IPA(情報処理推進機構)の調査によると、2017年に引き続き2018年版の10大脅威でも第2位にランサムウェアがランクインしました。
ランサムウェアはいわゆるコンピュータウィルスや不正アクセス、Webサイトの改ざん等とは一線を画した新手の脅威です。
本記事では、ランサムウェアについて以下の順に述べていきます。
1.ランサムウェアとは
ランサムウェアには目的によって、タイプが異なるものが存在しますが、
ここでは最も被害が大きい「暗号化型ランサムウェア」について見ていきます。
「暗号化型ランサムウェア(以下、ランサムウェアとだけ表記)」は、感染したコンピュータ内に保存されているファイルやフォルダを暗号化します。
通常、暗号化されたファイルを元に戻すためには「復号キー」と呼ばれる暗証番号のようなものが要求されるケースが多く、攻撃者は復号キーと引き換えに身代金(ランサム)を要求してきます。
ランサムウェアの感染経路としては多いケースは、「メール」と「webサイト」です。
・メールによる感染
いわゆる「フィシングメール」と組み合わせての使われるケースがあります。
本文に記載されているURLをクリックすることで、悪意のあるWebサイトへ誘導され、そこから自動的にランサムウェアがダウンロードされるという方法です。
また、メールの添付ファイルを開くとランサムウェアがインストールされるという方法が感染経路としては有名です。
・有害なWebサイトからの感染
あらかじめランサムウェアが埋め込まれた有害なWebサイトにアクセスしてしまい、知らないうちにダウンロードさせられるという方法です。
2.ランサムウェアへの対策
ランサムウェアに感染しないためには、上記の感染経路を遮断することが有効ですが、企業活動における全ての電子メールのやり取りとWebサイトの閲覧を監視し、制限することは非常に困難です。
そのため、システム的な対策に加え、ネットワークを使用する社員のリテラシーやモラルの向上といった対策も必要となります。
基本的な対策方法を以下順次述べていきます。
・システム面での脆弱性対策
OSやWebブラウザ、メーラーなど、コンピュータに含まれる全てのプログラムについて、脆弱性についての更新プログラムが配布されたらすぐに適用しましょう。
ランサムウェアなどの脅威はまずこの脆弱性を狙ってきます。情報セキュリティを管理する上で、脆弱性対策は基本中の基本です。
・電子メール対策
ランサムウェアに限らず、マルウェア全般に言えることですが、電子メールを媒介として感染させる場合、攻撃者は必ず送信者名を取引先や金融機関などに偽って送信してきます。
ただ、電子メールの場合、送信者名を偽ることはできても送信者のIPアドレスなど、本当の送信者情報はシステム的に解析することが可能です。
あらかじめ受信メールサーバに登録されているIPアドレス以外からのメールを遮断したり、逆に有害とされているIPアドレスからのメールの受信を拒否したりすることが有効です。
・添付ファイル対策
社員が使用する個々のコンピュータにセキュリティ対策ソフトを導入し、ファイルの拡張子に関係なく全ての添付ファイルを開く際にはスキャンする設定にしておきましょう。
・悪意のある、有害なWebサイト対策
Webサイトへのアクセスに関しても、セキュリティ対策ソフトで安全性を判断し、情報セキュリティポリシーで定めた安全性基準以下のWebサイトは表示しないように設定することが可能です。
・異常な振る舞いを検知
コンピュータに保存されている大量のデータを一度に暗号化するという動作は、一般的に行われるものではありません。このような異常な動作を検知し、それをブロックするという方法も非常に有効です。
・定期的なバックアップ
万が一の感染に備え、データを復旧することができるよう定期的にバックアップを取っておくことが必要です。
その際の注意事項として、社内ネットワーク上にバックアップを保存することは避けてください。ランサムウェアに感染し、それが社内に拡がった場合、バックアップデータまで暗号化される恐れがあるからです。
バックアップは外部記録媒体を用いて、ネットワークから隔離された安全な場所に保存してください。
・社員のセキュリティ意識の向上
上記の方法を使ってシステム的な対策を施したとしても、不審なメールを開いてしまったり、システムからの警告を無視してWebサイトを閲覧したりする行為によって、感染する事例が後を断ちません。
これは社員のモラルの問題かもしれませんし、そもそも何が許可され何が禁止されているのかを知らないというリテラシーの問題かもしれません。
そのため、ランサムウェアだけでなく広く情報資産の保護について、情報セキュリティポリシーを策定し、それを周知・徹底するよう定期的に教育の場を設けることが必要不可欠です。
3.ランサムウェアに感染してしまった場合
それでもランサムウェアに感染してしまったときは、以下の手順で対応しましょう。
・ランサムウェアに感染したコンピュータをネットワークから完全に切り離す。
・セキュリティ対策ソフトを使ってランサムウェアの駆除を試みる。駆除が不可能な場合はコンピュータを初期化する。
・バックアップからデータを復旧する。
ただし、現在「NO MORE RANSOM!」というプロジェクトがあり、いくつかのランサムウェアについては復号ツールが提供されています。その他、ランサムウェアについての情報も豊富ですので是非ご覧ください。