仮想事例で指さしチェック!
サイバー攻撃対策の“To-Do”営業部門の共有ファイルがランサムウェアで使用不能に! 
─迫れる決断、IT 部門の取るべき施策とは?

利用者のシステム/データにロックをかけ、その復旧を条件に「身代金」を要求する─。そんなランサムウェアによる法人被害が急増しています。トレンドマイクロが受けた日本の法人被害報告は2016年1月-3月で740件と昨年同期比のおよそ25倍に達しています。特に深刻になのが、ネットワーク共有上のファイルを暗号化し、使用不能する手口です。万が一、組織内でランサムウェア感染が起きた場合、どのような被害が想定されるのでしょうか。感染リスクを最小化するには、どのような備えが必要なのでしょうか。仮想の事例に基づきながら、対策のポイントを明らかにします。

Incident 仮想事例

2015年3月某日・夕刻、A社の営業支所で働くB部長は自分の端末の前で凍りついていた。部内のファイルサーバに置いていた「重要顧客との取引情報ファイル」が読めなくなったからだ。『いったい何が起きたんだ』─。B部長がそう思い悩んでいると、部下のDが叫び声を挙げた。「部長、これは脅迫文ではないですか?」
B部長はDの元に駆け寄り、端末の画面を覗き込む。すると確かに、金銭の支払いを迫る脅迫文がポップアップで表示されている。内容は、「ファイルを暗号化した。復旧のためには10ビットコインの支払が必要※1」というものだ。
このインシデント発生の一報を受け、IT部門のCが現場に急行、問題のファイルサーバをチェックした。すると、サーバ上の取引情報ファイルに不正な暗号化がかけられており、そのフォルダには脅迫文も置かれていた。「どうしたらいい。データのバックアップはなく、サーバ上のファイルが使えないと本当に困る。場合によっては、身代金を支払ってもいい」とB部長。対応に窮したCは上司に助けを求めた。

IT部門はどう対処するのが適切なのだろうか─。

図1:身代金を要求する日本語メッセージの例

Check-1
なぜランサムウェアに感染してしまうのか

法人の端末にランサムウェアが感染する主な経路は2つです。
①メール:マルウェアが添付されたスパムメールを従業員に送り付け、添付ファイルを開かせて感染させる
②Web :改ざんサイト/不正広告から脆弱性攻撃サイトに従業員を誘導、感染させる

仮想事例でも、このいずれかの手口を通じてDの端末にランサムウェアが侵入したことになります。

ランサムウェアのスパムメールは、いまのところ不特定多数をターゲットにしたものが多く、「宅配便からの通知」などを装うケースが少なくありません。ただし今後は、特定組織の関係者を巧みに装った標的型メールが増え、従業員がそれを「不審なメール」と判断する難度は一層高まることが予想されます。すでに海外では、標的型攻撃的な手法を使ったランサムウェアも登場しています。また、Webを使った攻撃についても正規サイトに仕込まれた不正広告を表示させただけで、マルウェアに感染してしまうものもあります。したがって、従業員教育だけでランサムウェアの侵入を防ぎ切るのは至難と言えます。

Check-2
なぜ共有ファイルが暗号化されてしまうのか

侵入後の動きは、図2に示すとおりです。ここで留意すべきは、暗号化があくまでも感染端末利用者のユーザ権限に基づいて行われることです。つまり、共有ファイルに対する「編集/読み書き」の権限が利用者になければ、攻撃者も共有ファイルの暗号化が行えません。したがって、重要データを扱う共有ファイルに対しては、ユーザ権限を適切に管理し、不必要な編集/読み書きの権限を利用者に与えないようにすることが重要です。(図2)

図2:端末侵入後のランサムウェアの動き

※ Command & Controlサーバのとの通信 インターネットからマルウェアに対してコマンドを送り、遠隔で制御する目的で行われる

Check-3
感染後の初動はどう取るべきか

ランサムウェア感染を確認した際、IT 部門が取るべき初動は、感染源・感染範囲をすみやかに特定し、感染端末の隔離や感染拡大を阻止することです。さらに、ランサムウェアの攻撃を受けているサーバをネットワークから切り離す措置も効果的です。実のところ、ファイルの暗号化には一定の時間がかかり、データ量によっては暗号化に数時間を要する場合もあります。したがって、対処の初動が早ければ早いほど、暗号化の被害を最小限に食い止めることが可能になります。

Check-4
身代金は支払うべきか

たとえ、重要ファイルの復旧ができないとしても、身代金は支払うべきではないというのがトレンドマイクロの見解です。
理由は以下のとおりです。

①身代金を支払ってもサイバー犯罪者が約束を守る保証はどこにもない
②身代金の支払いはサイバー犯罪者にさらなる攻撃の資金を与えることになる
③身代金の支払いをきっかけに、別の犯罪や脅迫に巻き込まれる危険性がある

Check-5
暗号化ファイルの復旧は可能か

今日のランサムウェアでは、暗号化キーが外部の不正サイトに置かれるのが一般的で、被害者側が暗号化鍵を入手するのは不可能に近いといえます。そのため、暗号化されたファイルを元に戻すのは極めて困難です。ただし、Windows Serverの「シャドウコピー」機能を使えば、暗号化された共有ファイルを復活させられる可能性があります。また、Windows(Windows Vista 以降)にも、「システムの復元」機能で作成された復元ポイントから任意のファイルを復活させられる「以前のバージョン」機能があります。この機能を有効にしておけば、暗号化されたファイルを以前のバージョンに復旧できる可能性もります。とはいえ、最近のランサムウェアは、システム上のバックアップデータを消去したうえで、データに暗号化をかけるものもあります。したがって、重要データはバックアップしたほうがいいでしょう。トレンドマイクロでは「3-2-1 ルール」として、3つ以上のバックアップコピーを、可能なら2つの異なる書式で用意し、そのうちの1 つをネットワークから隔離された場所に保管することを推奨しています。

結論
ランサムウェア対策の“To-Do”

事前対策

  • ランサムウェア感染時の対応方針・プロセスの策定
  • 情報資産の棚卸と、重要データに対するユーザ権限管理の適正化
  • 重要データの定期バックアップ
  • 従業員教育の徹底
  • 脆弱性対策
  • 多層防御の導入
     ₋ Web ・メールによる侵入阻止の対策強化
     ₋ 内部ネットワークの監視による不正通信の把握
     ₋ エンドポイントでの感染ブロック

感染した場合

  • 感染端末・被攻撃サーバのネットワークからの切り離し
  • 外部に対する不正な通信の遮断

※1 約50万円(2016年5月末時点)。昨今のランサムウェアではビットコインで身代金が要求されることが多い。

記事公開日 : 2016.08.01
 この記事は、公開日時点での情報です