ラムサムウェアとは
ランサムウェアとは、「Ransom(身代金)」と「Malware(マルウェア)」を組み合わせた造語です。コンピュータがラムサムウェアに感染すると、保存されているデータが暗号化されたり、画面がロックされ、それの復旧と引き換えに、金銭が要求をされるなどの被害が発生します。
このような金銭的被害に加え、暗号化あるいは窃取されたデータが組織にとって重要な情報であった場合、業務の遂行に大きな支障が出たり、個人情報漏えいによる信用の失墜や経済的損失につながる恐れがあります。
尚、金銭を支払ってもデータが復旧されるとは限らず、金銭の支払い有無に関わらず、データが暴露されてしまったケースが近年発生しています。また、個人よりも多額の金銭の支払いを見込めるためか、組織が狙われやすい傾向にあります。
攻撃の手口
ランサムウェアの攻撃の手口は、他の標的型攻撃と特に変わるところはなく、メールの添付ファイルを開いたり、ソフトウェアの脆弱性等を悪用されたりすることで感染します。
- メールから感染させる
メールの添付ファイルやメール本文中のリンクを開かせることでランサムウェアに感染させる。 - ウェブサイトから感染させる
予め攻撃者がランサムウェアをダウンロードさせるウェブサイトを用意し、そのウェブサイトを閲覧させることで、ランサムウェアに感染させる。 - 公開サーバに不正アクセスして感染させる
外部公開しているサーバに不正ログインし、ランサムウェアに感染させる。
ランサムウェアの対策
ラムサムウェアによる攻撃は、マルウェアの感染が起点となっているため、基本的には標的型攻撃への対策が有効になります。
但し、通常の標的型攻撃は情報の搾取を目的とするため、マルウェアに感染して実際に搾取されるまでの過程(キルチェーン)は数日から数週間とされますが、ラムサムウェアの場合は感染してすぐに暗号化などが行えるため、被害が出るまでのキルチェーンが短く、対策も難しいとされています。
標的型攻撃の対策
標的型攻撃を防ぐための基本的な対策は以下になります。
- 入口対策
メールおよびウェブのフィルタリングを行う。ネットワークの境界にファイアウォールやIDS/IPSなどのセキュリティ対策を施す。 - エンドポイント対策
PCやサーバにアンチウィルスを導入し、マルウェアの感染を防ぐ。アプリケーション実行制限やポリシ設定の見直しを行う。 - 脆弱性対策
PCやサーバのソフトウェアを最新化する。定期的に脆弱性診断を実施する。 - 従業員への教育、インシデント対応の整備
不審なメールの添付ファイルやURLをクリックしない、管理部門へ連絡する。
その他、情報システムの設計に関する対策は、以下を参照願います。
ランサムウェア特有の対策
ラムサムウェア対策として特に有効なのは、データのバックアップを取ることです。
但し、ラムサムウェアにバックアップ先のデータまで暗号化されないよう、バックアップ先のストレージは通常時には切り離しておく必要があります。リムーバブルディスクやクラウドストレージサービスなどの利用が有効な手段となります。
バックアップ運用の設計では、バックアップの対象、バックアップの頻度などのポリシやスケジュールを定める必要があります。また、バックアップから問題なく復旧できることを定期的に確認するこのも重要です。
留意点
公的な機関からは、ラムサムウェアにより金銭の要求があった場合でも、金銭は支払わないことが推奨されています。これは、たとえ金銭を払ったとしても、復旧できる保証が無いためです。
但し、例外措置として、例えば暗号化されたファイルが人命に関わるなど、金銭を支払わざる得ない場合はあるかと思われます。
また、通常の標的型攻撃の場合は、情報の搾取や漏えいを目的としているためデータの暗号化が有効な対策となりますが、ラムサムウェアでは当てはまらない場合もあります。