情報セキュリティ基礎講座ランサムウエアの猛威が事業者を狙う!

概要

  • 2016年は情報漏えいに加え、データ破壊や改ざんにも対策が必要
  • 身代金要求型の不正プログラム「ランサムウエア」によるファイル消失被害が急増
  • 対策は、総合セキュリティソフトによる感染防止が大前提
  • 万一に備え、重要データを守るためのバックアップ環境の構築も不可欠

急増するランサムウエア被害

インターネット上には様々なリスクや脅威が蔓延していることは、だれもが知るところ。実際、「2015年の日本国内での総脅威ブロック数は約8億9000万件。前年比で11%増加しており、1時間に約10万件の脅威を保護した計算になる」(トレンドマイクロの2015年セキュリティラウンドアップ)という。

法人や事業者などの組織では、2015年6月の日本年金機構の事件を皮切りに情報漏えい事件が多発。企業の情報を狙うサイバー攻撃が顕在化すると共に、その発端となった標的型攻撃が注目を集めたことは記憶に新しい。

今年1月からマイナンバー制度がスタートしたこともあり、情報流出リスクへの対応を急ぐ事業者も多いことだろう。それを継続することはもちろんだが、2016年は「社内データの破壊や改ざん」リスクへの対策も迫られることになりそうだ。

詳細は他に譲るが、多くのセキュリティベンダーは「金銭を奪うことを目的に法人を狙う攻撃が2016年には増加。そのプロセスや最終結果として需要な社内データが破壊される可能性が増す」と警鐘を鳴らしている。これまで、金銭目的の不正プログラムは主に個人を狙うとされてきたが、それは過去の話という。

そして、昨年から猛威を振るっているのが「ランサムウエア」だ。セキュリティベンダーが毎年発表している年間レポートでは、この不正プログラムによる法人被害の急増が報告されている。

例えば2015年、トレンドマイクロの統計によると、同社のクラウド型セキュリティ技術基盤が法人利用者からランサムウエアを検出した比率は前年比約3倍に増加。一方、感染被害数は企業での対策の遅れもあり約16倍へと急増した。他のベンダーからも同様の報告が相次いでおり、危急の対策が求められている状況だ。

重要データを勝手に暗号化

ランサムウエアとは、感染した端末やファイルを使用できない状態(人質)とし、その復元と引き換えに利用者に金銭を支払わせる身代金要求型の不正プログラムである。

感染行動の違いから、主に「端末ロック型」と「暗号化型」の2種類に分類される。企業にとり、やっかいなタイプは後者だ。

暗号化型は、感染した端末内のファイルやネットワーク共有上のデータを閲覧・編集できない形に暗号化して使用不能にする。ランサムウエアを駆除しても暗号化されたデータは復元せず、金銭を支払っても暗号化が解除されることはほぼない。

結果的に、業務停止による機会損失や身代金を支払ったことによる金銭的な被害が生じるわけだ。

しかも、当初は端末内のファイルだけが狙われていたが、2015年にはネットワーク共有上のデータも暗号化する手口が常套化。ファイルサーバー上の重要データまで暗号化されてしまうなど、法人での被害が深刻化している。

被害はPC経由だけではない。シマンテックは2016年4月、「Androidデバイスを狙い欧州で拡散しているランサムウエアが日本に上陸した」と発表。脅威は広がるばかりだ。

<表:「ランサムウエア」の種類>

種類 概要
端末ロック型 ランサムウエア 画面ロックやアプリの強制終了などにより感染端末の操作を不能にし、「感染端末を人質」にするタイプ。基本的に、ランサムウエアを駆除することができれば、再び端末の操作は可能となる
暗号化型 ランサムウエア 感染端末内のデータや感染端末につながるネットワーク上のデータを暗号化により使用不能にし、「データを人質」にするタイプ。不正プログラムを駆除しても、暗号化が解消されないことがほとんど。暗号化した後は継続活動の必要がないため、自らを削除して痕跡を消すタイプも増えている

2つの視点から対策

では、ランサムウエアへの対策はどうすればよいのか。「侵入や感染を防ぐこと」と「感染した場合に被害を最小限に抑えること」が基本となる。

まず、侵入や感染の防止だ。ランサムウエアも、スパムメールの添付ファイルやWebが感染経路となる点で他の不正プログラムと変わらない。

この意味で、サイバー犯罪者から狙われているセキュリティホール(脆弱性)向けの修正プログラムが提供されたら迅速に更新するなど、OSやソフトを常に最新の状態に保つことが大前提だ。

その上で欠かせないのが、セキュリティソフトだろう。「侵入の手口は利用者が気づけないほど巧妙化。この傾向は今後も続く」(シマンテック)ことから、アンチウイルス単機能ではなく、未知の脅威などにも強い総合対策ソフトを選ぶことが重要である。

また、前述の通り、スマホやタブレットでもランサムウエアが拡散していく可能性を考えると、様々な端末を一括保護できるマルチOS対応製品が便利だろう。

定期的なバックアップが有効

こうした基本対策と共に、感染時の被害を最小限に抑える準備も必要となる。どのような脅威も完全に防げる保証はなく、侵入を前提とした対策も検討するべきだからだ。

最も確実で有効な方法は、定期的に重要データをバックアップしておくこと。ただし、端末とネットワークでつながったサーバーなどへのバックアップでは意味がない。前述したように、最新のランサムウエアはネットワークで共有されているドライブ内のデータも暗号化してしまうからだ。面倒だが、外付けHDDへバックアップし、作業時以外は取り外すという運用が安心といえる。

とはいえ、それではITの利便性が損なわれるため、注目されている方法がNAS(ネットワーク接続ハードディスク)と外付けHDDを併用する環境だ。

ランサムウエアは、感染した端末がファイルを読み書きできる(ユーザー権限を持つ)場合に、データを暗号化する。このため、バックアップ先のドライブ(図では外付けHDD)を編集できないように設定することで、万一の感染にも被害を防げる。

さらに、NAS内の重要データを編集できるユーザー権限を持つ端末数を制限することで、感染機会の減少により暗号化リスクも低減できる。

また、DropboxやGoogleドライブといったクラウドの活用も基本的には避けたい。同期ドライブでのバックアップは端末側のファイルが暗号化されると、クラウド内のデータも同期して暗号化されるからだ。クラウドを使う場合、同期を無効にするなどの工夫が必要だろう。

なお、感染時には身代金を払うべきではない。データが復元される保証はなく、それどころか攻撃者の顧客名簿にリスト化されて様々な犯罪に巻き込まれる可能性を否定できない。

今後、様々なモノがネットにつながるようになると、「ランサムウエアはデータ以外にもIoTデバイスを狙うようになる」との予測もある。そうなれば、被害範囲はさらに広がるだけに今から対策を講じて、慣れておくことも必要ではないだろうか。

<図:ランサムウエア対策向けバックアップ環境の構築例>

ランサムウエアは端末が持つユーザー権限(ファイルへのアクセスや編集権限)を利用して暗号化を行う。このため、ネットワーク共有用のNASやファイルサーバーのデータを、端末からは編集できない外付けHDDにバックアップすることにより、被害を抑えられる。共有の無効化がポイントで、世代管理(最新のバックアップ時点だけでなく、その前時点の状態にも復元可能)でのバックアップが安心だ

35-01

暗号化されたデータは復元可能か!?

結論からいうと、難しいというのが現実だ。以前は、ランサムウエア自体が暗号化キーを持っていたが、2014年以降はネット上の不正サイトから取得して保存する手法が拡大。このため、暗号化キーや暗号生成コードが存在せず、さらに暗号化後に消滅するタイプも登場したことで、データ復元は困難をきわめる。

だが、望みがまったくないわけではない。Windows OSでは、Vista以降に搭載されている「以前のバージョン」機能を活用して、システムの復元機能によりバックアップされた復元ポイントから暗号化前のファイルを復旧できる可能性がある。また、Windowsサーバー搭載の「シャドウコピー」機能でも過去のバージョンを取り出せるかもしれない。

これらの機能を有効にしておくことも1つの安全策だろう。ただし、復元ポイントを暗号化や破壊により無効化するランサムウエアもあり、そうしたタイプに感染した場合は復元をあきらめるしかない。やはり、バックアップ環境を整えておくことが重要といえる。