ランサムウェアの被害事例と６つの対策方法とは？

みなさんランサムウェアという言葉をご存知ですか？
度々SecurityTIMESでもピックアップしていますが、ランサムウェアはIPAが発表した「情報セキュリティ10大脅威 2019」では組織における脅威第3位にランクインしており、近年注目され続けている脅威の一つです。

ランサムウェアはマルウェアの一種で、身代金要求型ウイルスとも呼ばれます。ランサムとはransom（身代金）を意味しており、このマルウェアは被害者のコンピュータに対して悪意ある動作をし（またはそうすると脅迫し）、この制限を解除するために身代金を支払うことを要求する不正ソフトウェアです。

今回はランサムウェアの被害事例とその対策方法についてご紹介していきます。

最近話題となったWannaCry（またはWannaCrypt）もランサムウェアの一種です。
2017年5月に流行し、まだ記憶に新しい人もいるかもしれません。
WannaCryはWindowsのSMBv1の脆弱性を利用して感染するランサムウェアです。
マイクロソフトから提供されているセキュリティパッチを適用させていないWindowsに感染し、被害が拡大しました。
150カ国23万台以上のコンピュータに感染し身代金を要求しました。

国内の被害状況としては、警察庁の発表によると5月17日17:00時点で21件を把握しているとのことです。
国内の企業で最も大きな被害が出たのは日立製作所の事件です。
社内のメール管理システム、受発注システムに影響が出てしまいました。
http://www.hitachi.co.jp/New/cnews/month/2017/05/0517a.html
WannaCryにはキルスイッチが埋め込まれており、それの発見によって比較的早期段階で収束しました。
それでも爆発的に世界中に広がっただけあり、未だに大きな脅威として人々の記憶に残っているでしょう。

日本でもランサムウェアを作成し、逮捕されるという事件が発生しています。
驚くことにこのランサムウェアを自作したのは大阪の男子中学生でした。
複数の暗号化ソフトを組み合わせて自作したランサムウェアをSNSでシェアしていました。自分の知名度を上げるためといったなんとも中学生らしい動機ではありますが、中学生でも知識とツールさえあればランサムウェアを作成できてしまうということがわかった事件でもあります。
http://www.itmedia.co.jp/news/articles/1706/05/news098.html

2017年10月24日より感染が拡大した新型ランサムウェア「Bad Rabbit」はロシア・ウクライナの企業を中心に広く感染が確認されています。
Bad RabbitはWebサイトからAdobe Flashのインストーラーを偽装した「install_flash_player.exe」をダウンロードさせて感染を広げます。
感染したコンピュータを暗号化し0.05ビットコインを要求するものです。
アイカ工業株式会社のWebサイトもBad Rabbitの被害にあい、Webサイトが改ざんされてしまいました。
感染したネットワークを通じてユーザの関与なしで感染を広げていくことも発覚しています。
現在も拡大を広げており、決定的な対策方法は見つかっていません。

現在進行形で流行しているランサムウェアもありますが、最低限の対策はどのようにすれば良いのでしょうか？

マルウェア対策機能により、侵入したランサムウェアの不正プログラムを検知し、ブロックすることができます。
また、端末に侵入したウイルスはバックグラウンドで動作しているため、ユーザ自身が気づくことは困難です。
そのウイルスなどを発見するためにもウイルス対策ソフトが必要になります。
なお、最新の脅威に対応するため、最新バージョンのパターンファイルを適用しておくことが重要です。

不正Webサイトの次に多い侵入経路として、電子メールが挙げられます。ランサムウェアに感染した添付ファイルを開くと、場合によっては電子メールを開いただけで、不正プログラムがインストールされてしまうこともありえます。
電子メールの添付ファイルに対するウイルス検出機能とスパムメール対策機能を有効にしておくことで、電子メールがユーザに配布される前にブロックします。
サービス提供形態としては、アプライアンス型、ソフトウェア型、クラウド型と様々です。
電子メールサービスに付帯されている場合もあります。

ランサムウェアはセキュリティの脆弱性を狙った攻撃が多く報告されています。
実際に、WannaCryはWindowsの脆弱性（MS17-010）を利用して拡散する機能を持っていました。
セキュリティソフトのアップデートを頻繁に行い脆弱性をカバーする必要があります。
脆弱性が発覚した場合は速やかにセキュリティパッチの適用を行いましょう。

セキュリティソフトを導入したとしても、ランサムウェアを100％ブロック出来るわけではありません。セキュリティベンダーがパターン提供開始前に被害にあった場合はなおさらです。
そこで有効的なのがファイルのバックアップです。ランサムウェアはPCをロックもしくはデータの暗号化を実行し、身代金を要求するという手口です。被害にあったら、そのデータは破棄し、バックアップから戻したデータを復旧します。

ランサムウェアがPCに感染すると、共有フォルダへ侵入しファイルの暗号化を試みますが、感染PCが共有フォルダでの編集・書き込み権限がないと暗号化することが出来ません。そのため各ユーザ毎に適切なアクセス権限を設定することにより、ランサムウェアによる被害を最小限に抑えることが出来ます。

ランサムウェアの主な侵入経路として、不正に改ざんされたWebサイトが第一に挙げられます。ユーザが気付かずに不正Webサイトにアクセスすると、ランサムウェアに感染したドライバを自動的にダウンロードし、そして不正プログラムが実行されます。
なお、表だって動作はしないので、画面上の変化で気付くことは出来ません。ウイルス検知機能で検知される可能性もありますが、100％ではありません。
不正サイトへのアクセス制限をかけておくだけでなく、セキュリティ意識を高める訓練など、２重、３重の防御が必要です。

もしランサムウェアに感染した場合は、すぐに身代金要求に応じるのではなく、落ち着いて以下の点を確認してみましょう。

①ウイルス対策ソフトメーカーから暗号化解除ソフトが公開されているか確認し、公開されている場合はそれを利用します。復号化が明らかになっている暗号化であれば、解除できる可能性があります。

②バックアップが取得できているか確認します。少なくとも重要なデータがバックアップされている場合は、現時点の状態での復旧はあきらめ、OSをクリーンインストールし、バックアップから復旧します。
このように、オフラインでのバックアップ保管はランサムウェアの被害を最小限に抑えるために有効な手段といえます。

ランサムウェアに感染してからでは、解決できない可能性も高いです。
感染をしてから慌てるのでは遅い可能性があるので、感染をしないように対策を行うことが大切です。
自分たちでできることから行なっていきましょう。

Webセキュリティ対策としておススメなのが「WAF」の導入です。

WAFには色々なものがありますが、その中でもクラウド型WAFであれば、コストや手間も少なくセキュリティ対策することができます。

クラウド型のWAFは導入ハードルが極めて低いので、これからWebセキュリティ対策を行う企業様には有力な選択肢となります。WAFを選定する時には、サポート体制や導入実績なども重視して、自社に最適なものを選びましょう。

クラウド型WAF「攻撃遮断くん」は、最新の攻撃パターンにも自動的に対応していくため、セキュリティパッチをすぐに適用できない状況や、定期的に脆弱性診断が出来ない状況でも、セキュアな環境を保てます。

ぜひこの機会にWebセキュリティ対策を見直し、WAFの導入を検討してみてください。

「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。

https://www.shadan-kun.com/

（2017/10/31 執筆、2020/2/4修正・加筆）