し、その後の対応を迅速に行うことで被害の拡大を防ぐことに重点をおいた製品です。具体的には感染経路の分析・特定や、復旧方法の提案などを行います。
EDRに対して、従来のアンチウイルスソフトはEPP(Endpoint Protection Platform、エンドポイント保護プラットフォーム)に分類されます。感染を水際で防ぐEPPソフトと感染後の迅速な対応の支援するEDRソフトを合わせて利用することが重要です。(EPPとEDRの違い)
企業向けEDRソフトなら「Sophos Intercept X」が最適です。AIエンジンによって未知のマルウェアを検知し、感染後の原因分析やエンドポイントの正常化を支援します。アンチランサムウェア機能を搭載しており、2020年2月時点でもランサムウェアによる被害は“0”です。
データのバックアップを取る
万が一ファイルが人質に取られた時に備え、データは定期的にバックアップを取りましょう。バックアップ方法には以下のポイントがあります。
端末から認識できない場所に保存する
ランサムウェアは、感染した端末からアクセスできる場所(社内サーバー、外付けHDD、NAS、オンラインストレージなど)に保存されたファイルも暗号化するため、バックアップ先は端末から完全に切り離されていなければなりません。外付けHDDを利用しバックアップを取った後に物理的に切り離す、仮想テープライブラリを利用するなどの方法が考えられます。
すべてのデータを保存する
事業継続に必要なデータはすべて保存しましょう。ローカルディスクだけでなく、社内サーバー、オンラインストレージなど、さまざまな場所に点在した、あらゆる種類のファイルが対象になります。
世代管理の上、一定期間保存する
ランサムウェアの潜伏期間は数ヶ月にわたることもあるため、バックアップデータは世代管理の上、長期間保存する必要があります。データの差分のみを保存できる重複排除機能のあるものを選べば、保存先への負荷を抑えることができます。
ランサムウェアに感染してしまったら
これらの経路でランサムウェアに感染しても、ユーザはその事実にすぐには気が付きません。ランサムウェアはバックグラウンドでひそかに動作し、ファイルの暗号化や端末のロックが完了すると、身代金を要求する画面が表示され、そこで初めて感染に気が付くのです。
ネットワーク接続を遮断する
ネットワークを通じて感染が拡大するのを防ぐために、端末を接続しているネットワークから遮断します。有線接続の場合はLANケーブルを抜き、無線接続の場合はWi-Fiをオフにします。
ランサムウェアを駆除する
ランサムウェアを駆除する前にファイルを復号しても、また暗号化されてしまうため、まずはセキュリティソフトでランサムウェアを検知・駆除します。このとき、セキュリティソフトは最新の状態であることを確認しましょう。
ランサムウェアを特定し、ファイルを復号する
ランサムウェアの駆除が確認できたら、ネットワークに接続します。ランサムウェアの被害を低減するための国際プロジェクト「No More Ransom」では、無料の復号ツールを配布しています。ランサムウェアの名称が不明の場合は「ランサムウェアの特定」から、特定できている場合は「復号ツール」から検索します。利用可能なものが見つからなかった場合も、将来的に復号ツールが提供される可能性はゼロではありません。大事なファイルはあきらめずに保存しておくことをおすすめします。
バックアップデータからファイルを復元する
上記の方法で復号できなかった場合は、バックアップデータからファイルを復元しましょう。復号ツールが提供されているケースの方が少ないため、データのバックアップは日頃からこまめに行うことが重要です。
金銭の支払いには応じない
要求通りに金銭を支払うと、ランサムウェアが機能していることを攻撃者に対して証明することになります。金銭を支払っても暗号を解除してもらえる保証はないため、原則支払いには応じないことをおすすめします。
