ランサムウェアとは?その仕組みと対策のポイント

 2019.10.29  EDR実践ポータル

2017年、「Wannacry(ワナクライ)」というコンピューターウイルスが蔓延し、世界的に甚大な被害を及ぼしたことから「ランサムウェア」の認知度が一気に上昇します。ランサムウェアとは、身代金要求型のコンピューターウイルスであり、端末がこれに感染すると暗号化によりコンピューターの重要ファイル等がロックされ、身代金を支払わない限りロックは解除されません。自力で解除することは事実上不可能とされており、ランサムウェアに感染した端末は身代金を支払うか、初期化するか、あるいはバックアップデータを使用してリカバリする他、救う術はないという非常に危険なコンピューターウイルスです。

独立行政法人のIPA(Information-technology Promotion Agency:情報処理推進機構)が毎年発表している『情報セキュリティ10大脅威』によると、組織部門で第3位の危険度に位置しています。個人部門でも9位にランクインし、その被害はいまだに続いています。

出典:情報セキュリティ10大脅威 2019

本稿では、このランサムウェアについてその概要と特徴について解説し、対策と万が一感染した場合の対処について明示していきます。

ransomware

ランサムウェアとは?

それでは改め、ランサムウェアというコンピューターウイルスについて説明します。ランサム(Ransom)は身代金を意味する言葉で、これにコンピューターウイルスを意味するマルウェア(Malware)を合わせて、ランサムウェア(Ransom-ware)と呼ばれています。これに感染すると、一体どうなってしまうのでしょうか?

まず、端末画面に大きなウィンドウと共に「この端末を暗号化した。解除して欲しければ、身代金を支払え」などのメッセージが表示され、端末内の特定のファイルまたはすべてのファイルがロックされ、読み込めなくなります。要するに、仕事などに必要なファイルが使えなくなるということです。
個人の場合には、思い出の写真やビデオを失ってしまうなどの被害が聞かれました。

端末のロックを解除するにはマルウェア作成者に身代金を払う以外方法はなく、場合によっては非常に多額の身代金が要求されるため、途方に暮れる人も少なくありません。

以下に、これまで大きな被害をもたらしたランサムウェアをご紹介します。

CryptoWall

2014年に最初に発見されたランサムウェアです。Windowsコンピューターを標的としており、同年9月には広告配信ネットワークを悪用するキャンペーンの一環として、配られてしまいました。信頼できるソフトウェアを装うためにデジタル署名が付されており、回避が難しいランサムウェアとして知られています。2015年11月に登場したCryptoWall 4.0は、対策ソフトウェアに検知されにくくする機能が強化され、ファイル内容だけでなくファイル名まで暗号化するようになりました。

Wannacry

2015年5月に出現したランサムウェアであり、「泣きたくなる(Wanna Cry)」という呼称が付くほど、世界中で猛威を振るった新種ランサムウェアの亜種です。これに感染すると、コンピューターやサーバーに置いた重要ファイルが暗号化され、ユーザーはファイルが開けなくなります。Windowsの脆弱性を悪用したものであることから、企業や個人を中心に被害が急激に拡大しました。

Locky

2016年2月に初めて確認された危険性の高いランサムウェアです。2017年9月にはLockyの亜種を拡散する、大規模なスパムメールの送信活動が確認されています。継続して改良が加えられ、拡散方法も変化しているので今後も警戒が必要です。

PETYA

Wannacryと同じくWindowsコンピューターの脆弱性を悪用したランサムウェアであり、甚大な被害をもたらしています。

 

ランサムウェアに有効な対策方法

ランサムウェアは非常に危険度の高いコンピューターウイルスですが、複数の対策を取ることで感染リスクを軽減できます。感染経路別に有効な対策方法をご紹介します。

メール経由による感染

ランサムウェアの感染経路として最も多いのがメールです。攻撃者はそれとは気づかれないような内容でメールを送信し、添付されているファイルを実行するよう指示します。ファイルを実行してしまうと、ランサムウェアに感染してしまうというケースです。

対策として有効なのは、まず不審なメールを開かないことです。件名を確認した身に覚えのないメールに関しては開封すらしないことが大切です。万が一開封したとしても、添付されているファイルは絶対に実行しないようにしましょう。

また、メールのプレビュー表示機能をオフにしておくと、高度なランサムウェアによる感染を防ぐことができます。

Webサイト経由による感染

ランサムウェアの中には、特定のWebサイトにアクセスすることで不正プログラムが自動的にダウンロードされ、端末が感染してしまう種類があります。この場合、まず大切なのは不審なWebサイトにアクセスしないことです。

特に普段見ないようなWebサイトにアクセスする際は、そのWebサイトが安全であるかどうかを十分確認してからアクセスしましょう。エンドポイントセキュリティで提供しているWebフィルタリング等の機能を積極的に使用して、安全性の高いWebサイトだけにアクセスするよう心がけましょう。

さらに、公式サイトではない場所からソフトウェアをインストールする際も、一緒にランサムウェアをダウンロードしてしまう可能性があるため、信頼性の低いソフトウェアはダウンロードしないよう注意してください。

USBフラッシュメモリ等による感染

ネットワークから隔離されているUSBフラッシュメモリから感染?と思うかもしれませんが、組織においては一般的な感染経路として知られています。特に、他者が一度利用したUSBフラッシュメモリにランサムウェアが潜み、次の端末への接続を待っている可能性があるため、高い危険性があります。

組織においてはUSBフラッシュメモリの使用ルールを厳格に設けて、ランサムウェアが感染しないように注意してください。個人的に使用しているUSBフラッシュメモリの場合は、うかつに他者に貸し出さないことをおすすめします。

この他にも、ソフトウェアをいつも最新状態にアップデートしたり、万が一の事態に備えて定期的にデータバックアップを取ったり、基本的な対策を実行することでランサムウェアを効果的に防ぐことができます。

 

ウイルス対策ソフトはもはや対策とは言えない?

多くの企業や組織、そして個人においてアンチウイルスソフトを導入していることでしょう。そして、このランサムウェアもアンチウイルスソフトが検知してくれるから大丈夫と思っている方もいらっしゃるのではないでしょうか。

実はアンチウイルスソフトでは、高度化されたランサムウェアは防げないという実情があります。一般的にアンチウイルスソフトはパターンファイルをもとに、それと合致した場合にのみ検知する仕組みです。つまりパターンファイルが更新されていなかったり、新種のランサムウェアに対応できていなかったりする場合には、ランサムウェアは容易にすり抜けてくるのです。

それでは一体どうすれば良いのでしょうか?

最近では、CrowdStrike Falconなどパターンマッチを利用しないAV/機械学習ベースのマルウェア防御製品が登場しており、それらの製品を導入することで強力なランサムウェアを防御することが可能になっています。

 

万が一ランサムウェアに感染してしまったら?

もしもランサムウェアに感染してしまった場合は、即座にネットワークから端末を隔離してください。多くのランサムウェアは社内ネットワークを経由して他の端末に感染するため、隔離することで被害拡大を防ぎます。その後で、端末に搭載しているセキュリティソフトから駆除を試みてみましょう。

ただし、前述の通りセキュリティソフトによっては対応できない場合もあるため、そのための対策としてデータバックアップを定期的に取っておくことをおすすめします。ランサムウェアに感染する前の状態までリカバリすれば、多少データを失うことはあっても解決します。その際はランサムウェアに感染した原因を事前に特定しておき、同じような被害が発生しないよう対策を取りましょう。EDRが入っていれば、検知しアラートが上がっている場合もあります、経路やプロセスを確認もできます。

いったん落ち着きを見せているように思える大規模ランサムウェア被害ですが、攻撃者は虎視眈々と次の機会を狙っています。標的型で狙いを定めた企業に対するランサムウェア攻撃も増えています。将来的に誰にも発生する可能性のあるランサムウェア被害に対応するために、事前対策を確実にとり、万が一感染した後のことも考慮してセキュリティ環境を構築していきましょう。

CROWDSTRIKE FALCON:エンドポイント保護の新たなスタンダード

脅威ハンティングの最前線
2019年版グローバル脅威レポート: エグゼクティブサマリー

RELATED POST関連記事


RECENT POST「セキュリティ全般」の最新記事


ランサムウェアとは?その仕組みと対策のポイント
セキュリティ侵害を防止する革新的システム

RANKING人気資料ランキング

RECENT POST 最新記事

ブログ無料購読

RANKING人気記事ランキング