ランサムウェアのここが怖い!
ランサムウェアとは
最近の事例では2017年5月のWannaCryが最も有名ですが、決して新しい脅威ではありません。すでに2005年にロシアで確認された後、手法を洗練させ昨年2016年に大流行しました。※1
そもそもランサム(ransom)には身代金の意味があります。そしてこの身代金の要求に結びつくコンピュータウィルスを、総称してランサムウェア(Ransomware)と呼んでいます。パソコンやサーバがランサムウェアに感染した後の流れは、以下の通りです。
- ハードディスクドライブ内のデータが暗号化される
- パソコンやサーバの利用ができず、利用者がパニックになる
- モニターに、利用再開(暗号化解除)のために身代金を要求するメッセージが表示される
- 身代金を支払う
- パソコンやサーバの利用再開(できない場合もあり)
数多くのコンピュータウィルスの中でも特徴的なのは、加害者(作成や配布する者)側に収益の確保をもたらす「ビジネスモデル」※2であることです。財源を確保しモチベーションを向上させ、ますます戦略的に市場を開拓する、刺激的なビジネスと言えるのではないでしょうか。
一般的なランサムウェアの怖さ
「Ransomware-as-a-service(サービスとしてのランサムウェア、RaaS)」※1としての成長と増殖に象徴されると考えています。RaaSというネーミングは、どこかで似たようなサービスを聞いたことがありますね。
このRaaSの確立により、一部が摘発されても他の「事業者」(亜種)は継続しているため、その成長は途切れることがありません。
怖さは他にもあります。それはターゲットが広範であることです。ランサムウェアは効率(収益性)とインパクトを考えて、主なターゲットは法人と言われています。ところが実際に個々のパソコンやサーバを利用しているのは、個人です。
この個人のなかでの情報セキュリティ・スキルの格差が、セキュリティホールとなりえます。脆弱な部分(社員)のワンクリックによって、ランサムウェアは同じネットワークにあるパソコンなどの機器に感染を試みます。その結果、組織に甚大な損失を与える可能性があるのです。
さらに、この弱点になりかねない個々の社員の仕事場所が変わることで、ランサムウェア感染のリスクをさらに高めます。在宅勤務(テレワーク)の拡大に伴い、情報ネットワークは従来の物理的に同一事業所内での管理から、ますます拡散しています。また、情報セキュリティの管理責任者と社員の距離が離れるなかで、ポリシ(ルール)順守状況のチェックは、甘くなりがちです。
実際に被害を受けなくても、感染とその風評被害を予防する保険料をコストとして計上する必要があります。この足かせこそが、組織の経営者には最大の恐怖ではないでしょうか。
WannaCryの怖さ
一般的なランサムウェアとの違い、WannaCryの際立った怖さは、以下のようなその洗練された手口と組織的な対応に見出すことができます。※3
(1)暗号化
asymmetric encryption(非対称暗号化)とRSA 2048ビット暗号の手法を取り入れ、一度暗号化が開始すると、中断や復号化がほぼ無理。
(2)開発体制
個人ではなく組織的に行われている可能性有り。開発工程を効率化するなどの目的で、モジュール化されているため。
これらのWannaCry独自の特徴から開発、「商品化」そしてその流通は継続し、脅威と考えています。たとえ一時的に撲滅されたとしても、すぐに活動再開できる体制があるためです。
ランサムウェアはこうしてやって来る!
一般的なランサムウェアの場合とWannaCryとを分けて、侵入経路を整理したいと思います。
一般的なランサムウェアの場合
- メールに添付されているファイルを実行
- 特定のWebサイト上で、リンクボタンの実行やファイルのダウンロードと実行
- USBメモリーなどの外部デバイス
- 著名なものと類似の名称のアプリを、スマートフォンでダウンロードしインストール
WannaCryの場合
従来のようにメールを介して、受信した添付ファイルを実行するような利用者の行動がなくとも感染しています。※2
主な事例は以下の通りです。
- SMB v1 (通信プロトコルServer Message Block) ※4 ※5
- TCP 445番とUDPポート137-138番ポートなどをインターネットに開放 ※4
- 持ち出しPC経由 ※2
ランサムウェアに対抗するには、まずは基本から
一般的なランサムウェアの場合
- 知らない人からのメールに添付されているファイルは開かない
- 一般的なランサムウェアの場合
- OSは常に最新版にする(Windows Updateなどの自動実行)
- 定期的なバックアップの設定
- リカバリ(復旧)の設定と、実際に復旧できるかの試験実施
- 万一感染し身代金の要求があっても支払いはせず、専門機関に相談する ※6 ※7
- 関連ニュースはチェックし、必要な対応は行う
- 個々のパソコンやルーターなど、ネットワークに関する基本設定をむやみに変更しない
- 社外に持ち出しするノートパソコンやUSBメモリーなどの外部デバイスの運用は、組織で定めた情報セキュリティポリシ(ルール)に従う
WannaCryの場合
以下のように、攻撃を無効化する手法が紹介されています。※8
- セキュリティアップデート(Windows XPやWindows Server 2003含む)
- Windowsに搭載のFireWall機能により、SMBの共有を停止する
- SMBv1を無効にする
在宅勤務(テレワーク)でランサムウェアに対抗する!
すでに「ランサムウェアの怖さ」の項目でも触れたように、在宅勤務(テレワーク)の割合が増加することにより、ランサムウェアに感染するリスクが高まることが考えられます。それでは、どのように対応したらいいのでしょうか。
2016年の実施された調査※9によれば、在宅勤務(テレワーク)の現状は「(就労者の)約半数は週1日以上の比較的高頻度」で、その内容は「メール・スケジュール等の簡単な確認、ネット検索」が8割です。
この程度であれば、情報セキュリティの一分野であるランサムウェアについて、まだまだ問題がないのでしょうか。危機を煽ることが目的ではありませんが、決してそのようなことはないと考えています。その理由は、情報資産の機密性・完全性・可用性の確保で、なお整備中の課題が多いと思われるからです。
快適で効率の良い働き方の一つとして、在宅勤務(テレワーク)が模索され、徐々に実施されています。今後より安全に運用され、ランサムウェアに対抗していくためには、少なくとも下記2点の拡充が必要と考えています。
- 社員の情報セキュリティ教育と実際にできるかの点検
- 安全なネットワーク手段の導入と利用
ランサムウェアにはGMOのGMOクラウドのSaaSで対抗する!
ここまでで、ランサムウェアの怖さと課題をご理解いただけたかと思います。予算と時間がふんだんにある場合は別ですが、多くの組織では優先順位があります。限られた資源のなかで、できるだけ効率の良い対策をしたいものです。
脅威は次々とやってきて、一つひとつに十分な対策を準備しているうちは、脅威にさらされて続けます。その防止のために、クラウドサービスをすぐに活用することも、選択肢の一つとなるでしょう。
GMOクラウドでは、インターネット利用時に必要になってくるさまざまなSaaSを、利用しやすいサービスとして提供しています。今回はそのなかから、SiteLock(ランサムウェア検知・駆除)とtorocca!(遠隔バックアップ)をご紹介し、ランサムウェアの脅威に備えていくことをご提案します。これらの対策は、今すぐできます。
GMOクラウドのSaaSとは?
「GMOクラウドが運営するSaaS(サース)ポータルサイト」※10です。インターネット利用者が不足しているサービスを補うSaaSの集合体で、膨大な初期投資は不要です。GMOクラウドのSaaSのラインアップには、SiteLock(ランサムウェア検知・駆除)とtorocca!(遠隔バックアップ)が含まれています。
SiteLock※11
Webセキュリティに特化したSaaSで、ランサムウェアなどのマルウェア駆除にも対応しています。Webサイトがマルウェアに感染していないか自動診断し、診断結果を表示します。感染している場合は、駆除することもできるのです。利用者は国内外800万を超えています。筆者も別記事※12のように、SiteLockの利用者です。
WannaCryの脅威に対して、SiteLockはその診断だけでなく、駆除によって対抗しています。その診断結果の記述は、セキュリティの専門家向けの高度で難解ではありません。また、駆除は自動でも手動でも行うことができるシンプル設計になっています。※13
torocca!※14
一方、torocca!とはWebサイトデータやデータベースのバックアップとリカバリ(復元)するSaaSです。マルウェアなど不正プログラム侵入の監視も行っています。こちらのtorocca!も筆者は利用し、レビュー記事を書いています。※15
まとめ
ここまでいかがでしたか。ランサムウェアの対抗手段は絶対ではなく、陳腐化することもあります。そのとき頼るべきSaaSをご紹介しました。恐怖にひるむことなく、まずは無理のない範囲でできるかぎり迅速に、対策を採用していくことが重要と考えています。
参考:※1 ランサムウェア 過去、現在、そして未来(トレンドマイクロ)
※2 ランサムウェアの被害はおわっていない!一般の生活にも実際の被害を出し始めたワケ(livedoor)
※3 WannaCry Ransomware Spreads Across the Globe, Makes Organizations Wanna Cry About Microsoft Vulnerability(IBM)
※4 ランサムウェア「WannaCry」の侵入経路は? トレンドマイクロが解説(Impress Watch)
※5 Windows と Windows Server で SMBv1、SMBv2、SMBv3 を有効または無効にする方法(Microsoft)
※6 感染が拡大中のランサムウェアの対策について(IPA独立行政法人情報処理推進機構)
※7 情報セキュリティ安心相談窓口(IPA独立行政法人情報処理推進機構)
※8 ランサムウェア「WannaCry」対策ガイド rev.1(株式会社ラック)
※9 平成28年度 テレワーク人口実態調査 -調査結果の概要(国土交通省)
※10 GMOクラウドのSaaSとは(GMOクラウド)
※11 SiteLock(GMOクラウド)
※12 なぜWordPressが攻撃者から狙われるのか?(GMOクラウド)
※13 SiteLock マルウェア診断・駆除(GMOクラウド)
※14 torocca!(GMOクラウド)
※15 【torocca!レビュー記事】いまどき遠隔バックアップはなぜ必要か?(GMOクラウド)
執筆者プロフィール
- 西山一郎
- 企業でWebmasterとして10年間の経験を活かしライター、デザイナーとして活動中。情報セキュリティの認証取得経験もあり、利便性とリスクのバランスを考えた仕事を心がけている。