身代金要求型不正プログラム(ランサムウェア)を防ぐ特効薬や包括的な対策は未だ存在していませんが、この10年間でランサムウェアは、単なる迷惑行為の不正プログラムからサイバー犯罪者ビジネスで重宝される現在の姿へと進化しています。セキュリティ業界では、増大するランサムウェア脅威に対抗する戦略強化が求められています。
2016年は、ランサムウェアの攻撃対象が個人ユーザからさまざまな業界の企業へ大きく変化した年でした。本稿では、ランサムウェアによる攻撃から自社を効果的に守る注意事項を紹介します。
■防御の構築:ランサムウェアの侵入を防ぐ
インターネット上のあらゆる脅威と同様、ランサムウェアも侵入経路の防御が重要です。以下は、ランサムウェア侵入から自社のネットワークを守るための注意事項です。
バックアップの3-2-1ルールに従ってバックアップを実行することをお勧めします。
ランサムウェアの中には共有ネットワークのドライブで確認されたバックアップデータを狙うことで知られている亜種も存在します。そのため、企業のネットワークに接続されていないシステム上のドライブなどにバックアップをとることが重要になります。
ユーザおよびユーザがアクセスするネットワークの双方を適切に特定・分類します。ユーザ権限やネットワークトラフィックのセグメント化は、自社の機密情報を保護する上での防壁となります。各部門やチームのニーズに応じてネットワーク領域を区分することで、攻撃者のアクセス範囲を制限し、様々な感染に対処できます。ユーザに付与する権限を必要最低限に止めることで、攻撃者からの管理者権限取得も困難になります。
■感染後の被害拡大を阻止する対策
不用意に不正リンクをクリックし、不正ファイルがダウンロードされ、脅迫状が表示されるまでの全体プロセスは、わずか数分間に過ぎません。ランサムウェア感染を特定して被害を最小限に抑えるには、この数分間の対応が非常に重要になります。以下は、この点を考慮した上でのセキュリティチェックリストに含める注意事項です。
不審な挙動による警告を確認した場合、IT管理者は可能な限り制限されたリソース内で感染を迅速に隔離し、C&Cサーバとの接続を阻止することです。早い段階で明確な兆候が確認されたり、脅迫状が表示されたことで感染PCが特定されたら、他のPCへの感染拡大を防止するためにも、感染PCをネットワークから切り離してください。必要であれば、インシデントが収束するまでネットワークを閉鎖してください。
例えば、システムの対応速度の遅れ等は、バックグランドで他のプロセスが実行されている可能性があります。こうした兆候に気づくことで、ITレスポンスチームは十分な時間をもって対応に当たることができます。
■被害の最小限化と復旧作業
一般的なイメージとは異なり、PCがランサムウェアに感染しても一切のデータが完全に失われるわけではありません。被害を最小限に抑え、身代金の支払いという手段に依存しないためには、迅速な検知、対応、復旧が鍵となります。以下は、こうした点を考慮した上での注意事項です。
さまざまな感染事例のランサムウェアをサンドボックス解析し、それらの挙動を把握することで、機能や、不正活動、戦略から確認できる「侵入の痕跡(Indicators of Compromise、IOC)」の特定に役立てることができます。これにより、検出率を向上させ、将来的なインシデント防止策も構築できるでしょう。
ランサムウェアは、新たなファミリーや亜種が毎日のように登場し、急速に進化しています。これはサイバー犯罪者にとってランサムウェアは「金のなる木」のような存在であることを示しています。多層防御は、ランサムウェアが利用するすべて侵入経路を防御する上で不可欠なセキュリティ対策です。
■ランサムウェア対策
トレンドマイクロは、企業や中小企業および個人ユーザそれぞれに、暗号化型ランサムウェアによる被害を最小にするための対策を提供します。
企業ユーザは、これらの脅威によるリスク軽減のために、多層的かつ段階的な対策を取ることができます。メール攻撃対策製品「Deep Discovery Email Inspector」および Webゲートウェイ対策製品「InterScan Web Security」は、ランサムウェアを検出し、侵入を防ぎます。「ウイルスバスター コーポレートエディション」のようなエンドポイント製品は、挙動監視機能(不正変更監視機能)の強化やアプリケーションコントロール、および脆弱性シールド機能により、脅威による影響を最小にすることができます。ネットワーク型対策製品「Deep Discovery Inspector」は、「文書脆弱性攻撃コード検出を行うエンジン(Advanced Threat Scan Engine、ATSE)」などによりランサムウェア脅威を警告します。サーバ&クラウドセキュリティ対策製品「Trend Micro Deep Security」は仮想化・クラウド・物理環境にまたがって、ランサムウェアがサーバに侵入することを防ぎます。
トレンドマイクロの中小企業向けクラウド型のエンドポイントセキュリティサービス「ウイルスバスター ビジネスセキュリティサービス」は、「FRS」技術によりウイルス検出を行っています。また同時に、これらのエンドポイント製品では挙動監視機能(不正変更監視機能)の強化により、侵入時点で検出未対応のランサムウェアであってもその不正活動を検知してブロックできます。
トレンドマイクロの個人向けクライアント用総合セキュリティ対策製品「ウイルスバスター クラウド」は、不正なファイルやスパムメールを検出し、関連する不正な URL をブロックすることによって、強固な保護を提供します。
■ ランサムウェアファイル復号ツール公開
ランサムウェアの脅威が世界的に深刻になっている状況を受けて、ランサムウェアによって暗号化されたファイルの復号ツールをトレンドマイクロは公開しました。この復号ツールの使用方法や復号可能なファイルの条件などの制限事項については以下のダウンロードページを参照してください。
法人向けダウンロードURL:http://esupport.trendmicro.com/solution/ja-JP/1114224.aspx
個人向けダウンロードURL:https://esupport.trendmicro.com/support/vb/solution/ja-jp/1114210.aspx
また、トレンドマイクロでは、ランサムウェアの被害に遭われている法人・個人を対象に無料相談窓口も開設していますので、お困りの方は一度ご相談ください。