「サイバー恐喝」に利用されるランサムウェア
データを人質に身代金を要求
ランサムウェアは、金銭目的の「サイバー恐喝」に利用されている不正なソフトウェアの一種です。サイバー攻撃者は、一見無害なEメールやWebページにランサムウェアへのリンクを潜ませ、ユーザーにクリックさせようと試みます。ユーザーがランサムウェアを実行してしまうと、暗号化などによりファイルやアプリケーション、システムが使用不能になり、元に戻したければ身代金を支払うよう要求されます。身代金の支払いには、Bitcoinなど、匿名性の高い仮想通貨を指定されるケースが一般的です。ランサムウェアによる被害は深刻化と拡大の一途をたどっており、最近では、個人ユーザーの被害に加え、企業や組織における被害報道も増えています。身代金の要求額は、数百ドルから数百万ドルと、標的によって大きく変動します。
ランサムウェアへの感染後に実施可能な対策はほとんどありません。身代金を支払わなければ、業務の停止や機密情報の実質的な喪失など、攻撃者が意図した被害を受けます。身代金を支払い、データを復旧できたとしても、適切な再発防止策を講じなければ、再び同じグループや別のグループによるランサムウェア攻撃を受け、身代金を再度支払う羽目になります。
ほとんどの場合、身代金を支払うかどうかの決断を迫られた時点で、もう手遅れなのです。
ランサムウェアがもたらすリスク
ランサムウェアがシステムに侵入すると、ファイルを暗号化、またはロックして、コンピュータを実質的に使用不能にします。その後、この暗号化やロックを解除したければ身代金を支払うように要求(通常は仮想通貨を指定)。さらに、「要求に従わなければ、データをインターネット上に公開する」と脅迫のメッセージを表示する場合もあります。
ランサムウェアの中には、感染先システムからファイル・サーバなどのネットワーク・ハブに移動し、さらに感染を拡大するタイプも存在します。
高度なサイバー攻撃で使用される潜伏型のマルウェアと異なり、ランサムウェアによる被害は直ちに表面化します。最近の報道を見ても明らかなように、金銭的損失とビジネスのダウンタイムという複合的な被害をもたらすランサムウェアへの懸念は、個人や企業、官公庁の間に大きく広がっています。
ランサムウェアがもたらす被害の種類
ランサムウェア対策を講じるには
多くのランサムウェアは、WebやEメール経由でシステムに感染します。そのため、まずこの2つの経路でランサムウェア攻撃の兆候を監視する必要があります。
Web経由の攻撃では、Webブラウザやプラットフォーム、システムの脆弱性を突くエクスプロイトの自動実行や、エクスプロイト・キットをホストしたWebサイトにユーザーをリダイレクトする不正なURLや広告を使用する手口が一般的です。システムに感染したランサムウェアは、ネットワーク上の別のシステムやサーバーに感染を広げる場合もあります。一方、Eメール経由のランサムウェアは標的型攻撃で使用されるケースが多く、感染の手口はフィッシング、スピア・フィッシング、添付ファイル、URLなどが一般的です。
ランサムウェア感染を確実に防ぐためには、次の3つの対策を実施する必要があります。
- 感染プロセスを詳細に解析して、攻撃経路やシステム上の脆弱性を把握する
- 不正なコードを解析して、その目的や活動の痕跡を把握する(振る舞い解析)
- 感染マシンからC&Cサーバー(外部へのデータ送信や追加マルウェアのダウンロードに使用される)への通信を遮断する
以上の対策を講じるためには、従来型のセキュリティ・ソリューションでは検知困難な、複数の攻撃経路に残る侵入の痕跡を相関分析する必要があります。FireEyeネットワーク・セキュリティ(NXシリーズ)、FireEye Eメール・セキュリティ(EXシリーズ)、FireEye Eメール脅威対策クラウド (ETP)などの高度なセキュリティ・ソリューションでは、エクスプロイト・キットやマルウェアのダウンロード、C&Cサーバーへのコールバック通信をブロックして、ランサムウェアによる被害を阻止できます。また、攻撃経路や手法の追跡、詳細情報の共有などの機能により、攻撃を未然に防止できるため、ランサムウェアによる全体的な影響を最小限に抑えられます。
FireEye
Eメール・セキュリティによる、Eメール経由のランサムウェア攻撃対策
FireEyeネットワーク・セキュリティによる、Web経由のランサムウェア攻撃対策
ランサムウェア対策としてのセキュリティ・ソリューションの選定基準
セキュリティ・ソリューションにはそれぞれ特徴があり、ソリューションの特性や有効性はベンダーによって大きく異なります。ランサムウェア対策に利用するセキュリティ・ソリューションには次に示す機能が欠かせません。
- ランサムウェアの実行を未然に阻止または妨害する、リアルタイムの保護機能 : これは容易に達成できる機能ではありませんが、ランサムウェア対策として最も重要です。もしユーザーが身代金を要求された場合、データ・ファイルやシステム・ファイルはすでに暗号化されており、その時点で被害が発生していることになるからです。
- インラインでの保護に対応 : たとえば、Eメール・セキュリティ・ソリューションの場合は、メール転送エージェント(MTA)としての動作が求められます。この要件には、2つの目的があります。まずすべてのEメールを逃さず検査し、さらに検知までのタイムラグを最小限に抑える点です。オフライン解析やスパン・タップ構成での解析では、インライン構成よりもタイムラグが長くなります。
- 可能な限りこまめな脅威情報の更新頻度 : 情報の更新頻度が数日~数週間に1回程度と少ない場合、その間隔を利用する攻撃者には、同じランサムウェアを使用して別のシステムを攻撃する時間的猶予が与えられることになります。コンテキスト情報を含む脅威情報では、新たなランサムウェア攻撃の防御に役立つ、重要な「危険信号」に関する情報が提供される場合があります。攻撃者の素性や、攻撃目的を示唆する証拠・痕跡についての詳細な情報は、今後出現するセキュリティ脅威の予測や対策、防御にも効果を発揮します。
- すべての重要な攻撃経路でセキュリティ脅威を監視 : ランサムウェア攻撃では、ランサムウェアへの誘導に不正なURLを使用するケースや、C&Cサーバーからの指示で実行のタイミングを決定するケースが多いため、Eメールの単純な保護対策だけでは不十分です。複数の経路で展開される段階的な攻撃を追跡し、ランサムウェア配布サイトへのリンクを含む一見無害なEメールを確実に検知する必要があります。
Eメール・セキュリティ
ランサムウェア攻撃のきっかけとなるフィッシング・メールや不正な添付ファイルを検知、防御します。
ネットワーク・セキュリティ
Web経由のランサムウェア攻撃を検知、特定、防御します。
エンドポイント・フォレンジック
エンドポイントにおけるWeb、Eメール、その他のシステム・アクティビティを解析し、ランサムウェア攻撃のメカニズムを細部に至るまで把握します。
ランサムウェアの検知と防御
ランサムウェアの解析
Security as a Service
最新のランサムウェアをFireEyeの専門家が検知、検証し、対応を支援します。
コンサルティングおよび診断サービス
お客様組織におけるランサムウェアの検知・対応体制を診断、改善します。
セキュリティ・プロセスの連携
検知から対応までのワークフローを自動化して、攻撃にさらされる期間や範囲の縮小、リソースの最適化、影響の軽減を図ります。
専門家によるサービス
検知から対応までの自動化
ランサムウェアに関する最新の脅威情報
2016/07/18
Cerber: Analyzing a Ransomware Attack Methodology To Enable Protection2017/10/19
Magniber Ransomware Wants to Infect Only the Right People2017/10/26
BACKSWING - Pulling a BADRABBIT Out of a Hat2017/06/27
Petya Destructive Malware Variant Spreading via Stolen Credentials and EternalBlue Exploit