【図解でみる】ランサムウェア対策

はじめに

2020年8月時点で、ランサムウェア攻撃によって、国内企業や海外関係会社の被害が明らかになっています。規模の大小、扱っている情報の機密性等に関わらず、ITシステムにより事業が成り立っている、あらゆる企業・組織が標的となりえるため、非常に注意を要する脅威となっています。今後、大金が絡むことから攻撃者が集まり組織化することで、ますます脅威が増大していく可能性があります。企業の経営者は、事業の継続を脅かすような大規模な被害が生じ得る可能性があることを認識し、事業継続計画(BCP)の策定等において留意すべきでしょう。

引用:「事業継続を脅かす新たなランサムウェア攻撃について」(独立行政法人情報処理推進機構 セキュリティセンター)
(https://www.ipa.go.jp/files/000084974.pdf)(確認日 2022年1月18日)
参考:「ランサムウェアの脅威と対策 ~ランサムウェアによる被害を低減するために~」(独立行政法人情報処理推進機構 セキュリティセンター)
(https://www.ipa.go.jp/files/000057314.pdf)(確認日 2022年1月18日)
今すぐ相談する≫

ランサムウェアとは

ランサムウェアとは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語で、パソコン等の端末およびネットワーク接続された共有フォルダ等に保管されたファイルを、利用者の意図に沿わず暗号化して使用不可にする、または画面ロック等により操作不可とするウイルスの総称です。その制限の解除と引き換えに金銭を要求する挙動から、このような不正プログラムをランサムウェアと呼んでいます。
ランサムウェアの被害事例は、ファイル暗号化型によるものが多く、ファイル暗号化型のランサムウェアに感染させられた場合、パソコン等の端末に保存されているファイルの暗号化だけでなく、その端末からアクセス可能なファイルサーバやクラウド上のファイルも暗号化され、使用できなくなる場合があります。

ランサムウェアのタイプ 使用不可にする対象 ランサムウェアの例
ファイル暗号化型 画像、文書、データ等のファイル WannaCryptor等
端末ロック型 端末そのもの Android端末のランサムウェア等

ファイル暗号化型のランサムウェア感染時の影響範囲

ファイル暗号化型のランサムウェアに感染した場合、当該端末だけでなく、同一ネットワーク上のファイルサーバや接続している記録媒体などにもその影響が及ぶ場合があります。感染したパソコンが(その際、ログインしているユーザの権限で)アクセス可能な場所にあるファイルに影響が及ぶ場合があります。

(1) 感染した端末内に保存されているファイル
(2) 感染した端末内のクラウドと同期するフォルダ内のファイル(①に含まれる)
(3) 感染した端末に接続されている外付けHDD内に保存されているファイル
(4) “(2)”を同期することによるクラウド内のファイル(上書き)
(5) 他の端末上の感染した端末と共有しているフォルダ内のファイル
(6) ファイルサーバ上で感染した端末がアクセスできる(書き込み権限がある)領域に保存されているファイル

今すぐ相談する≫

ランサムウェア攻撃の動向

従来のランサムウェア攻撃

攻撃者は個人、企業・組織及び端末やサーバといった対象など明確な標的を定めずに悪意あるウェブサイトの閲覧者への攻撃やウイルスを添付したメールのばらまき、ワーム機能等によってランサムウェアへの感染を試み、運悪く感染し、支払いに応じる被害者から金銭を得ようとする戦略です。現時点においても、この攻撃が無くなったわけではないため、引き続き注意が必要です。

新たなランサムウェア攻撃

攻撃者は企業・組織を標的とし、新たな攻撃方法を用いて、事業継続のため金銭を支払わざるを得ない状況を作り上げ、より確実に、かつ高額な身代金(数千万から数億円)を得ようとする戦略です。新たなランサムウェア攻撃により、企業・組織の事業継続に関わる非常に危険な脅威となっています。

2つの新たな攻撃方法

■人手によるランサムウェア攻撃(human-operated ransomware attacks)

諜報活動を目的とする標的型サイバー攻撃と同様、攻撃者自身が様々な攻撃手法を駆使して、企業・組織のネットワークへの侵入、侵入後の侵害範囲拡大等をひそかに進めていく攻撃方法です。

・事業継続に関わるシステムや機微情報が保存されている端末やサーバ等を探し出し、ランサムウェアに感染させる
・ドメインコントローラのような管理サーバを乗っ取り、一斉に企業・組織内の端末やサ ーバをランサムウェアに
感染させる

■二重の脅迫(human-operated ransomware attacks)

ランサムウェアにより暗号化したデータを復旧するための身代金要求に加え、暗号化する前にデータを窃取しておき、支払わなければデータを公開する等といった二重に脅迫する攻撃方法です。

攻撃方法 比較図

従来のランサムウェア攻撃


※画像クリックすると拡大で見れます

新たなランサムウェア攻撃

新たな侵入手口

近年の攻撃は、攻撃者が企業・組織のネットワークへ侵入するところから始まります。従来のランサムウェア攻撃のような受信者が実行してしまうことで、ランサムウェアに感染させられるといった手口とは大きく異なってきています。
被害事例に関する報道やセキュリティベンダ等のレポートより、インターネット上に公開されているサーバや機器等に対し、設定の不備や脆弱性を悪用する手口や攻撃メールを送り付ける手口が確認されています。

3つの新たな侵入手口

■リモートデスクトップサービスを経由した侵入

攻撃者は、企業・組織がインターネット上に公開しているリモートデスクトップサービスを調査

アクセス制御、認証に関する設定、パスワードの強度が不十分であることを狙い、認証を突破し侵入
セキュリティに関する職員が手薄であることを期待し、土曜日に攻撃を開始
■VPN装置の脆弱性を悪用した侵入

攻撃者は、企業・組織が使用している、脆弱性が残存するVPN装置の脆弱性を悪用して侵入
※脆弱性を解消済みで攻撃を確認できなくとも、脆弱であった期間に認証情報が窃取されている可能性があります。

認証情報を窃取することが可能なVPN装置の脆弱性(CVE-2018-13379, CVE-2019-11510等)
遠隔で任意のコードを実行することが可能なVPN装置の脆弱性(CVE-2019-1579, CVE-2019-19781等)
■不正なメールを送り付けて遠隔操作ウイルス等に感染させ、端末を乗っ取ることによる侵入

攻撃者は、企業・組織へ遠隔操作ウイルス等を添付したメールや遠隔操作ウイルス等をダウンロードさせるURLリンクを記載したメールを送り付ける

受信者が不用意に添付ファイル等を開くことで、遠隔操作ウイルス等へ感染させられ、 端末が乗っ取られる
感染させた端末を足掛かりとして組織内ネットワークへ侵入

対策

新たなランサムウェア攻撃は、標的型サイバー攻撃と同様の手口で企業・組織のネットワークへ侵入し、侵害範囲の拡大やサーバ等をランサムウェアに感染させたり情報を窃取するため、次のような侵入対策を行うことが重要です。特に、リモートデスクトップサービスの不用意な露出の停止、VPN装置の脆弱性の解消等、悪用事例のある箇所への対策は優先的に実施する必要があります。また、設定変更や見直しで実現できる範囲も多くありますが、新しいランサムウェア攻撃は従来の攻撃の対策に加え、標的型サイバー攻撃と同様の全般的な対策を行う必要があり、リスク低減のための多層的な防御策を講じることをおすすめします。

攻撃対象領域(attack surface)の最小化
・インターネットからアクセス可能な、あるいは意図的に公開するサーバやネットワーク機器を最低限にする
・アクセス可能なプロトコルやサービスも最低限のものとし、 アクセス可能な範囲を限定する。
アクセス制御と認証
・組織外からアクセスが必要な対象や範囲を特定し、限定する
・強固な認証方式を使用する
・アクセスや認証のログを取得し、監視する
脆弱性対策
・OSおよび利用ソフトウェア、ネットワーク機器のファームウェア等を常に最新の状態に保つ
・脆弱性の公開後、悪用手法が出回るまでの期間が短いため迅速に対応できる体制や計画を整備する
拠点間ネットワーク
・拠点間のアクセス制御の見直しを行う
※ランサムウェア攻撃に限らず、複数の拠点(特に海外拠点)をネットワークで接続している場合、防御の弱い拠点から侵入され、中枢が侵害される事例が散見される
攻撃メール対策
・攻撃メールへのセキュリティ装置等による対策や、従業員の啓発や訓練を行う
内部対策
・攻撃者による侵害範囲拡大を検知、防御するため、統合ログ管理や内部ネットワーク監視、エンドポイント監視といった仕組み(製品等)も有効

データ・システムのバックアップ

データやシステムのバックアップを行うことは事業継続において、引き続き重要な対策の一つです。
ランサムウェアの影響は感染端末だけでなく、感染端末からアクセス可能な別の端末やクラウド上のデータにも及ぶため、データをバックアップする際には、次の5点に留意する必要があります。
なお、バックアップからのデータやシステムの復旧を迅速かつ確実に行えるように、対応フローの整備や訓練、復旧テスト等を実施しておくことも重要です。

①重要なファイルは定期的にバックアップを取得する
②バックアップに使用する装置・媒体は、バックアップ時のみ対象機器と接続する
③バックアップ中に感染する可能性を考慮し、バックアップに使用する装置・媒体は複数用意する
④バックアップの妥当性(正常に取得できているか、攻撃に対して有効か)を定期的に確認する
⑤データのみならず、システムの再構築を含めた復旧計画を策定する

ご相談はこちらから

お気軽にお問い合わせください。
TEL:050-3538-0425
受付時間 9:00-17:00 [ 土・日・祝日除く ]