<
経営力向上コラム
経営力向上コラム
ハッカーの手口から読み取る、企業のサイバー攻撃対策(2)
~ランサムウェアを知る~
情報掲載日 2017年06月27日
株式会社ビットスクリプト  ハッカーの手口から読み取る、企業のサイバー攻撃対策~サイバー攻撃の脅威を知る(1)~


株式会社ビットスクリプト
代表取締役 葛西 勝興(カサイ カツオキ)

こんにちは、株式会社ビットスクリプトの葛西です。
前回は、サイバー攻撃全般についてお話し致しました。第2回目の今回は、感染したら
最も厄介なランサムウェアについてお話し致します。


【ランサムウェアとは】
現在、世界中で最も脅威となっているサイバー攻撃の1つがランサムウェアです。
ランサムウェアとは、「身代金ウィルス」の略称で、使用しているコンピュータの
利用を制限して、この制限を解除するために、攻撃者が被害者に身代金(ransom)を
支払うように要求するマルウェア(※1)です。

ランサムウェアの多くが、感染したコンピュータのハードディスクやファイルを
暗号化して利用不能にしてしまいます。

ランサムウェアに感染してしまうとコンピュータを利用出来なくなり、最悪の場合、
身代金を支払っても利用制限を解除することが出来ない場合もあるのです。
また、ネットワーク越しのストレージ(ネットワークドライブ)中のデータも
暗号化されてしまう懸念があります。

最近のランサムウェアの身代金請求方法のほとんどが、ビットコインでの請求と
なっているのも特徴です。


【増え続けるランサムウェア】
攻撃者は、ランダムにランサムウェアをバラ撒くため、法人の大小や個人に問わず
感染の危険性があります。最近では、ランサムウェアを商売にしているハッカーが
存在したり、「Snasomware as a Service」と言うサービスも確認されており、
益々攻撃者が増えると共に被害も増大しています。

ランサムウェアの被害の一例として、以下の様なインシデントが確認されております。

事例1)
2013年、ランサムウェア(CryptoLocker)によって25万の個人と企業に被害があり、
推定3000万ドル以上被害がでた。

事例2)
2016年2月、米国医療機関 Hollywood Presbyterian Medical Center にて、
院内の端末がランサムウェアに感染するインシデントが発生した 。緊急処置室(ER)の
システムをはじめ、CTスキャン、電子文書などが影響を受け、一部の患者が他の医療
機関に運ばれる事態となった 。医療機関は復号鍵のため 40BitCoin(約17,000ドル)を
支払い、システムは復旧した。

事例3)
2017年5月、ランサムウェア(WannaCry)が世界150ヶ国以上で感染被害を出した。
20万台のコンピュータが被害を受け、病院、大学、倉庫、銀行が業務停止に追い込まれ
ている。日本でも問題となりマスコミ各社に取り上げられた。


【ランサムウェアの進化】
ランサムウェアは進化を続けています。最近では、時間経過と共に、明示的に
身代金の額が上がり、次々とファイルが削除されていく亜種も出てきています。

今年5月に流行したWannaCryは、同ネットワークのコンピュータに次々感染して
いきました。仕組みとしては、PingやARP技術を使いネットワーク内のコンピュータを
特定し、WindowsのSMBv1やRDPのセキュリティホールを悪用して感染が広まって
いきます。

一旦は、セキュリティベンダーによりキルスイッチ(活動を停止する条件)の発見で
収束したものの、再び新種の亜種が誕生し、ユーザーのコンピュータがWannaCryに
感染していることに気付かないまま感染が拡大する恐れがあり、こうした感染PCからの
トラフィック増大により、ネットワークの輻輳と、これに伴うシステム障害が生じる
恐れがあるものへと進化しています。


【ランサムウェアの防御】
ランサムウェアの防御で重要なポイントは幾つかあります。まず、セキュリティ更新
プログラムを必ず適用して下さい。対策済の感染や活動を抑制できます。
そして、不明なメールや添付ファイル(ZIP圧縮された添付ファイル、JavaScript、
Office文書のマクロ、実行ファイル.exeや.scr)は開かないで下さい。また、怪しい
サイトを開かないことや、古いプラグイン(Flash等)をアップデートすることも重要です。

感染を検知する対策も行う必要があります。例えば、アンチウィルスソフトやUTM
(次世代のファイアウォール)がそれに当たります。ウィルスの進化が早いので、
ゼロデイ攻撃(※2)や新しいパターンに即座に対応してくれるベンダー(チェック
ポイントなど)を選定することも重要です。

また、不測の事態に備えバックアップを取って下さい。そして、いつでも重要なデータは
復旧できる環境を用意して下さい。(もし感染した場合、全てのデータを失う可能性が
あります。)ネットワーク越しのストレージ(ネットワークドライブ)中のデータも
暗号化されてしまう可能性があるので、アクセス権限の設定で暗号化されない対策が
必要となります。もしくはオフラインのバックアップは有効です。また、クラウド
ストレージもランサムウェア対策となりますのでご検討下さい。

ランサムウェアの専用対策ソフトを予め導入しておく方法も有効です。
これは、ランサムウェアの活動を検知し、データのスナップショットを瞬時に取得し、
データを復元出来るようなソフトウェアです。


【ランサムウェア感染したらどうする?】
まず、ランサムウェア(ウィルス全般)に感染したら、ネットワークから即座に
切り離して下さい。その後、以下の解決方法で復元を試して下さい。

1. 解除ツールを利用する
セキュリティベンダーが提供する解除ツールや、ランサムウェアをデータベース化した
「ID Ransomware」というWebサイトより解除方法を入手して試して下さい。
(復元できない場合がございます。)

2. バックアップからデータを戻す
定期バックアップを取っている場合は、そこからデータを戻して下さい。

3. ボリュームシャドウコピー(VSS)で復元させる
Windowsの「システムの復元」を使って、ボリュームシャドウコピー(VSS:バック
アップ機能の一つ)で復元できるかもしれません。(復元できない場合がございます。)

4. 復元ツールを利用する
削除ファイルやボリュームシャドウコピーの復元ツールを使いファイルを戻す。
(復元できない場合がございます。)

5. 身代金を払う
最終的な選択肢ですが、身代金を払っても復元できない可能性もあります。
データが復元できた後に、忘れずにウィルスは駆除して下さい。
(将来解除ツールが提供される可能性もあるため、暗号化されたファイルは消去せずに
残しておいても良いでしょう。)


【まとめ】
現在、世界中で最も脅威となっているサイバー攻撃の1つがランサムウェアです。
感染するとデータが暗号化され利用出来なくなります。

セキュリティアップデート、バックアップ、アンチウィルスソフト、UTM
(次世代ファイアウォール)等の備えは忘れずに行って下さい。


次回は、ランサムウェア以外のサイバー攻撃と具体的な対策事例を解説して
行きたいと思います。


※1 マルウエア
コンピューターウイルスやワームなど、コンピューターやその利用者に被害を
与えることを目的とした悪意あるソフトウェアの総称。
出典:IT用語がわかる辞典

※2 ゼロデイ攻撃
あるソフトウエアのセキュリティーホールが発見された際、その情報や対策が
広く告知される前に、そのセキュリティーホールを悪用したコンピューター
ウイルスが出回るなどの攻撃を受けた状態。
出典:知恵蔵


ハッカーの手口から読み取る、企業のサイバー攻撃対策(1)
ハッカーの手口から読み取る、企業のサイバー攻撃対策(3)
ハッカーの手口から読み取る、企業のサイバー攻撃対策(4)
ハッカーの手口から読み取る、企業のサイバー攻撃対策(5)


※当ページのコラムの内容は無料のBOSS会 News(メールマガジン)でも
 お届けしております。ご興味がある方はご登録頂けたら幸いです。



株式会社ビットスクリプト 代表取締役 葛西 勝興
株式会社ビットスクリプト 
代表取締役 葛西 勝興(カサイ カツオキ)

■プロフィール
2002年設立のサーバーとセキュリティ専門会社、
ビットスクリプトの代表取締役。
サーバーとセキュリティのプロフェッショナルとして、
マイナンバーの運用や情報漏洩のコンサルティングも行っている。
インターネット創成期から業界に携わり、IPOも経験し、
200社以上のインフラをプロデュースしている。

・BOSS会【EC経営者交流会】オフィシャルパートナー企業


本コラムに関する問い合わせ先
【BOSS会運営事務局】(担当:渡辺)
MAIL : support@bosskai.net
TEL :03-6427-1437
◀︎前のページへ戻る

▲このページの上へ戻る