「こうして感染する」ランサムウェア感染プロセスと対策~トレンドマイクロ岡野氏に聞く | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.24(木)

「こうして感染する」ランサムウェア感染プロセスと対策~トレンドマイクロ岡野氏に聞く

製品・サービス・業界動向 新製品・新サービス

ランサムウェアによる被害が広がっている。トレンドマイクロ株式会社の調査によれば4人に1人が勤務先の組織・企業が被害を被ったことがあるとし、その6割が身代金の支払いに応じているという

企業規模問わず狙われる可能性があるため、中小企業にとっても大きな脅威となる。本稿では、同社プロダクトマーケティング本部 SMB セキュリティグループのプロダクトマーケティングマネージャーである岡野健人氏にランサムウェアにどのようにして感染するのか、そのプロセスと、その実行的な対策に関して話を聞いた。


●ランサムウェアは企業のセキュリティ意識をどう変えたか

――中小企業のセキュリティ意識は変わりましたか?

はっきり変わったという手応えを感じています。

セキュリティ意識が高くなり、対策の導入が進んでいるのは、日本語のランサムウェアや、企業の法人口座を狙った不正送金の発生などを、経営者の方が自分事としてとらえるようになったからだと思います。大きな金銭被害が新聞やニュースでも取り上げられたことはもちろん、被害の情報が経営者同士のネットワークなどでも広がっています。

――最初にランサムウェアの脅威をおさらいしたいのですが。

ランサムウェアはマルウェアの一種で、感染するとユーザのPCにあるファイルを暗号化して使えなくしてしまい、脅迫文を表示します。その脅迫文には、暗号化したファイルを元に戻す(復号する)ために“身代金”を支払うよう書かれています。昨年流行した「Crypt Locker」というランサムウェアは日本語で表記され、その後世界で猛威を振るった「Locky」では、自身のIPアドレスを隠して匿名で接続する通信システム「Tor」経由や、仮想通貨のビットコインで身代金を支払うよう記載されていました。

基本的に、ランサムウェアによって暗号化されたファイルは暗号化を解除するためのキーがないと復元できません。一部でキーが公開されましたが、復元できるケースは非常にわずかです。暗号化されてしまうと業務が行えなくなってしまい、大きな損害が発生します。データを復旧するには非常に時間がかかり、しかも復号できないケースがほとんどです。

また、身代金を支払えば復号できるかというと、その保証は何もありません。むしろ、身代金を支払ってしまうと、犯罪者にとってその企業の利用価値が上がってしまいます。しかも、その情報は犯罪者間で共有されるので、くり返し被害に遭う可能性があります。オレオレ詐欺をはじめとする特殊詐欺と同じです。このようにランサムウェアは、中小企業にとって大きな脅威なのですが、まだ「私たちは狙われない」と他人事の企業も少なくありません。

●ランサムウェア、その感染プロセス

――どのようにランサムウェアに感染するのですか。

ランサムウェアの主な侵入方法は、不正なメールがきっかけになっています。こうしたメールにはすぐにプログラムを実行するスクリプト(.jsファイル)や、アプリケーションなどで操作を自動実行するマクロを悪用するファイルなどが添付されています。ユーザが添付ファイルをクリックしてしまうと、直後は何も起こりませんが、いずれファイルが暗号化されてしまいます。

スクリプトやマクロは、バックグラウンドでランサムウェア本体をダウンロードし、実行します。その際、ランサムウェアを遠隔から制御するC&C(コントロール&コマンド)サーバに接続し、そこに登録されている暗号化キーを使用します。以前はランサムウェア本体に暗号化キーが入っていたので、検体を入手して分析すればキーがわかりました。しかし現在ではC&Cサーバ上にキーがあるため、検体を入手してもキーがわかりません。

最近のランサムウェアは、感染したPCのハードディスクにあるファイルだけでなく、ネットワークにつながった先の共有フォルダのファイルも暗号化するため、業務に深刻な影響を与えます。また攻撃者は、C&Cサーバに置くファイルを変更することで、あるときはランサムウェア、あるときはオンラインバンキング詐欺ツールなど、別の攻撃を行うこともできます。ランサムウェアによる暗号化プロセスについては、トレンドマイクロのサイトで動画を公開しています

●2つの観点と10種類の多層防御、ランサムウェアに有効な対策とは

――ランサムウェアに有効な対策はありますか

ランサムウェア対策は、「侵入と感染を防ぐ」「万一感染した場合でも被害を最小化する」、大きくこの2つの観点が必要です。

前者は、メール、Web経由の攻撃やエンドポイントに対するセキュリティ対策です。また脆弱性を利用した攻撃も確認されているため、脆弱性対策も有効です。

後者については、ファイル暗号化の被害を低減するためにバックアップが有効です。また、ランサムウェアは感染端末のユーザ権限で活動するため、共有フォルダのアクセス権限を適用することで(利用者と、編集や書き込みの権限を制限)、重要ファイルやフォルダの暗号化リスクを低減できます。

トレンドマイクロでは中小企業向けに、2013年からセキュリティ対策をクラウドサービスで提供する「Security as a Service」を展開しています。クラウド型サービスでは、エンドポイント対策を行う「ウイルスバスタービジネスセキュリティサービス(VBBSS)」、メール/Web対策を行う「Trend Micro Hosted Email Security」「InterScan Web Security as a Service」などを提供しています。

このサービスに昨年新たに、ネットワーク対策としてクラウド型総合ゲートウェイセキュリティアプライアンス「Cloud Edge」の提供を開始しました。アプライアンス製品で、お客様の環境に設置いただき、そこで収集したログをトレンドマイクロのクラウドデータセンターに集積、脅威が検出されると管理者に通知します。

実際の管理は当社パートナーであるマネージドサービスプロバイダ企業が行います。お客様のシステム管理部門を請け負う形になりますので、セキュリティの専任者がいない中小企業に適したサービスとなっています。

――ランサムウェアをどのような仕組みで防ぐのですか。

「Cloud Edge」はアプライアンス製品で、「ファイアウォール」「アプリケーションコントロール」「侵入防止(IPS)」「メールセキュリティ対策」「コンテンツフィルタ」の機能を搭載しています。同時に、クラウドにある「Webからの不正プログラム対策」「Webレピュテーション」「URLフィルタ」「Emailレピュテーション」の機能を活用することができます。これらの機能を活用して多層防御を行います。

不審なメールが届くと、(1)まずウイルス対策のパターンファイルによってスクリプトが見つかったら削除します。(2)スパムメールのブロックも可能です。メールが届かないわけですから、被害に遭いません。ただし、パターンファイルでは見つからないスクリプトもあります。そこで、(3)Webレピュテーションによって、登録されたC&Cサーバからのドライブバイダウンロードをブロックします。

それでもすり抜けるものは、(4)検知エンジン「NCIE」で、C&Cサーバとの不審な通信をブロックします。さらに(5)企業内部にメールが入ってしまい、ユーザが添付ファイルをクリックしてしまっても、スクリプトの動作を検知して止めます。ユーザにはわかりませんが、ログを見るとランサムウェアをブロックしていることがわかります。これらのプロセスも動画で公開しています

エンドポイントまで入ってきた場合は、(6)PCに保存したタイミングで見つける方法もありますし、(7)Webにアクセスする前に見つける方法もあります。さらには(8)不審な変更、たとえば順番にファイルを暗号化し始めたといった挙動監視でもブロックすることができます。この場合はいくつかのファイルが暗号化されてしまいますが「VBBSS」は暗号化されたファイルを自動的に復旧する機能もあります。

このほか、(9)レジストリに不審な変化がないかなど、通常のプログラムがやらないようなことを複数のポイントで監視しています。また、誤検知を防止するためにしきい値を設けています。バックアップについても、(10)感染リスクのあるわずかなファイルのみをバックアップしていますので、バックアップのために大きなストレージが必要になることもありません。


●Cloud Edgeがランサムウェアと中小企業に有効な理由

――「Cloud Edge」の特徴を教えてください。

ゲートウェイに設置するアプライアンス製品で、先ほどご説明した機能以外に、ファイアウォールやIPS機能も搭載するUTMです。大きな特徴として、ハードウェアに依存しない高いスループットで脅威から保護できる点が挙げられます。具体的には、ファイアウォールのスループットが1.7Gbps、ファイアウォールとウイルス対策でも265Mbpsのスループットを実現しています。

「Cloud Edge」は、クラウド型と呼んでいるように、トレンドマイクロのデータセンターに用意しているクラウドスキャンサーバにデータを送ってチェックします。本体でもチェックしますが、分散することでパフォーマンスを落とさずに高いセキュリティを提供できます。なお、製品名の「50/100」は、接続クライアント数になります。また、50は機器を冷却するための送風機のない、静かなファンレス仕様となっています。

また、設定をすべてクラウド上に置いていることも特徴です。お客様自身は「Cloud Edge」にログインしてログを見るのではなく、クラウド上の管理画面にアクセスします。たとえば、出張などオフィス以外の場所でも確認することができるわけです。不正侵入もブロックできますし、マイナンバーのセキュリティ対策にも対応もしています。

――大塚商会や日本事務器などのパートナー企業からサービス提供する理由はなんですか?

中小企業にサービスを提供するには当社が直接行うより、日頃からお客様と信頼関係を持つパートナー企業が窓口となって提案する方が、より幅広くセキュリティを守れると考えたためです。

2016年7月には、新たにリコーでも「Cloud Edge」をベースにしたセキュリティサービスの販売が始まりました。中小企業の業務支援において実績と信頼性をもつパートナー企業との連携で、中小企業の皆様にも最新のセキュリティ対策を利用しやすい環境を広げていきたいと考えています。

各販売店の販売ページでサービス内容や価格をご確認いただけます。中小企業でも負担の少ない価格設定となっており、高価であるイメージは持たれていないと聞きます。

――ありがとうございました。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. ルートゾーンKSKの情報更新など呼びかけ、期限は9月19日まで(総務省)

    ルートゾーンKSKの情報更新など呼びかけ、期限は9月19日まで(総務省)

  2. ネットユーザの1/4が影響する可能性、KSKロールオーバーの特設ページ更新(JPNIC)

    ネットユーザの1/4が影響する可能性、KSKロールオーバーの特設ページ更新(JPNIC)

  3. 3DS「ドラクエXI」に第三者が違法にデータ改ざんしたヨッチ族を確認(スクウェア・エニックス)

    3DS「ドラクエXI」に第三者が違法にデータ改ざんしたヨッチ族を確認(スクウェア・エニックス)

  4. リニューアルされた「JSOC」運用開始前に潜入

  5. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  6. SOC運用ノウハウの反映で攻撃プロセスを可視化、検知後の対応を効率化(PFU)

  7. VMwareのモバイル基盤サービスを自社導入ノウハウ加え提供、働き方改革にも(NEC)

  8. IoT機器向けのセキュリティソリューションで協力(ST)

  9. 顔認証システムの現状、顔写真を使った「なりすまし」も3Dデータ照合で防ぐ

  10. マネージドゲートウェイと併用できるエンドポイントセキュリティサービス(バリオセキュア)

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×