ランサムウェアに侵入を許してしまったあと、最後の砦となるのがデータバックアップです。バックアップを取っている企業は多いと思いますが、たとえバックアップを取っていても、同じネットワーク内であれば、バックアップデータさえ感染してしまうため、隔離された環境にバックアップ環境を構築する必要があります。
本資料では、手間もコストもかかるランサムウェア対策としてのバックアップについて、重要なポイントを詳しく紹介しています。
2023.03.28
column_38
IPA(日本情報処理推進機構)から情報セキュリティ10大脅 2023が発表されましたね。
近年、サイバーセキュリティは企業にとって対応必須事項として認識されていると思います。今企業にとって恐ろしいとされるサイバー攻撃は何なのか?どんな被害があるのか?どのように被害に遭うのか等、少しでも知っておく事で対策の参考になるかもしれません。
本稿では、情報セキュリティ10大脅威において昨年に引き続き首位となっている「ランサムウェア」について解説していきたいと思います。
ランサムウェアとは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせて作られた造語で、暗号化などによってデバイスそのものや、保存されているファイルを利用不可能な状態にした上で、そのファイルを元に戻すことと引き換えに金銭(身代金)を要求するという特徴を持つ攻撃です。
ランサムウェアにはいくつか種類がありますので見ていきましょう。
何らかの形で企業や個人のデバイスに入り込み、ロックして使用不可能にする、あるいはロックしたように見せるタイプのランサムウェアです。
支払いを要求するメッセージが画面にずっと表示されるのが代表的です。
アダルトサイト等、他人に相談しにくいサイト閲覧があったから金銭を要求されているのだと被害者は思い込み、身代金が手の出しやすい金額に設定されている為、支払ってしまったなどの事例は少なくないかもしれません。
何らかの形で企業や個人のパソコン、スマホ、サーバ等に入り込み、中のデータを暗号化してしまいます。一度暗号化されたファイルは開くことができず、元に戻すには復号化するしかありません。攻撃者は使えなくなったファイルを盾に取り、復号鍵がほしければ○○円払え、というふうに身代金を要求してきます。
過去にランサムウェアに感染してしまい、身代金を支払った企業は多数存在します。ただ、実際にファイルを修復できたケースとできなかったケースがあり、必ずしも復号鍵を貰えるわけではありません。また、攻撃者に成功体験を与えることで次の被害に遭ってしまうリスクが上がります。万が一被害に遭っても身代金は払わない事を推奨します。
感染したデバイス上のデータを消去するタイプのマルウェアです。
ファイル暗号化型ランサムウェアのように見せかけて実はワイパーだったという場合には、ファイルが損傷して修復不可能な状態になっている為、身代金を支払ったとしてもデータを復元することはできないでしょう。
マルウェアとは悪意のあるソフトウェアやコード全般を指す用語で、一般的にサイバー攻撃はこのマルウェアを使って仕掛けられます。マルウェアは、刑法に触れる悪意のある行為全般を総称する「犯罪」と同じ立ち位置です。「犯罪」と総称されるものの中に誘拐という行為があるのと同様に、「マルウェア」の中には様々なソフトウェアが存在し、そのうちの一つがランサムウェアということです。
マルウェアに関する詳しい解説はこちら
ランサムウェアには、その特徴などをもとに個別の名前がつけられているものがあります。
代表的なものをいくつか解説していきたいと思います。
WannaCry(ワナクライ)はファイルを暗号化して使用できないようにするランサムウェアです。このランサムウェアに暗号化されたファイルは「.wncry」や「.wcry」になることが特徴として挙げられます。
WannaCry(ワナクライ)は自己増殖できるワーム型のマルウェアでもあり、感染が広がりやすいため猛威を振るいました。現在もまだ稼働しており、セキュリティパッチが適応されていないコンピュータの脆弱性が悪用される危険性があります。
TeslaCrypt(テトラクリプト)は、WindowsPCに保存されている特定の拡張子(jpg、doc、xls、pdf、mp4など)のファイルを暗号化、拡張子を「.vvv」や「.ccc」「.zzz」に変更し使用できなくするランサムウェアです(別名vvvウィルス)。
現在は活動を停止しており、2016年5月に復号するためのマスターキーが攻撃者自身から配布されたことで、業界からはほとんど姿を消しました。
CryptoWall(クリプトウォール)もファイルの拡張子を変えることで、使用できなくするランサムウェアです。
拡張子は「aaa」「abc」「zzz」などに変更されることが多く、バージョンアップを続けており2015年にバージョン4.0が投入されています。いまだ脅威が残るランサムウェアの一つです。
Locky(ロッキー)の感染経路は主にメール経由です。不正なファイルを開くことでランサムウェアが仕込まれたファイルがインストールされ感染に至ります。
手口としては、請求書を装った文章ファイルが添付されているメールが届き、そのファイルを開くとマクロが実行されることでランサムウェアがインソールされてしまう、といったものが有名です。
拡張子が「.locky」「.zepto」に変わることが特徴です。
Bad Rabbit(バッドラビット)は、改ざんされたウェブサイトにアクセスすることで感染するランサムウェアであり、一般的に閲覧のあるニュースサイトやブログなどを改ざんして攻撃を仕掛けてくるため、気づかないうちに感染しているなんてことも…
特徴としては、ファイルの暗号化や、PCの起動時に「Bad Rabbit」と表示がでることが挙げられます。
Oni(オニ)はフィッシングメールや改ざんされたWebサイトで感染するランサムウェアで、暗号化されたファイルの拡張子に「.oni」が付与され、脅迫文の内容も日本語翻訳されたような文章になっているのが特徴。
その特徴から日本をターゲットにしたランサムウェアではないかと言われています。
SNAKE(スネーク)は割と最近登場したランサムウェアの一つで、「.EKANS」という拡張子がついた暗号化ファイルに変換されるのが特徴です。
SNEAKEを反対から並べた「.EKANS」なので、スネークという名称になっています。
2019年12月から確認されているランサムウェアであり、事例は少ないですが標的を絞って計画的に攻撃を行っていると言われています。
2020年6月にも自動車メーカ「ホンダ」でも攻撃が確認されており、工場の停止にもつながりました。
Maze(メイズ)は2019年以降猛威を振るっているランサムウェアの一つです。
データの暗号化だけでなく、身代金を払わないと暗号化したデータをコピーし(盗み)、データを漏えいすると脅迫してきます。
登場した初期はメールの添付ファイル経由での攻撃がほとんどでしたが、現在ではリモートデスクトップの認証情報や脆弱なVPNから攻撃を仕掛けてくることもあり、テレワークが拡大している現代においては注意するべきランサムウェアと言えるでしょう。
Ryuk(リューク)も2018年半ばから後半に登場した比較的新しいランサムウェアであり、特定のターゲットに対して攻撃を仕掛けるときに使用されることが多いのが特徴です。
ファイルの暗号化だけでなく、ネットワーク上のドライブを検出して暗号化することも可能です。ネットワーク上の端末が電源OFFになっていても遠隔で電源ONにすることで、暗号化対象にすることもできるのが厄介なところです。
同じネットワーク上のデータは全て人質になるため、外部にバックアップがないと復元が難しい状態になってしまいます。
企業にとって情報は現金と同等に守るべき資産です。
情報そのものに価値があるだけでなく、その情報が扱えないことで事業活動が行えないとなると現金以上と言っても過言ではありません。ランサムウェア被害に遭ってしまった場合、その「情報」を凍結または消去されてしまう為、一度の被害が企業の存続に影響してしまう場合もあります。
また、医療機関や金融機関が標的になってしまった場合には、企業の先にいる個人にも被害が及び、人々の生活に影響するリスクもあります。
そして近年、ランサムウェアはより悪質な暴露型(二重恐喝型とも呼ばれます)が主流と化しています。
そもそも、凍結されたデータを複合化する為の身代金を支払ってもデータが元に戻る保証はない上に、その機密情報をダークウェブ(闇市場)に開示するという二段階の恐喝が控えているランサムウェアで、実際に情報を公開された被害も出ています。
このように一言にランサムウェアと言っても被害の大きさはピンキリで、深刻度の高い損害に繋がりうる危険なマルウェアなのです。
懐かしい話ですが、ランサムウェアを語る上では外せないほど、それまでに類を見ない大規模な被害となったのが、2017年5月12日から始まったWannaCryです。アメリカ・ホワイトハウスの発表によると、被害国は150ヶ国、30万台以上のコンピュータが被害に遭いました。Windowsの脆弱性を突いたWannaCryがそれまでのランサムウェアの傾向と大きく違ったのは、自己複製しながら瞬く間に感染を広げるワーム機能を保有していたことでネットワークを通じてかなり速いスピードで感染が広がったことです。
ランサムウェアには身代金を要求する役割のほかに、コンピュータへ感染するためのマルウェアが組み合わさっており、それまでのランサムウェアに使われたのは自己複製能力のないトロイの木馬などが多かったのですが、WannaCryは自らを複製して増殖するワーム機能を持っていたタイプだった為に急速に拡大し世界的被害につながりました。
WannaCryの被害は日本でも確認されており、有名企業をはじめとしたいろいろな団体で確認されました。その数は600ヶ所で、2,000以上の端末に上ります。
近年の国内被害事例で印象的なところでいうと、大手ゲーム会社で、売上情報や営業資料だけでなく取引顧客や従業員など関係者の個人情報データがターゲットにされた事例や、徳島県の町立病院で患者の電子カルテがターゲットになった事例でしょう。
大手ゲーム会社のランサムウェア被害は脆弱性を突いたネットワークへの不正アクセスをきっかけに1万6000人以上の個人情報が漏洩するに至りました。11億以上の身代金を要求された大規模な被害事例です。相手が企業となれば、身代金額も数千万円~数億円単位に高額化します。企業が脆弱性対策に本腰を入れなければいけないと気付かされる象徴的事案となりました。
また、徳島県の町立病院のランサムウェア被害では電子カルテがターゲットになったことにより、2か月間患者を受け入れられない事態に発展しました。身代金の要求には応じていないものの、新システムを導入するのに2億円以上投資し、営業再開に数ヶ月を要しました。
当病院以外にも国内の病院でランサムウェアの被害に遭った企業は数件確認されており、年々増加傾向にあります。
社会インフラに係わる企業が被害に遭い、事業停止となると一般人の生活に支障が出るだけではなく、医療機関に被害が及ぶと人命にかかわる事態に発展しかねません。徳島県の町立病院の事案では、有名企業や大手企業でなくとも標的とされてしまうこと、身代金を支払わなくとも高額な損害が出るという事、事業停止による社会的影響を思い知らされる結果となりました。
記憶に新しい事例だと、2020年10月、東京オリンピック・パラリンピックの大会組織に対して、ロシア連邦軍参謀本部主計局(GRU)がサイバー偵察を行っていたと英国外務省が報じています。
また、ロシアのウクライナ侵攻によりロシアに対する制裁が厳しくなったこともサイバー攻撃が増加する要因として挙げられます。経済制裁などの報復として、内閣サイバーセキュリティセンターからの注意喚起からもわかる通り、ロシアからの官民双方へのマルウェアやランサムウェア攻撃が拡大することが予想されます(2022年3月「現下の情勢を踏まえたサイバーセキュリティ対策の強化について(注意喚起)」参照)。
より一層セキュリティ対策を講じる必要がある時代になりました…
以前のランサムウェアは、不特定多数にランサムウェアをばらまいて多くの被害者から泣き寝入り出来る程度の少額を搾取するというスタイルが一般的でしたが、2019年あたりからは周到に準備した上で特定の企業を狙って高額の身代金を要求するスタイルが増加しています。
更に病院や製薬会社などの医療関連業種がターゲットになっている傾向も無視できません。ランサムウェア攻撃はお金儲けが目的です。医療関連業種はランサムウェアによる影響が深刻化しやすい為、身代金の支払う確率が高い標的であると位置づけられている可能性があります。仮に身代金の支払いに応じなくても、医療データ自体の価値が高いという点もターゲットにされる所以かもしれません。
実際に2022年では大阪の某医療センターにてネットワークと接続する給食委託業者のVPNの更新定義ファイルの更新漏れからランサムウェア感染被害に遭い、最終的に病院本体のネットワークへ感染が拡大したという事例がありました。
特定のサプライチェーン上にあるセキュリティが脆弱な関連会社や取引先から侵入し、最終的にターゲットとなる大企業や政府機関へと攻撃を行うといった「サプライチェーン攻撃」を行うものが近年の傾向として見られます。
ランサムウェア攻撃増加を後押しする背景の一つにRaaSの存在があります。RaaSはRansomware as a Serviceの略です。闇市場(ダークウェブ)ではランサムウェアそのものがクラウドサービスとして比較的安価に売買されており、これによって攻撃を仕掛ける為の相応なスキルがなくともランサムウェア攻撃を仕掛けられるようになってしまいました。
サイバー犯罪市場は新規参入者が相次ぐようになり、高いスキルを持つ犯罪者の方はRaaS提供者に転じる事でこれまで以上に多額の資金を入手できるようになったと言えます。
オリンピックや新型コロナウィルス等、”時勢を代表する何か”があるとそれに乗じたサイバー犯罪が増加します。そして現在は、ロシアによるウクライナ軍事侵攻によりサイバー攻撃市場はより激化しています。
ランサムウェアだからと言って感染経路が特有であることはありません。
他のマルウェアと同様、悪意のあるメールに記載されたURLをクリックしたり、それに添付されたファイルを実行したり、不正サイトへアクセスしたり、そこで不正なファイル(またはアプリ)をダウンロードしたり、マルウェアが仕込まれたUSBメモリを挿入したりという被害者自らの行動がトリガーになって感染する事が多いです。
一般社団法人JPCERTコーディネーションセンターのランサムウェアの脅威動向および被害実態調査 (2018年7月)によると、メールの添付ファイルからの感染が一番多く、続いてWebサイトやアプリケーションからの感染が多かったそうです。
一般社団法人JPCERTコーディネーションセンター「ランサムウェアの脅威動向および被害実態調査報告書(2018年7月)」より引用
ランサムウェアの感染経路としてメジャーなのが、メール経由での感染です。
メールアドレスや電話番号を入手することができれば、不特定多数にばらまくことができることから、感染経路としてメジャーになっています。
身に覚えのない相手から届いたメールに添付されているファイルやURLを開いてしまうことでランサムウェアに感染します。以前は、請求書や発注書など、送ってきた相手は知らないけどもしかして重要かも…と思わせるような不正メールが多かったですが、近年は過去にそのデバイスがやり取りした事のあるアドレスや文面を流用して不正メールを送ってくるEmotetが定期的に猛威を奮っています。Emotet感染後ランサムウェアの二次被害に遭うというケースも多く、メール経由での感染にはより一層の注意が必要です。
不正に改ざんされたWebサイトにアクセスしたり、ランサムウェアが仕込まれた広告をクリックしたり、Webサイト経由でダウンロードしたファイルを開くように仕組まれて感染するケースもあります。
Webサイトはかなり巧妙に作られており、ぱっと見は有名なニュースや銀行、通販などのサイトに見えるため、ランサムウェアが仕組まれている不正なサイトであることを知らずにアクセスやダウンロードをしてしまいます。
サイトを閲覧しているときに、「ウイルスに感染!今すぐ削除!」みたいなバナーが出てきて、それをクリックさせて不正なプログラムをインストールさせるといった手口もあります。
リモートデスクトッププロトコル(RDP)は、ユーザがリモートシステムにリモート接続して制御できる設定のことです。
リモートデスクトップを使い、情シス担当やシステム管理者が遠隔操作でPCを操作したりするときに有効化することで遠隔操作が可能になります。
RDPが有効化されていることを悪用し、ありとあらゆるID/PASSを検証しリモートデスクトップシステムへの侵入を試み、侵入されればランサムウェアに感染させられてしまいます。
ダークウェブ上では、様々なRDP情報が売られているとも言われており、悪用されたRDP情報をもとに、さらなる被害が広がることもあります。
USBやSDカード、外付けSSDなど、外部メモリを使ってデータのやり取りをするケースもあると思います。その外部メモリの中のデータがランサムウェアに感染してしまっている場合や、ランサムウェアに感染したPCで使用していた外部メモリを共有受けた場合、共有先のPCでそのファイルなどを開いてしまうことで感染が広がります。
近年では、標的型攻撃の増加に伴い、予め入手しておいたアカウント情報(ID/PASS等)を使ったり、VPN等の脆弱性を突くなどしてネットワーク侵入を果たすことでランサムウェアを仕込む方法が急激に増加しています。テレワーク・クラウド利用の拡大に比例してランサムウェアを筆頭としたマルウェア被害も増加しているのです。
その他のサイバー攻撃に関する解説はこちら
まず必ず実施しなければならないことは、感染した端末を「ネットワークから完全に切り離す」ことです。
感染した端末を発端に、ネットワーク上の端末に感染が広がってしまう危険性があるため、LANケーブルを抜いたり、Wi-FiをOFFにしたりして、同ネットワーク内のその他の端末に感染が広がらない状態にすることが先決です。
その後、セキュリティソフトを活用したランサムウェアの削除や、バックアップを取っていたらデータの復元を実施。可能であれば感染したランサムウェアの種類や感染経路を調査しましょう。
ランサムウェアの種類や感染経路の調査をすることで、顕在化していないインシデントの発見や再感染への対策につながります。ランサムウェアの種類がわかれば、復号ツールで暗号化したデータの復元も可能かもしれません。
セキュリティサービスベンダなどの専門家に相談し、的確な対応を進めるとよいでしょう。
そして重要なのが「身代金は払わない!」です。会社の重要なデータを人質に取られてしまい、慌てて要求してきた身代金を払ってしまう…そういったケースもあるようです。
しかし、身代金を払ってもデータが帰ってくる保証はないですし、さらに「コピーしたデータをダークウェブに公開するぞ」といった追加の脅迫をしてくるケースもあります。
まずは落ち着いて、ネットワークからの切り離しと状況整理&専門家への相談を行うようにしましょう。
ランサムウェアを含むマルウェア対策に100%のものは存在しません。しかし、より感染リスクを低減させる為に対策は必須です。
人の手によってマルウェアを招き入れてしまう他にも、直接侵入されてしまうケースもあります。
これらを抑止する為に以下の対策が有効です。
マルウェアはネットワークの出入り口から侵入してくることもあれば、USBメモリやログイン情報の搾取によって直接LANに侵入してくるケースもあります。
これらを抑止する為に以下の対策が有効です。
ここまでやっても未知の攻撃には無効である可能性があります。
近年注目されているのは感染後対策の考え方です。たとえ感染しても被害を拡大させない用意をしていく事も重要でしょう。
まとめ
近年のサイバー攻撃被害は有名企業や大手企業に限られたことではありません。
自社が直接感染しなくても、マルウェア自体に自ら増殖し感染を拡大させる機能があれば、取引先などの関連会社から派生して自社にも侵入されてしまいます。
近年急速に広まっているEmotetも同様の機能がついているため被害報告が多発しています。
セキュリティ対策は、情シス担当が孤軍奮闘するのではなく会社全体でセキュリティ意識を高めて取り組むべきです。万が一不審なメールを受信しても添付を開いたりしないよう、日頃から「怪しいメールの嗅ぎ分け」が出来るように社員教育を徹底したり、マルウェア感染に気がついたらすぐにPCをネットワークから切断し、隠ぺいせず迅速にセキュリティ管理者に通報するという環境作りも重要な対策手段です。
人材流動が活発な年や季節には必ず再掲していきたいですね。
データ喪失を回避せよ!ランサムウェア感染後から復旧まで安心のバックアップ対策
ランサムウェアに侵入を許してしまったあと、最後の砦となるのがデータバックアップです。バックアップを取っている企業は多いと思いますが、たとえバックアップを取っていても、同じネットワーク内であれば、バックアップデータさえ感染してしまうため、隔離された環境にバックアップ環境を構築する必要があります。
本資料では、手間もコストもかかるランサムウェア対策としてのバックアップについて、重要なポイントを詳しく紹介しています。
エンドポイントセキュリティとは?その仕組みと重要性、対策のポイントについてICT Solution!
セキュリティ
デバイス
EDRとは?機能や必要性、EPPとの違いについて解説!情シスマンがICT Solution!
セキュリティ
デバイス
起こってからでは遅い! BCPは用意できてる?バックアップ選定をICT SOLUTION!
セキュリティ
クラウド
データセンター