先月日本でも大きな被害を及ぼしたランサムウェア「WannaCry」は記憶に新しいですが、

6月27日にも世界的規模で新たなランサムウェア「GoldenEye」による被害が報告されています。

特にウクライナでは官公庁、銀行、空港や送電システム等に大きな混乱が生じています。

このようにランサムウェアによるサイバー攻撃は絶えず続いており、

個人・企業ともにランサムウェアに対する対策は急務となっております。

今回はランサムウェアの攻撃方法とその対策について解説いたします。

本記事はこちらよりPDFにてご覧頂けます。

【続報】注意喚起:ランサムウェアが世界中で猛威「GoldenEye」

1.概要

 5月に大きく報道されたランサムウェア「WannaCry」による被害に続き、6月27日にも世界的な規模で「GoldenEye」と呼ばれるランサムウェアによる被害が報告されています。特にウクライナでは官公庁、銀行、空港や送電システム等に大きな混乱が生じています。チェルノブイリ原発では放射線監視システムが影響を受け、手動での監視を余儀なくされています。このようにランサムウェアによるサイバー攻撃は絶えず続いており、個人・企業ともにランサムウェアに対する対策は急務となっております。今回はランサムウェアの攻撃方法とその対策について解説いたします。

 

2.ランサムウェア「GoldenEye」について

 ランサムウェア(Ransomware)はマルウェアの一種です。感染した端末をロックしたり、データを暗号化したりすることで、ユーザーの端末を利用できない状態にし、復旧と引換えに身代金(ransom)の支払いを要求します。

  今回猛威を奮っているランサムウェア「GoldenEye」については、IPAの情報によると「OS (オペレーティングシステム)を読み込むための領域を破壊する「Petya(ペトヤ/ペチャ)」と呼ばれるマルウェアの亜種であると考えられます。」と公開されています。「WannaCry」はPCやサーバー上のファイルを暗号化しますが、今回の「GoldenEye」では「Petya」の特徴であるPCの起動時に読み込まれるMBR(マスターブートレコード)と、ファイルやフォルダの属性等のファイルの管理情報が格納されているMFT(マスターファイルツリー)を暗号化することで、PCを起動不能状態にします。「GoldenEye」では暗号化が完了すると強制的に再起動され、300ドル(約3万3千円)相当のビットコインで身代金を要求する画面が表示されます。攻撃者の口座にはすでに複数の入金が確認されており、金銭的な被害も明らかとなっております。2017年6月29日時点で国内での被害報告はありませんが、今後被害発生の可能性があります。感染経路の特定もされていません。

 「GoldenEye」はMicrosoft社 の製品の脆弱性(MS17-010、CVE-2017-0199)を悪用しているとみられており、1 台が感染するとネットワーク経由で複数のコンピュータに感染が広がる可能性があります。「MS17-010」は「WannaCry」発生時にも使われた脆弱性です。すでに対応は進んでいると思いますが、今一度システム内でアップデートが確実に行われているか確認することを推奨いたします。また、「CVE-2017-0199」は2017年4月に公開されたMicrosoft Officeの脆弱性です。なお、「GoldenEye」によって暗号化されたファイルを復号する方法、ツールは確認されていません。

 

 (参考情報)

  ■IPA 「更新:感染が拡大中のランサムウェアの対策について

  ■「MS17-010

  ■「CVE-2017-0199

   

3.ランサムウェアの攻撃方法と対策

 今後も新たなランサムウェアが次々と発生し、猛威をふるう可能があります。一般的な攻撃方法と対策を以下の通りご紹介します。

 

 (1)攻擊パターン

  ランサムウェアの攻撃は、大きく分けて3つのステップで行われます。

  ①感染・拡散

   主にメールや、Webサイトを介した感染と、脆弱性が悪用され感染するケースがあります。また、感染したPCからネットワークを経由しランサムウェアを拡散し、感染を拡大するものもあります。

メール

メールに記載されたリンクのアクセスや、添付ファイルを開封することで感染します。

Webサイト

改ざんされたWebサイトにアクセスすることで感染します。

脆弱性の悪用

OSやアプリケーションの脆弱性が悪用されることで感染・拡大します。

  ②PCのロック・ファイルの暗号化

   感染すると、PCをロックし操作不能にしたり、そのPCやサーバー上のファイルを暗号化し開けなくします。

  ③身代金要求

   PCのロックもしくはデータの暗号化が完了すると、身代金の要求を通知します。通知方法は様々で、デスクトップの壁紙を利用したり、テキストファイルをデスクトップに配置したりするものがあります。

 

 (2)対策方法

  ランサムウェアによる被害を抑える対策としては、感染を防ぐ対策と、感染後の被害を抑える対策があります。日頃から下記の対策を徹底することが重要となります。

  ①感染を防ぐ対策

ソフトウェアの最新化

OSやアプリケーションの修正プログラムを適用し最新化することで脆弱性を解消する。

セキュリティ対策ソフト

ランサムウェアの検知や、不正サイトへのアクセス制限の機能を利用する。

セキュリティ知識・意識の向上

不審なメールや添付ファイルを開封したり、不審なサイトにアクセスしないようにする。

不用意な操作を行わないよう日々の訓練も有効です。

 

  ②感染後の被害を抑える対策

ネットワークから分離

感染を発見した際は、拡散に利用されている可能性もある為、即座にLANケーブルを抜く等、PCをネットワークから分離する。

身代金を払わない

復旧の保証は無い為、身代金は払わない。身代金を払うと、攻撃者に資金を与えてしまうことにもなり、お金を払うユーザーとみなされ、別の攻撃の標的にされる可能性もある。

バックアップを取得

暗号化されたデータを復旧できるよう定期的にバックアップを取得する。また、バックアップはPCからアクセス可能なサーバー以外にも別のネットワークのサーバーや外部メディアにバックアップをすることで、バックアップを暗号化されないよう守ることも重要です。

 

 

5. SecureSoft i-コンテナ / SecureSoft mamoret 活用によるランサムウェアの対策

 上記の対策に加えて、SecureSoftが提供するエンドポイントセキュリティ製品SecureSoft i-コンテナ/mamoretを活用することで、ランサムウェアを始めとするマルウェア等の被害から重要なデータを守ることが可能です。

 

 ・SecureSoft i-コンテナは、PC上にインターネット接続専用環境と通常業務環境の分離を実現するソリューションです。
 ・SecureSoft mamoretは、セキュアブラウジングに特化したソリューションです。

 

 i-コンテナ/ mamoretを活用して以下の構成を取ることで、ランサムウェアの被害を回避することが可能です。

 

【構成条件と攻撃への対処ロジック】

 1.インターネット接続専用環境側で、メール受信をWebブラウザメール利用とする。
   悪質なランサムウェアが添付されたメールのファイルを開いたり、不正サイトからランサムウェアをダウンロードした場合においても、i-コンテナ/ mamoretにより分離されたインターネット接続専用環境だけが攻撃対象となり、通常業務環境に被害が発生しません。
   さらに、i-コンテナ/ mamoretの仮想ドライブ初期化機能により、ランサムウェア自体が削除されるため、安全が確保されます。

 

 2.大事な業務データは通常業務環境側での利用・保管・管理とする。
   i-コンテナ/ mamoretの機能により、通常業務環境側のデータ領域と、i-コンテナ/ mamoretによるインターネット利用のデータ領域は分離されるため、万が一、ランサムウェアがi-コンテナ/ mamoret内に侵入しても、通常業務環境のデータを暗号化することができません。

 

 

【図1】i-コンテナ環境に侵入したランサムウェアの分離イメージ

 

【図2】mamoretのセキュアブラウジング環境に侵入したマルウェアの隔離イメージ

 ※SecureSoftコンテナ シリーズについての詳しい内容は、こちらをご参照ください。