相変わらず猛威をふるうランサムウェア、感染経路を把握することで、どのような対策が有効か見えてきます。ランサムウェアを理解するための前提知識として、ご参考ください。
目次
1. ランサムウェアの主要な感染経路
ランサムウェアの主要な感染経路は、他のマルウェアと同様にフィッシングメールや悪意あるサイトからの感染が多いようです。
1-1 メール経由
ランサムウェアの大部分はメールでの感染経路です。ランサムウェアに限らず、メールは社外・社内でのコミュニケーションの主要なツールなので攻撃対象になりやすいといえます。同時に、攻撃対象の偽装メールと判断できれば未然に防ぐことができます。以下のようなメールが送られてきた場合は注意して、メールに添付されているファイルや、URLリンクに安易にアクセスしないように気を付けましょう。
・通常メールのやり取りのない企業からのメール、普段メールのやり取りのない組織幹部からのメール
・無料のメールアカウントからのメール
・件名、本文、添付ファイル名の日本語が変だったり、漢字の選び方が間違っているメール
・本文中に部署や電話番号を記した署名がない (ここでの署名とは電子署名ではない) メール
・件名に「緊急」など、ことさらに添付ファイル開封を促すメール
・日頃メールでやり取りすることの無い種類のファイルが添付されているメール
<参考>不審なメールの見分け方(PDF)– 「標的型攻撃対策手法に関する調査報告書」JPCERTコーディネーションセンター
実際のメール内容の例は、フィッシング対策協議会のニュースに具体的な例がありますので、参考にしてみてください。読み手側の心理を突いて、アクションを喚起させる内容です。
また、メールの添付ファイルに関しては、受信時に添付ファイルの属性が把握できるようなメール受信設定にしておきましょう。メール内にあるURLも怪しい URL リンクはクリックしないように注意しましょう。
さらに、社内での教育、疑似演習を行うことで社内のセキュリティ意識の向上を図ることも効果的です。
1-2 SNSのリンク
通常のメール経由だけではなく、TwitterやFacebook上で、URLリンクを共有することで、悪意あるサイトや一部改ざんした正規サイトなどへ誘導して感染をねらう場合もあります。短縮URLや、怪しい投稿のURLリンクをクリックしないように注意しましょう。
実在の人物・組織の名前を使った偽のアカウントや、架空のアカウントで投稿されているケースもあります。偽のアカウントや架空のアカウントを悪用して、不正リンクの投稿などが行われる事例もありますので、SNSで関わるアカウントの相手が本物であるかどうかは慎重に確認しましょう。まず公式アカウントが存在するかを、それぞれの機関のホームページなどで確認してみるとよいでしょう。知人や公式アカウント以外のアカウントで、本人確認ができない場合は、注意しましょう。
1-3 ウェブからのダウンロードファイル
悪意あるサイトや一部侵害された正規サイトにアクセスすると様々な攻撃を受ける可能性があります。サイトにアクセスしてファイルをダウンロードし、端末でダウンロードファイルを開いたら際に感染する可能性があります。また、サイトにアクセスした際に、様々な脆弱性を狙ってダウンロードを仕掛けてくるドライブバイダウンロード攻撃などで、端末の様々な脆弱性を想定した攻撃を受けて、該当した場合に感染してしまう可能性もあります。組織や環境によって異なりますが、ゲートウェイレベルや端末レベルで、不正なサイトへのアクセスをブロックするコンテンツフィルタリング対策の導入を検討しましょう。
1-4 ソフトウェアのアップデート機能の侵害、偽装
Petya の感染ケースでは、ソフトウェアのアップデート機能を侵害して感染した可能性もあげられています。
<参考>ソフトウェアのアップデートを装う標的型攻撃(PDF)-【緊急レポート】ランサムウエア「Petya」亜種の大規模感染について v1.1 株式会社NTTデータ
アップデートを提供する側も、提供サーバーやアプリケーションの脆弱性に注意を払って、OSやアプリケーションを最新の状態、もしくはどこに脆弱性があるかを把握したうえでの代替策 (ネットワーク監視等を強化検討するなど) を行う必要があります。様々なシステムの開発元から提供される脆弱性への修正パッチがリリースされた直後、攻撃者側は準備を始めます。その準備期間よりも早いタイミングで修正パッチを適用することが重要な対策になります。WannaCry が世界的に大感染する前に、脆弱性への修正パッチはリリースされていたことからも、様々な脆弱性への迅速な対応が求められています。(参照:2017年 最も悪質な大規模感染「WannaCry」から学ぶ今後の教訓)
脆弱性を悪用した攻撃のタイミング [既知の脆弱性を悪用した攻撃]
1-5 ネットワーク経由
ネットワークでのファイル共有システム等の脆弱性を狙って感染する場合もあります。WannaCry の場合は、主にファイルとプリンターの共有に利用されるプロトコルの脆弱性を突いて被害が拡散しました。OSの脆弱性をついたランサムウェアとワームの組み合わせで、瞬く間に感染が拡がりました。
感染経路の1つとして、インターネットに公開されたサーバー等の脆弱性を狙った攻撃の可能性が挙げられます。組織として外部に公開されたIPアドレスやオープンにされたシステム等で、外部からの攻撃に対して堅牢なサーバーにする状態を維持することや、ネットワークトラフィックの監視や調査も重要です。
WannaCryの仕組みや、感染経路などの詳細を知りたい場合は「2017年7月 McAfee Labs 脅威レポート(PDF)」を参照ください。
1-6 物理的なデバイス経由
PCのUSBポート等を経由して感染するケースもあります。USBメモリやSDなどのデバイスに感染ファイルを忍び込ませて、端末に侵入することもあります。不審なUSBメモリ、メディア、マルウェアチェックがされていないデバイスなどの利用は避け、組織で利用ルールを設けて、安全が確保されたデバイスのみの利用に限定しましょう。PCのポートやデバイスを制御する仕組みを導入することも効果的な対策です。
2. それでも感染してしまった場合
すでに感染してしまった場合、ファイルやハードディスクが暗号化されてしまっています。一部のランサムウェアに対して、復号可能なツールが公開されています。感染してしまい、僅かでも暗号化されたファイル等を元に戻せる可能性もありますので、興味ある方は、No More Ransomサイトを参考にしてみてください。当ブログにも関連した説明記事もありますので、参考になれば幸いです。
ランサムウェアに感染してしまうことを想定して、データファイルのバックアップを定期的に行うことも重要です。
また、ランサムウェア対策として、エンドポイント端末には機械学習型の振る舞い検知機能やURLフィルタリング機能を備えた、最新の次世代型エンドポイント対策がインストールされていると、より安心です。
※感染経路は、MalwareByte “Understanding the depth of the global ransomware problem(PDF)(英語)”レポートを参考にしています。このレポートはWannaCry発生以前のため、WannaCry・Petya後にレポートされている感染経路の可能性も含め提示しています。
各組織にとって、どの経路の対策が弱い部分に該当するかなど、今後の検討のきっかけの参考になれば幸いです。
マカフィー株式会社 マーケティング本部
![[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス](https://blogs.trellix.jp/wp-content/uploads/2018/03/クラウドとビジネス.png)