恐るべき新たなランサムウェアの脅威 被害の実情、そして今すぐにできる対策とは?

企業活動を阻害するランサムウェアの恐怖

 企業を脅かすサイバー攻撃の1つとして「ランサムウェア」が注目されている。「ransom(身代金)」の名のとおり、被害者が持つ貴重なデータを勝手に暗号化して、"復号してほしければ金をよこせ"と脅すマルウェアとその手口のことを指す。

 政府機関などで情報セキュリティインシデントのハンドリングに従事した経験を持ち、シスコシステムズの公共政策推進本部で政策提案や公的機関とのリレーション構築などを担当する佐々木淳一氏は、ランサムウェアの脅威を次のように説明する。

 「当初は個人のコンピュータと金銭を狙うものが中心でしたが、2016年上半期ごろからは個人・企業を問わず、幅広く狙うランサムウェアが急増しています。ビットコインのような新しいネット通貨を利用することで、身元を判別しにくくするランサムウェアも存在します。IPA(独立行政法人 情報処理機構)への相談も増加しており、無視できない存在になっています」(佐々木氏)

 シスコシステムズの調査によると、"ランサムウェア市場"は2016年1~3月の間に2億900万ドル(約240億円)の売上を達成しており、エクスプロイトキット「Angler」を応用したランサムウェアだけでも、年間で6000万ドル(69億円)を窃取しているという。1年の被害額は、10億ドル(1,150億円)にも達するという予測だ。

佐々木淳一氏
公共政策推進本部
政策担当マネージャー
佐々木淳一氏

 さらにランサムウェアは、データを暗号化するという仕組みから、金銭以上に甚大な損失を与える可能性がある。2016年2月、米ロサンゼルス市内の病院がランサムウェアに感染し、医療システムが停止するという事態に陥った例がある。救急患者を転院させるなど、生命に関わる危険も生じた。

 「もし業務データをロックされてしまえば、業務の遂行が困難になる可能性もあります。情報漏えいのほうが良いとは言いませんが、ランサムウェアには企業活動を即座に停止させるほどのインパクトがあるのです。国内での事例も急増していますし、最も注意しなければならないサイバー犯罪の1つです」(佐々木氏)

 ランサムウェアの脅威は、仕組みこそ単純に見えて、企業ITの仕組み・弱点をうまく突いているという点にある。

 例えば、ある社員のPCにランサムウェアが感染したとしよう。そのPCでは、組織のファイルサーバーへ容易にアクセスできるように、ネットワークフォルダを設定していたとする。多くのランサムウェアは、ファイルシステムでアクセス可能なすべてのデータを暗号化するため、ファイルサーバー上の業務データも人質に取られてしまうというわけだ。

 Security Business Group Technical Marketing Engineerを務める吉池克史氏は、企業ITの特性がランサムウェアの被害を拡大する可能性について、次のように示唆する。同氏は、大手システムインテグレータでセキュリティ主管部門の設立に関わり、複数の外資系セキュリティベンダーを経て、現職に就いたセキュリティのスペシャリストであり、日本初のセキュリティTMEとして米国の開発部門とも密接に連携し、日本のユーザーへ最新の情報を提供する立場にある。

 「特に中小企業のIT環境では、ファイルサーバーを多用します。その一方で、ファイルサーバは、物理的にハードディスクを冗長化することからデータ復旧のためのバックアップの対策を行っていない企業においては、ファイルシステムを共有しているPCがランサムウェアに感染することにより生じる、ファイルサーバ上のデータの暗号化に対しては無防備な場合があります。また、バックアップを行っていたとしても、ランサムウェアによる暗号化は、ファイルサーバーにとっては通常のファイル処理に見えるため、そのままバックアップデータを取ってしまうことになり、どうしても復元に時間を要します。重要な業務ファイルを暗号化されてしまえば、ビジネスは一定時間完全に停止してしまうでしょう」(吉池氏)

吉池克史氏
Security Business Group
Technical Marketing Engineer
吉池克史氏

 ランサムウェアの被害を防ぐには、まず適切に世代管理され、暗号化される前の状態に戻せるバックアップの仕組みが必要だ。また、従来のマルウェアと同様に、脆弱性対策やセキュリティアップデートなど、従来から必要とされている標準的な対策を適切に行うことが肝要である。

 しかしながら、すでに多くのメディアやセキュリティベンダーが警告しているように、単にランサムウェア/マルウェアの侵入・感染を防止する技術・製品だけでは、被害を防ぐことは難しい。佐々木氏によれば、政府も「マルウェア感染を未然に防ぐことだけでなく、もし感染したとしても実際の被害を防ぐことのできる仕組みが必要」と、包括的な対策の必要性を企業へ訴えているという。

 「もちろん、身代金を支払うべきではありません。仮に支払ったとしても、適切な状態に戻る保証はないのです。ランサムウェアの技術自体はこれまでのマルウェア対策と同様に、サイバー攻撃のキルチェーンを断ち切ることを目標に、入口から出口まで包括的なセキュリティ対策を講じる必要があります」(佐々木氏)

 より詳しいランサムウェアの特徴や将来的な可能性については、Cisco Japan Blogのエントリー「ランサムウェア:過去、現在、そして未来」にまとめられているため、ぜひ参照していただきたい。

クラウド型セキュリティ製品ですぐに対策を講じよう

 シスコシステムズでは、ランサムウェアをはじめとしたマルウェア対策を"いますぐシンプルに"適用できるソリューションとして、3つのセキュリティ製品を提供している。

 現在のランサムウェア/マルウェアは、ほとんどのケースでWebか電子メールを介して侵入する。悪意のある電子メールを検知して攻撃を防ぐのはクラウド型電子メールセキュリティゲートウェイ「Cloud Email Security with AMP」だ。また、Webを介するタイプのマルウェアにはDNSベースのセキュリティ対策「Umbrella Roaming」が有効である。

 Cloud Email Securityは、メールを受け取る前に内容を精査し、例えばURLが記述されていればリダイレクト先が安全かどうかを確認したり、怪しい添付ファイルをブロックしたり隔離したりする機能を提供するクラウドサービスである。

 Umbrella Roamingもクラウドサービスとして提供され、あらゆるインターネットアクセスの基本となるDNS技術を応用したものである。具体的には、企業の代理DNSサーバーとして機能し、不正なドメインやIPアドレスへのアクセスを検知し、ブロックするものだ。

 ランサムウェアを含む最新のマルウェアは、対象のコンピュータに感染したのち、外部の攻撃サーバー(C&Cサーバー)と連絡を取って、その後の攻撃活動や攻撃に必要なツール(ランサムウェアの暗号鍵など)を入手する。Umbrella Roamingがあれば、そうした事後の活動を出口で防止し、キルチェーンを妨害することができるというわけだ。

 「いずれもクラウドサービスであるために、シグニチャタイプの製品と異なり更新差分によるギャップが無く、当社が保有するセキュリティ情報をリアルタイムに活用できるメリットがあります」(吉池氏)

提供:シスコシステムズ合同会社
[PR]企画・制作 朝日インタラクティブ株式会社 営業部  掲載内容有効期限:2017年3月31日