ランサムウェア対策ガイド
身代金要求型不正プログラム(ランサムウェア)を防ぐ特効薬や包括的な対策は未だ存在していませんが、この10年間でランサムウェアは、単なる迷惑行為の不正プログラムからサイバー犯罪者ビジネスで重宝される現在の姿へと進化しています。セキュリティ業界では、増大するランサムウェア脅威に対抗する戦略強化が求められています。
2016年は、ランサムウェアの攻撃対象が個人ユーザからさまざまな業界の企業へ大きく変化した年でした。本稿では、ランサムウェアによる攻撃から自社を効果的に守る注意事項を紹介します。
■防御の構築:ランサムウェアの侵入を防ぐ
インターネット上のあらゆる脅威と同様、ランサムウェアも侵入経路の防御が重要です。以下は、ランサムウェア侵入から自社のネットワークを守るための注意事項です。
- 重要データの定期的なバックアップを徹底する:サイバー犯罪者は、データベースの重要なファイルや文書ファイルを失うというユーザの恐怖心につけ込み、身代金の支払いを強要します。重要なファイルのバックアップを取ることで潜在的な被害を最小限にし、サイバー犯罪者に利用される可能性を排除することができます。適切なバックアップ戦略をとることで、すべての重要なデータを安全な場所に保存し情報を喪失した場合でも、簡単に復元することができます。
バックアップの3-2-1ルールに従ってバックアップを実行することをお勧めします。
- 3つ以上のコピーを保存
- 2つの異なる種類の端末に保存(例:ハードドライブおよび USB)
- そのうちの1つは他の2つとは異なる場所に保存(例:自宅とオフィス)
ランサムウェアの中には共有ネットワークのドライブで確認されたバックアップデータを狙うことで知られている亜種も存在します。そのため、企業のネットワークに接続されていないシステム上のドライブなどにバックアップをとることが重要になります。
- エンドポイントにアプリケーションコントロール(ホワイトリスト)を導入し、未知のアプリケーションや不要なアプリケーションをブロックする:挙動監視機能とホワイトリストは、システム侵入などの攻撃から企業を守ります。挙動監視機能は「疑わしい挙動」や不自然な動作を検知します。一方、ホワイトリストは、無害な動作や、ファイル、プロセスのみの実行を許可します。こうした機能により、IT管理者は自社のネットワーク内でどのようなアプリやプログラムを実行すべきかを判別できます。
- セキュリティ中心のネットワークセグメントを設計する資産やリソースを戦略的にグループ化することで、IT管理者はデータがどこを流れるのか、誰に権限が付与されているのかマップ化できます。ネットワークの適切なセグメント化により被害がネットワーク全体に及ぶのを阻止できます。
ユーザおよびユーザがアクセスするネットワークの双方を適切に特定・分類します。ユーザ権限やネットワークトラフィックのセグメント化は、自社の機密情報を保護する上での防壁となります。各部門やチームのニーズに応じてネットワーク領域を区分することで、攻撃者のアクセス範囲を制限し、様々な感染に対処できます。ユーザに付与する権限を必要最低限に止めることで、攻撃者からの管理者権限取得も困難になります。
- 社員にソーシャルエンジニアリングの見分け方や危険性を教育する:添付ファイルのダウンロードやURLのクリックの際には細心の注意を払い、正規サイトからのプログラムのみを実行するなど、メールの扱い方やインターネットの安全な利用法について社員教育を実施します。不審なメールやファイルを確認した際は、ITセキュリティ部門へ連絡するよう社員を奨励することも重要です。
- オペレーティングシステム(OS)のベンダやサードパーティベンダから提供される修正プログラムを適切なタイミングで適用する:修正プログラムが適用されていないアプリケーションやサーバは、脆弱性を突いてランサムウェアなどの不正プログラムの侵入経路として頻ぱんに利用されます。定期的に修正プログラムを適用してソフトウェアを更新してください。必要な修正プログラムや更新プログラムの速やかな適用するには、適用の妨げとなる障害を特定して除去するため、適用プロセスの精査が必要です。仮想パッチは、必要な修正プログラムがすべてサーバやエンドポイントに適用されていなくても、脆弱性を抱えたサーバを保護し、ランサムウェアなどの脅威を阻止します。
- セキュリティ製品の定期的な更新とスキャン実行を徹底する:企業や組織のネットワークがセキュリティ製品で強固に守られていても、サイバー犯罪者はたった1つの「ほころび」を見つけて侵入します。未更新のセキュリティ製品もそうした「ほころび」として攻撃者の侵入を招く可能性があります。セキュリティ製品の更新を徹底してください。
■感染後の被害拡大を阻止する対策
不用意に不正リンクをクリックし、不正ファイルがダウンロードされ、脅迫状が表示されるまでの全体プロセスは、わずか数分間に過ぎません。ランサムウェア感染を特定して被害を最小限に抑えるには、この数分間の対応が非常に重要になります。以下は、この点を考慮した上でのセキュリティチェックリストに含める注意事項です。
- 感染PCを特定してネットワークから隔離する:ランサムウェアの挙動は、ファミリーや亜種によって異なりますが、共通するプロセスはコマンド&コントロール(C&C)サーバとの通信を確立させて感染を完了させることです。このプロセスを実行しない亜種も少数ありますが、ランサムウェアが不正活動を完了させるためには、C&Cサーバへの接続は不可欠なプロセスです。
不審な挙動による警告を確認した場合、IT管理者は可能な限り制限されたリソース内で感染を迅速に隔離し、C&Cサーバとの接続を阻止することです。早い段階で明確な兆候が確認されたり、脅迫状が表示されたことで感染PCが特定されたら、他のPCへの感染拡大を防止するためにも、感染PCをネットワークから切り離してください。必要であれば、インシデントが収束するまでネットワークを閉鎖してください。
- リアルタイム対応のインシデントレスポンスチームを設置する:リアルタイムで対応するインシデントレスポンス チームは、社内のすべてのPCを監視し、ネットワーク内の社員から不審な通知に関する報告を受けます。社員から報告を受けた時点で既にランサムウェアの暗号化プロセスが開始されている可能性がありますが、インシデントレスポンスチームは状況をコントロールして感染拡大を阻止できるでしょう。
- 社員にはPC上のどのような不審な挙動もITセキュリティチームに報告するよう推奨する:IT管理者は、社内のネットワークに接続しているPCを使用する社員に対しては、感染を示す兆候に警戒するよう積極的に教育してください。バックグランドで実行されているランサムウェア感染の兆候は、感染初期の段階で示される可能性もあります。
例えば、システムの対応速度の遅れ等は、バックグランドで他のプロセスが実行されている可能性があります。こうした兆候に気づくことで、ITレスポンスチームは十分な時間をもって対応に当たることができます。
■被害の最小限化と復旧作業
一般的なイメージとは異なり、PCがランサムウェアに感染しても一切のデータが完全に失われるわけではありません。被害を最小限に抑え、身代金の支払いという手段に依存しないためには、迅速な検知、対応、復旧が鍵となります。以下は、こうした点を考慮した上での注意事項です。
- セキュリティ企業提供の復号ツールを使用する:画面をロックするランサムウェアや暗号化型ランサムウェアの特定亜種に対応した復号ツールが、各種セキュリティ企業から無償で提供されています。これらのツールを活用することで、復号鍵を得るための身代金支払いを回避できます。
- 包括的なデータバックアップおよびリカバリープランを導入する:包括的なデータバックアップおよびリカバリープランの実施により、ランサムウェアの感染被害に限らず、あらゆる被害でデータを喪失した後でも、社内の貴重な情報を復元することができます。こうした対策を実践することで、被害からの速やか復旧と業務再開が可能になります。
- 事後調査を徹底する:インシデント対応後、感染範囲や規模の調査を徹底してください。再発防止のためには、システムの脆弱性や改善箇所を特定して感染経路の分析することが不可欠です。
さまざまな感染事例のランサムウェアをサンドボックス解析し、それらの挙動を把握することで、機能や、不正活動、戦略から確認できる「侵入の痕跡(Indicators of Compromise、IOC)」の特定に役立てることができます。これにより、検出率を向上させ、将来的なインシデント防止策も構築できるでしょう。
ランサムウェアは、新たなファミリーや亜種が毎日のように登場し、急速に進化しています。これはサイバー犯罪者にとってランサムウェアは「金のなる木」のような存在であることを示しています。多層防御は、ランサムウェアが利用するすべて侵入経路を防御する上で不可欠なセキュリティ対策です。
■ランサムウェア対策
トレンドマイクロは、企業や中小企業および個人ユーザそれぞれに、暗号化型ランサムウェアによる被害を最小にするための対策を提供します。
企業ユーザは、これらの脅威によるリスク軽減のために、多層的かつ段階的な対策を取ることができます。メール攻撃対策製品「Deep Discovery Email Inspector」および Webゲートウェイ対策製品「InterScan Web Security」は、ランサムウェアを検出し、侵入を防ぎます。「ウイルスバスター コーポレートエディション」のようなエンドポイント製品は、挙動監視機能(不正変更監視機能)の強化やアプリケーションコントロール、および脆弱性シールド機能により、脅威による影響を最小にすることができます。ネットワーク型対策製品「Deep Discovery Inspector」は、「文書脆弱性攻撃コード検出を行うエンジン(Advanced Threat Scan Engine、ATSE)」などによりランサムウェア脅威を警告します。サーバ&クラウドセキュリティ対策製品「Trend Micro Deep Security」は仮想化・クラウド・物理環境にまたがって、ランサムウェアがサーバに侵入することを防ぎます。
トレンドマイクロの中小企業向けクラウド型のエンドポイントセキュリティサービス「ウイルスバスター ビジネスセキュリティサービス」は、「FRS」技術によりウイルス検出を行っています。また同時に、これらのエンドポイント製品では挙動監視機能(不正変更監視機能)の強化により、侵入時点で検出未対応のランサムウェアであってもその不正活動を検知してブロックできます。
トレンドマイクロの個人向けクライアント用総合セキュリティ対策製品「ウイルスバスター クラウド」は、不正なファイルやスパムメールを検出し、関連する不正な URL をブロックすることによって、強固な保護を提供します。
■ ランサムウェアファイル復号ツール公開
ランサムウェアの脅威が世界的に深刻になっている状況を受けて、ランサムウェアによって暗号化されたファイルの復号ツールをトレンドマイクロは公開しました。この復号ツールの使用方法や復号可能なファイルの条件などの制限事項については以下のダウンロードページを参照してください。
法人向けダウンロードURL:http://esupport.trendmicro.com/solution/ja-JP/1114224.aspx
個人向けダウンロードURL:https://esupport.trendmicro.com/support/vb/solution/ja-jp/1114210.aspx
また、トレンドマイクロでは、ランサムウェアの被害に遭われている法人・個人を対象に無料相談窓口も開設していますので、お困りの方は一度ご相談ください。