データやPCを人質にして身代金を要求するのがランサムウェア
会社のPC(パソコン)で仕事をしていたら、突然企画書も請求書も顧客リストも開けなくなり、「それらのファイルを取り戻したければ金銭を支払え」というメッセージが全画面に表示されて何もできなくなってしまう、そんな悪夢のような事態を招くのがランサムウェアです。
「ランサム」とは「人質を解放するための身代金」を意味しており、PC(データ)を人質にとって仕事を妨害し、その解放を条件に身代金を要求することから、ランサムウェアと呼ばれています。企業・組織は、ランサムウェアの脅威への対策の必要性が高まっています。
個人情報/機密情報を持たない会社でもランサムウェアの脅威にさらされる
コンピュータウイルス等による不正アクセス被害としては、個人情報/機密情報等の情報漏洩も近年大きな話題になっていますが、ランサムウェアは「仕事を妨害する」という脅迫による金銭詐取を狙います。流出して困るような個人情報/機密情報を持たない小さな会社や個人でも、その脅威にさらされます。
この種のプログラムが初めて登場したのは約30年前ですが、大きな脅威として注目されたのは2005年頃で、以後10年強の間に、より巧妙なものへと変化を遂げています。2017年にはその1つであるWannaCry(ワナクライ)が世界的に大流行して、一般のTVニュースなどでも報道されました。
ランサムウェアによる被害は、その後も衰えることなく増加を続けており、IPA(情報処理推進機構)がまとめた「情報セキュリティ10大脅威 2018」でも、ランサムウェアの脅威が前年に続いて2位にランキングされています。
企業のIT環境セキュリティを考えるうえで、ランサムウェアを想定した対策は今や不可欠なものと言えるでしょう。
被害を防ぐために知っておきたいランサムウェアの種類と仕組み
被害を防ぐための対策として、その脅威がどのように起きるのかを知っておかなければなりません。ランサムウェアの主な感染経路はメールやWebサイトです。
メールの中にある「ランサムウェアを感染させるWebサイトへのリンク」あるいは「添付されているランサムウェアそのもの」を開くことで感染します。
他のマルウェア(ウイルス、アドウェア等の不正なプログラムの総称)同様、ウイルス対策ソフトウェアである程度検知できますが、完全に防ぐことはできないため、感染してしまうことを想定した対策が欠かせません。
ランサムウェアが使う「脅迫」手法は、大まかに「暗号化型」と「警察偽装型」の2種類です。暗号化型はPC内のファイルやHDDそのものを暗号化または破壊し、使用不能に陥らせて、それを回復させるための支払を要求するものです。
警察を偽装して罰金支払を要求するランサムウェアもある
警察偽装型は「ネット上で違法行為を行った」という偽の告発画面を表示して、その罰金を要求します。支払を要求する際はタイムリミットが設けられ、その時間までに支払わなければファイルが永遠に失われる、などの脅迫を伴います。
要求される金額は数万円程度で、「この程度ならポケットマネーで払えないこともない」と思えるぐらいの額でしょう。しかし、米国のセキュリティ専門機関US-CERTは「攻撃者が暗号化を解く保証はなく、逆に被害情報を攻撃者に渡すことになり次の攻撃を呼び込む恐れもあるため支払うべきではない」としています。実際、近年のランサムウェア被害では、支払っても暗号が解除されない例がほとんどです。
2017年に話題になったWannaCryは、さらにLAN上で拡散する機能を持っていたため、多くのコンピュータに感染が広がり被害が拡大しました。
ランサムウェア対策に欠かすことのできない3箇条
このような脅威をもたらすランサムウェアに対して、どのような対策を取れば良いのでしょうか?
1. セキュリティ教育
まず必要なのは、社員へのセキュリティ教育です。標的型攻撃と同様、ランサムウェアもメールやWebサイトの閲覧を通じて感染する場合が多いため、不審なメールやWebサイトを開かないようにという注意喚起と、感染が起きてしまった場合の事後対応手順を策定・周知しておかなければなりません。
ランサムウェアは人間の恐怖につけ込み、パニック状態に追い込んで冷静な思考能力を奪うことで、金銭詐取や混乱の拡大を狙います。だからこそ、被害を最小化するためには実際に起きた場合を想定して事前に訓練を行うことが有効です。
2. システム的な感染防止策
もちろん、注意だけで不審なメールやWebサイトを避けることは不可能なため、システム的に感染を防ぐ対策も必要です。
具体的には、以下の対策が必要となります。
・ウイルス対策ソフトウェアでメールやWebサイト、PC内のマルウェアを検知・駆除すること
・Webフィルタリングで危険なWebサイトへの接続を防ぐこと
・知られていないマルウェアについても不審な「振る舞い」を監視して検出すること
・OSやアプリケーションの脆弱性に常に気を配り、アップデートを最新に保つこと
3. データのバックアップ
それらの策を講じても、なお感染してしまった場合に備えて大事なのが、データのバックアップです。ただし、バックアップがランサムウェアからアクセスできる場所に取られていると、それも暗号化されてしまう恐れがあります。
また、バックアップを世代管理ではなく上書き方式で取っていると、暗号化されたファイルでバックアップを上書きしてしまう場合もあります。バックアップの手順は注意深く設計しなければなりません。
以上、「セキュリティ教育」、「システム的な感染防止策」、「データのバックアップ」は、ランサムウェア対策に欠かせない3箇条と言えます。
ランサムウェア対策に役立つツールとは?
ランサムウェアの被害から会社を守るための体制は、それぞれの目的に合ったツールを組み合わせて構築します。具体的には下記のようなツールがあります。
ウイルス対策
メール送受信、Webアクセス、コンピュータ内のファイルなどに潜む、ランサムウェアをふくむマルウェアを検知・駆除します。
未知の脅威対策
毎日何十万種と作られる、パターンファイルでは発見できない新種・亜種のランサムウェア対策として、その「振る舞い」を手がかりに発見します。
Webフィルタリング
PCからアクセスできるWebサイトの範囲をさまざまな条件で制限し、標的型攻撃の入口・出口になり得るWebサイトへの接続を防ぎます。
自動バックアップ
重要なファイルのバックアップを自動的に行います。
不正PC遮断
管理されていない未登録のPCが社内LANに接続されることを防ぎます。ランサムウェアに感染したPCのLAN接続を速やかに遮断することも可能です。
デバイス制御
USBメモリ、SDカード、CD/DVD、Bluetoothなど、ランサムウェアの感染源となりうるデバイスの使用に制限を与えます。デバイスのグループやユーザーごとの制限、申請による例外処置などの柔軟な運用が可能です。
不幸にも感染してしまったとき、被害を最小限に食い止めるためにすべきことは?
不幸にもランサムウェアに感染してしまったとき、被害を最小限に食い止めるためにはどのようなことをすればよいのでしょうか?
標情報漏洩を狙うタイプのマルウェアとランサムウェアには大きな違いがあります。前者は気づかれないように密かに長期間活動するのに対して、後者はユーザーを脅迫するメッセージを出すため、少なくともその時点で気づくことができる、という点です。
このときに最もしてはならないのは、何もせずに時間を空費したり、脅迫どおりに支払をしてしまったりすることです。対応が遅れれば遅れるほど、多くのファイルが暗号化される、LAN上の他のマシンに感染が広がるなど、被害が拡大する恐れがあります。
ランサムウェアは、脅迫メッセージを表示した背後でもファイルの暗号化を続けているため、感染に気がついたらすぐにPCをネットワークから切断し、セキュリティ管理者に通報することが望まれます。
暗号化されたファイルを復旧できる可能性はほとんどないため、拡大防止を最優先に考えて、その後の処置はセキュリティ専門のチームに任せましょう。
まとめ:セキュリティの基本に立ち返って地道な対策を積み重ねよう
ウイルス対策、未知の脅威対策、Webフィルタリング、バックアップなど、ランサムウェアの被害を防ぐために必要な対策は、いずれも特別なものではありません。標的型攻撃や情報漏洩対策でも同じ項目があることからもわかるように、ITのセキュリティを考えるうえで基本と言ってよいものばかりです。
人的対応の面でも、ランサムウェア感染時に、それをすべての社員が隠蔽せず速やかに報告し、組織的に対処できるようにするためには、標的型攻撃への対応と同様、風通しのよい組織風土に加えて、十分なセキュリティ教育が欠かせません。
ランサムウェア対策は、標的型攻撃対策と合わせてセキュリティの基本を確認する機会と位置づけ、基本に忠実に一つひとつ進めていくことが望まれます。