Intel SecurityはMcAfee Labs脅威レポート: 2014年11月 において、2015年に発生し得る9つの主な脅威を予測しました。ランサムウェアについては、「ランサムウェアが拡散方法や暗号化の方法を進化させ、攻撃対象を広げる可能性がある」と述べています(訳注:ランサムウェアとは、マルウェアの一種です。ユーザーのコンピューター内のデータを暗号化するなどの方法を使って、データを「人質」にとり、解除するために”身代金, Ransom, ランサム”を要求するといった脅迫活動を行います)。
その後すぐにランサムウェアの大幅な増加が見られるようになりました。特にCTB-Lockerファミリー、その後に続くCryptoWallの新バージョン、およびTorrentLockerが増加しており、BandarChorも急増しています。また、第1四半期には、新しいファミリーであるTeslacryptおよびVaultcryptも浮上してきました。
最も有名なランサムウェアファミリーであるCryptoLockerは、2013年9月に登場しました。その当時の形式のCryptoLockerは、主な配布手段の1つであるGameOver Zeusネットワークの壊滅により、2014年5月に阻止されました。現在、最も普及しているランサムウェアファミリーはCryptoWall(バージョン2および3)、TorrentLockerバージョン2、およびCTB-Lockerです。(McAfee LabsはMcAfee Labs脅威レポート: 2014年8月 において、CryptoLocker、GameOver Zeus、およびその壊滅について分析しています。)
ランサムウェアファミリーの多くは、犠牲者とセキュリティ業界を誤解させるためにCryptoLockerという名前を使用してきました。TeslaCryptなど一部のファミリーは、CryptoLockerのコードに基づいています。それ以外のランサムウェアファミリー(たとえば最初に発見されたときのCryptoWall)は、CryptoLockerでもその派生でもないのに、その「身代金要求」画面に「CryptoLocker」という名前が表示されます。さまざまなセキュリティベンダーが検出した名前が入り乱れることで、ユーザーがさらに混乱する事態になっています。
- データの回復
ランサムウェアについて最もよく聞かれる質問は、「暗号化されたデータを回復できますか」です。身代金を支払って犯人から秘密鍵を受け取らない限り、その答は通常「いいえ」です。ランサムウェアの秘密鍵は犯人のサーバーに保存されており、そのサーバーまたはそのコピーへのアクセス権がない限り、秘密鍵を手に入れる方法はありません。
たまには、壊滅作戦を実行する法執行機関がランサムウェア攻撃の制御サーバーの停止に成功することもあります。秘密複合鍵が保存されているデータベースに当局がアクセスできれば、暗号化されたファイルの回復ツールを作成できます。最近、オランダの国家ハイテク犯罪センター(National High Tech Crime Centre)がCoinVaultランサムウェアファミリーを指揮していた制御サーバーを停止させました。この犯罪センターはKasperskyと協力して、回復ツールを作成しました。
場合によっては、ファイルを回復できることもあります。Windowsの[システムの復元]オプションが有効になっていれば(ほとんどのシステムではデフォルトで有効になっています)、シャドウボリュームのコピーからファイルを回復できます。VSSとも呼ばれるシャドウボリュームコピーサービスは、ファイルの使用中でも手動または自動ファイルバックアップを実行する技術です。Windows XPからWindows 7までとWindows Server 2008では、ボリュームシャドウコピーサービスとして実装されています。
Windows 8、Windows Server 2003、Windows Server 2003 R2、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012の場合は、組み込みの”Vssadmin list shadows”コマンドを使用すれば、当該ボリュームについて使用可能なコピーのリストが表示されます。コマンドラインを使用してVSSコピーをマウントしたり、ファイルを参照して選択するには、さまざまな方法があります。また、ボリュームシャドウコピーを参照するために使用できるさまざまなオープンソースツールも存在します。これらのツールをどれか使用して、ランサムウェアによって暗号化されたファイルを復元できる可能性もあります。
- ランサムウェアを防ぐための安全規範
McAfee Labsはインテリジェンス フィードを厳重に監視することにより、ほとんどのランサムウェア攻撃の一歩先を行っています。これにより、ほとんどのランサムウェアを実行前に検出して停止することが可能になっています。これは、ビットコインが犯罪者のポケットにいっさい流れ込まないということも意味しています(訳注: 「身代金」の振り込みに、ビットコインが利用されることが多いため)。
以下のような方針および手順が有効です。
* データをバックアップする。これは当然のように思えますが、実際にはバックアップがとられていないケースや、バックアッププロセスが未テストで機能しなかったケースが数多くあります。リムーバブルストレージは、広く普及している安価で使いやすいデバイスです。ホームユーザーは、バックアップを作成し、デバイスを取り外して安全な場所に保管する必要があります。クラウドベースのバックアップサービスの場合は、被害者のエンドポイントが暗号化されたファイルをクラウドにもコピーする可能性があることに注意する必要があります。一部のクラウドベースのバックアップサービスは、ファイルの最新バージョンを復元します。
* ユーザーの意識を高める教育を継続的に実施する。ほとんどのランサムウェア攻撃はフィッシングメールから始まるため、ユーザーの意識を高めることが非常に重要かつ必要です。統計によれば、攻撃者が送信する電子メール10件のうち少なくとも1件が成功することが明らかになっています。未検証または未知の送信者からの電子メールや添付ファイルは開かないでください。
* スパム対策を採用する。ほとんどのランサムウェア攻撃は、リンクや特定のタイプの添付ファイルを含むフィッシングメールから始まります。ランサムウェアが.scrファイルや他の一般的でないファイル形式にパックされたフィッシング攻撃の場合は、それらの添付ファイルをブロックするスパムルールをMcAfee Email Gatewayを使用して簡単に設定できます。.zipファイルの通過が許可されている場合は、.zipファイルを少なくとも2レベルまでスキャンして悪意のある内容が含まれていないかどうかをチェックしてください。
* ポリモーフィック型ランサムウェアから保護する。ランサムウェアの最悪の亜種は、CryptoLockerを始めとするポリモーフィック型(訳注:ファイルに感染するときに、自身をランダムな暗号化コードで書き換えて、暗号化するウイルス)です。ポリモーフィック型は、従来のマルウェア対策技術による阻止が非常に難しいタイプです。しかし、McAfee Threat Intelligence Exchangeは、ファイルの新しさを脅威の指標として使用することにより、ポリモーフィック型などの脅威を阻止できるように設計されています。ファイルが環境にとって新しいことを認識し、それを他の振る舞い検知技術と組み合わせることで、McAfee Threat Intelligence Exchangeはポリモーフィック型ランサムウェアを阻止できます。
* エンドポイントを保護する。McAfee VirusScan Enterpriseエンドポイント保護とその高度な機能を使用します。多くの場合、クライアントはデフォルト機能だけが有効化された状態でインストールされます。たとえばTempフォルダから実行される実行ファイルをブロックする機能など、いくつかの高度な機能を実装すれば、より多くのマルウェアを検出してブロックできます。さらに、デイリーマルウェア対策定義ファイル(DAT)によって常に最新の状態を保てます。McAfee Labsは24時間体制で働いてランサムウェアを特定し闘っていますが、その努力の価値が発揮されるのは最新のDATが導入されている場合だけです。
* 望ましくないか不要なプログラムおよびトラフィックをブロックする。匿名で通信するためにランサムウェアでよく使用されるTorをブロックすることは、McAfee Network Security PlatformやMcAfee Next Generation FirewallなどのMcAfeeネットワークセキュリティ製品にとって簡単な仕事です。Torをブロックすると、多くの場合ランサムウェアが制御サーバーからRSA公開鍵を取得できなくなるため、ランサムウェアによる暗号化プロセスが阻止されます。McAfeeのネットワークセキュリティ製品を使用していない場合は、McAfeeのEndpoint Intelligence Agentが有用な代替手段となります。Endpoint Intelligence Agentはエンドポイントで動作し、悪意のある送信トラフィックとそれに関連付けられたアプリケーションを特定します。
* 最新のシステムパッチを適用する。ランサムウェアがよく悪用する脆弱性の多くはパッチによって修正できます。オペレーティングシステム、Java、Adobe Reader、Flash、およびアプリケーションに対して、常に最新のパッチを適用してください。パッチ適用手順を確立し、パッチが正しく適用されたかどうかを検証してください。McAfee Vulnerability Managerは、信頼できるネットワーク内の脆弱性を突き止めるのに役立ちます。
まもなく発行されるMcAfee Labs脅威レポート: 2015年5月で、McAfee Labsはランサムウェアと第1四半期における攻撃数の大幅な増加について考察します。引き続きご注目ください。このランサムウェア戦争のエピソードは始まったばかりです。
【参考】
ランサムウェアに関する企業向けソリューション概要
ランサムウェアから大切なデータを守る
※本ページの内容は McAfee Blog の抄訳です。
原文: Advice for Unfastening CryptoLocker Ransomware
著者: ダン・ラーソン
![[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス](https://blogs.trellix.jp/wp-content/uploads/2018/03/クラウドとビジネス.png)