「こうして感染する」ランサムウェア感染プロセスと対策~トレンドマイクロ岡野氏に聞く | ScanNetSecurity
2024.04.24(水)
コンテンツ
注目検索ワード
ホーム 製品・サービス・業界動向 新製品・新サービス 記事

「こうして感染する」ランサムウェア感染プロセスと対策~トレンドマイクロ岡野氏に聞く

ランサムウェアによる被害が広がっている。トレンドマイクロ株式会社の調査によれば4人に1人が勤務先の組織・企業が被害を被ったことがあるとし、その6割が身代金の支払いに応じているという。企業規模問わず狙われる可能性があるため、中小企業にとっても大きな脅威となる。

製品・サービス・業界動向 新製品・新サービス
PR
ランサムウェアによる被害が広がっている。トレンドマイクロ株式会社の調査によれば4人に1人が勤務先の組織・企業が被害を被ったことがあるとし、その6割が身代金の支払いに応じているという

企業規模問わず狙われる可能性があるため、中小企業にとっても大きな脅威となる。本稿では、同社プロダクトマーケティング本部 SMB セキュリティグループのプロダクトマーケティングマネージャーである岡野健人氏にランサムウェアにどのようにして感染するのか、そのプロセスと、その実行的な対策に関して話を聞いた。


●ランサムウェアは企業のセキュリティ意識をどう変えたか

――中小企業のセキュリティ意識は変わりましたか?

はっきり変わったという手応えを感じています。

セキュリティ意識が高くなり、対策の導入が進んでいるのは、日本語のランサムウェアや、企業の法人口座を狙った不正送金の発生などを、経営者の方が自分事としてとらえるようになったからだと思います。大きな金銭被害が新聞やニュースでも取り上げられたことはもちろん、被害の情報が経営者同士のネットワークなどでも広がっています。

――最初にランサムウェアの脅威をおさらいしたいのですが。

ランサムウェアはマルウェアの一種で、感染するとユーザのPCにあるファイルを暗号化して使えなくしてしまい、脅迫文を表示します。その脅迫文には、暗号化したファイルを元に戻す(復号する)ために“身代金”を支払うよう書かれています。昨年流行した「Crypt Locker」というランサムウェアは日本語で表記され、その後世界で猛威を振るった「Locky」では、自身のIPアドレスを隠して匿名で接続する通信システム「Tor」経由や、仮想通貨のビットコインで身代金を支払うよう記載されていました。

基本的に、ランサムウェアによって暗号化されたファイルは暗号化を解除するためのキーがないと復元できません。一部でキーが公開されましたが、復元できるケースは非常にわずかです。暗号化されてしまうと業務が行えなくなってしまい、大きな損害が発生します。データを復旧するには非常に時間がかかり、しかも復号できないケースがほとんどです。

また、身代金を支払えば復号できるかというと、その保証は何もありません。むしろ、身代金を支払ってしまうと、犯罪者にとってその企業の利用価値が上がってしまいます。しかも、その情報は犯罪者間で共有されるので、くり返し被害に遭う可能性があります。オレオレ詐欺をはじめとする特殊詐欺と同じです。このようにランサムウェアは、中小企業にとって大きな脅威なのですが、まだ「私たちは狙われない」と他人事の企業も少なくありません。

●ランサムウェア、その感染プロセス

――どのようにランサムウェアに感染するのですか。

ランサムウェアの主な侵入方法は、不正なメールがきっかけになっています。こうしたメールにはすぐにプログラムを実行するスクリプト(.jsファイル)や、アプリケーションなどで操作を自動実行するマクロを悪用するファイルなどが添付されています。ユーザが添付ファイルをクリックしてしまうと、直後は何も起こりませんが、いずれファイルが暗号化されてしまいます。

スクリプトやマクロは、バックグラウンドでランサムウェア本体をダウンロードし、実行します。その際、ランサムウェアを遠隔から制御するC&C(コントロール&コマンド)サーバに接続し、そこに登録されている暗号化キーを使用します。以前はランサムウェア本体に暗号化キーが入っていたので、検体を入手して分析すればキーがわかりました。しかし現在ではC&Cサーバ上にキーがあるため、検体を入手してもキーがわかりません。

最近のランサムウェアは、感染したPCのハードディスクにあるファイルだけでなく、ネットワークにつながった先の共有フォルダのファイルも暗号化するため、業務に深刻な影響を与えます。また攻撃者は、C&Cサーバに置くファイルを変更することで、あるときはランサムウェア、あるときはオンラインバンキング詐欺ツールなど、別の攻撃を行うこともできます。ランサムウェアによる暗号化プロセスについては、トレンドマイクロのサイトで動画を公開しています

●2つの観点と10種類の多層防御、ランサムウェアに有効な対策とは

――ランサムウェアに有効な対策はありますか

ランサムウェア対策は、「侵入と感染を防ぐ」「万一感染した場合でも被害を最小化する」、大きくこの2つの観点が必要です。

前者は、メール、Web経由の攻撃やエンドポイントに対するセキュリティ対策です。また脆弱性を利用した攻撃も確認されているため、脆弱性対策も有効です。

後者については、ファイル暗号化の被害を低減するためにバックアップが有効です。また、ランサムウェアは感染端末のユーザ権限で活動するため、共有フォルダのアクセス権限を適用することで(利用者と、編集や書き込みの権限を制限)、重要ファイルやフォルダの暗号化リスクを低減できます。

トレンドマイクロでは中小企業向けに、2013年からセキュリティ対策をクラウドサービスで提供する「Security as a Service」を展開しています。クラウド型サービスでは、エンドポイント対策を行う「ウイルスバスタービジネスセキュリティサービス(VBBSS)」、メール/Web対策を行う「Trend Micro Hosted Email Security」「InterScan Web Security as a Service」などを提供しています。

このサービスに昨年新たに、ネットワーク対策としてクラウド型総合ゲートウェイセキュリティアプライアンス「Cloud Edge」の提供を開始しました。アプライアンス製品で、お客様の環境に設置いただき、そこで収集したログをトレンドマイクロのクラウドデータセンターに集積、脅威が検出されると管理者に通知します。

実際の管理は当社パートナーであるマネージドサービスプロバイダ企業が行います。お客様のシステム管理部門を請け負う形になりますので、セキュリティの専任者がいない中小企業に適したサービスとなっています。

――ランサムウェアをどのような仕組みで防ぐのですか。

「Cloud Edge」はアプライアンス製品で、「ファイアウォール」「アプリケーションコントロール」「侵入防止(IPS)」「メールセキュリティ対策」「コンテンツフィルタ」の機能を搭載しています。同時に、クラウドにある「Webからの不正プログラム対策」「Webレピュテーション」「URLフィルタ」「Emailレピュテーション」の機能を活用することができます。これらの機能を活用して多層防御を行います。

不審なメールが届くと、(1)まずウイルス対策のパターンファイルによってスクリプトが見つかったら削除します。(2)スパムメールのブロックも可能です。メールが届かないわけですから、被害に遭いません。ただし、パターンファイルでは見つからないスクリプトもあります。そこで、(3)Webレピュテーションによって、登録されたC&Cサーバからのドライブバイダウンロードをブロックします。

それでもすり抜けるものは、(4)検知エンジン「NCIE」で、C&Cサーバとの不審な通信をブロックします。さらに(5)企業内部にメールが入ってしまい、ユーザが添付ファイルをクリックしてしまっても、スクリプトの動作を検知して止めます。ユーザにはわかりませんが、ログを見るとランサムウェアをブロックしていることがわかります。これらのプロセスも動画で公開しています

エンドポイントまで入ってきた場合は、(6)PCに保存したタイミングで見つける方法もありますし、(7)Webにアクセスする前に見つける方法もあります。さらには(8)不審な変更、たとえば順番にファイルを暗号化し始めたといった挙動監視でもブロックすることができます。この場合はいくつかのファイルが暗号化されてしまいますが「VBBSS」は暗号化されたファイルを自動的に復旧する機能もあります。

このほか、(9)レジストリに不審な変化がないかなど、通常のプログラムがやらないようなことを複数のポイントで監視しています。また、誤検知を防止するためにしきい値を設けています。バックアップについても、(10)感染リスクのあるわずかなファイルのみをバックアップしていますので、バックアップのために大きなストレージが必要になることもありません。


●Cloud Edgeがランサムウェアと中小企業に有効な理由

――「Cloud Edge」の特徴を教えてください。

ゲートウェイに設置するアプライアンス製品で、先ほどご説明した機能以外に、ファイアウォールやIPS機能も搭載するUTMです。大きな特徴として、ハードウェアに依存しない高いスループットで脅威から保護できる点が挙げられます。具体的には、ファイアウォールのスループットが1.7Gbps、ファイアウォールとウイルス対策でも265Mbpsのスループットを実現しています。

「Cloud Edge」は、クラウド型と呼んでいるように、トレンドマイクロのデータセンターに用意しているクラウドスキャンサーバにデータを送ってチェックします。本体でもチェックしますが、分散することでパフォーマンスを落とさずに高いセキュリティを提供できます。なお、製品名の「50/100」は、接続クライアント数になります。また、50は機器を冷却するための送風機のない、静かなファンレス仕様となっています。

また、設定をすべてクラウド上に置いていることも特徴です。お客様自身は「Cloud Edge」にログインしてログを見るのではなく、クラウド上の管理画面にアクセスします。たとえば、出張などオフィス以外の場所でも確認することができるわけです。不正侵入もブロックできますし、マイナンバーのセキュリティ対策にも対応もしています。

――大塚商会や日本事務器などのパートナー企業からサービス提供する理由はなんですか?

中小企業にサービスを提供するには当社が直接行うより、日頃からお客様と信頼関係を持つパートナー企業が窓口となって提案する方が、より幅広くセキュリティを守れると考えたためです。

2016年7月には、新たにリコーでも「Cloud Edge」をベースにしたセキュリティサービスの販売が始まりました。中小企業の業務支援において実績と信頼性をもつパートナー企業との連携で、中小企業の皆様にも最新のセキュリティ対策を利用しやすい環境を広げていきたいと考えています。

各販売店の販売ページでサービス内容や価格をご確認いただけます。中小企業でも負担の少ない価格設定となっており、高価であるイメージは持たれていないと聞きます。

――ありがとうございました。
《ScanNetSecurity》

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

Linux の GSM ドライバにおける Use-After-Free の脆弱性(Scan Tech Report) 画像

Linux の GSM ドライバにおける Use-After-Free の脆弱性(Scan Tech Report)
Armeria-saml に SAML メッセージ取り扱い不備 画像

Armeria-saml に SAML メッセージ取り扱い不備
LINE client for iOS にサーバ証明書の検証不備の脆弱性 画像

LINE client for iOS にサーバ証明書の検証不備の脆弱性
Adobe ColdFusion の脆弱性を悪用し webshell が設置される被害 画像

Adobe ColdFusion の脆弱性を悪用し webshell が設置される被害
PuTTY SSH クライアントの ECDSA 署名処理の実装に脆弱性 画像

PuTTY SSH クライアントの ECDSA 署名処理の実装に脆弱性
WordPress 用プラグイン Forminator に複数の脆弱性 画像

WordPress 用プラグイン Forminator に複数の脆弱性

インシデント・事故 記事一覧へ

タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に 画像

タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に
LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導 画像

LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導
Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に 画像

Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に
笛吹市商工会へのサポート詐欺被害、調査結果公表 画像

笛吹市商工会へのサポート詐欺被害、調査結果公表
「相鉄ポイント」引き継ぎで会員情報を取り違え、他の顧客の個人情報が閲覧可能に 画像

「相鉄ポイント」引き継ぎで会員情報を取り違え、他の顧客の個人情報が閲覧可能に
NDIソリューションズの RAG サービスに不正アクセス、個人情報を格納するサービスへの痕跡は確認されず 画像

NDIソリューションズの RAG サービスに不正アクセス、個人情報を格納するサービスへの痕跡は確認されず

調査・レポート・白書・ガイドライン 記事一覧へ

2024年第1四半期「JVN iPedia」登録状況、最多アクセスは WordPress 用プラグイン WordPress Quiz Maker Plugin における不適切な入力確認の脆弱性 画像

2024年第1四半期「JVN iPedia」登録状況、最多アクセスは WordPress 用プラグイン WordPress Quiz Maker Plugin における不適切な入力確認の脆弱性
国内カード発行会社のドメイン毎の DMARC 設定率 36.2%「キャッシュレスセキュリティレポート(2023年10-12月版)」公表 画像

国内カード発行会社のドメイン毎の DMARC 設定率 36.2%「キャッシュレスセキュリティレポート(2023年10-12月版)」公表
社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表 画像

社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表
セキュリティにおける効果は実感できるのか ~ SECURITY ACTION 宣言「得られた効果はない」最多 画像

セキュリティにおける効果は実感できるのか ~ SECURITY ACTION 宣言「得られた効果はない」最多
セキュリティ対策は株価を上げるのか ~ 株主総利回り(TSR)の平均値は高い傾向 画像

セキュリティ対策は株価を上げるのか ~ 株主総利回り(TSR)の平均値は高い傾向
被害額オレオレ詐欺の3倍 時間かけ信頼醸成「SNS型投資詐欺」~トビラシステムズ独自調査 画像

被害額オレオレ詐欺の3倍 時間かけ信頼醸成「SNS型投資詐欺」~トビラシステムズ独自調査

研修・セミナー・カンファレンス 記事一覧へ

スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談 画像

スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談
ガートナー クラウドクッキング教室 ~ CCoE 構築の重要性 画像

ガートナー クラウドクッキング教室 ~ CCoE 構築の重要性
Reject 運用のポイント他 ~ 日本プルーフポイント「DMARC Conference 2024」5 月末 大手町で開催 画像

Reject 運用のポイント他 ~ 日本プルーフポイント「DMARC Conference 2024」5 月末 大手町で開催
韓国の 2024年 セキュリティ市場規模 8,000 億円見込 ~ SECON & eGISEC 2024 開催 画像

韓国の 2024年 セキュリティ市場規模 8,000 億円見込 ~ SECON & eGISEC 2024 開催
エーアイセキュリティラボ、脆弱性診断の自動化・内製化のための無料ツールと AI 活用解説 4/18 セミナー開催 画像

エーアイセキュリティラボ、脆弱性診断の自動化・内製化のための無料ツールと AI 活用解説 4/18 セミナー開催
中高生サイバーセキュリティ競技会「CyberSakura」第3回、京都府立嵯峨野高等学校 チーム「HEXAGON」優勝 画像

中高生サイバーセキュリティ競技会「CyberSakura」第3回、京都府立嵯峨野高等学校 チーム「HEXAGON」優勝

製品・サービス・業界動向 記事一覧へ

SHIFT SECURITY、OWASP Top10 for LLMs に基づいた「生成AI活用システム診断」リリース 画像

SHIFT SECURITY、OWASP Top10 for LLMs に基づいた「生成AI活用システム診断」リリース
情報処理学会、高等学校情報科の全教科書の用語リスト公開 画像

情報処理学会、高等学校情報科の全教科書の用語リスト公開
脆弱性診断自動化ツール「AeyeScan」の SSO 機能が SAML 認証に対応 画像

脆弱性診断自動化ツール「AeyeScan」の SSO 機能が SAML 認証に対応
セキュリティ診断会社と開発会社が業務提携 ~ SHIFT SECURITY とフォージビジョン 画像

セキュリティ診断会社と開発会社が業務提携 ~ SHIFT SECURITY とフォージビジョン
賞金総額 1 万ドル「LINE CTF 2024」GMOイエラエ 国内 1 位 画像

賞金総額 1 万ドル「LINE CTF 2024」GMOイエラエ 国内 1 位
警察庁、サイバー事案通報の統一窓口を設置 画像

警察庁、サイバー事案通報の統一窓口を設置

おしらせ 記事一覧へ

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です) 画像

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です)
人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典] 画像

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]
Scan PREMIUM 創刊25周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊25周年記念キャンペーン実施中
ScanNetSecurity 創刊25周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊25周年御礼の辞(上野宣)
小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄 画像

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄
「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ 画像

「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×