セールスセンターサイト

セールスセンター2022.04.01

「ランサムウェア攻撃」やマルウェア「Emotet」の脅威とその対策

「ランサムウェア攻撃」やマルウェア「Emotet」の脅威とその対策

独立行政法人情報処理推進機構(IPA)は毎年、組織と個人に対する「情報セキュリティ10大脅威」を公開しています。今回は、組織編の1位である「ランサムウェアによる被害」について、とある企業のIT部門に所属するセキュリティに精通した山田課長(40歳)と入社2年目の新人セキュリティ担当の武石さん(22歳)の会話から学んでみることにしましょう。

目次

  1. 業務を停止させ、復元に金銭を要求
  2. ランサムウェアの特徴と危険性が増すマルウェア「Emotet」
  3. ランサムウェアは基本的にメールとWebの対策でカバーできる

業務を停止させ、復元に金銭を要求

入社1年目の新人セキュリティ担当の武石さん22歳武石

課長、おはようございます~。

セキュリティに精通した山田課長40歳山田

おはよう! あれ? なんだか眠そうだね。

入社1年目の新人セキュリティ担当の武石さん22歳武石

そうなんです。夕べ、家のルーターのパスワードを忘れてしまって、さんざんやり直していたんです。判明したのが3時頃で……。

セキュリティに精通した山田課長40歳山田

てっきりまた朝まで飲んでいたのかと思ったよw。でも、それはご苦労様だったね。でも、判明したなら良かったよ。ランサムウェアだと、そうはいかないからね。

入社1年目の新人セキュリティ担当の武石さん22歳武石

ひどいなあ。あ、そういえば山田さん!ランサムウェアについて聞きたかったんです。最近は危険度が増しているとか。

セキュリティに精通した山田課長40歳山田

そうだね。別のサイバー攻撃と組み合わせて、二重脅迫、三重脅迫が行われているよ。

入社1年目の新人セキュリティ担当の武石さん22歳武石

ランサムウェアがすごい勢いで増えているって、ネットの記事にありました。

セキュリティに精通した山田課長40歳山田

サイバー攻撃者にとっては、投資対効果の高い攻撃だからね。ランサムウェアも、最初は個人ユーザーを狙っていたんだ。

入社1年目の新人セキュリティ担当の武石さん22歳武石

企業を狙っていたわけじゃなかったんですね。やはり、身代金を高額にできるからですか?

セキュリティに精通した山田課長40歳山田

その通り。最初は個人にばらまいて、「ピクチャ」フォルダを暗号化させていたんだ。みんな、家族や友だちとの写真を保存していたから、それを取り戻したくて身代金を払っていたんだ。身代金も3~5万円だったから、無理すれば払えない金額じゃなかったからね。

入社1年目の新人セキュリティ担当の武石さん22歳武石

もっと、詳しく教えてください。

ランサムウェアの特徴と危険性が増すマルウェア「Emotet」

セキュリティに精通した山田課長40歳山田

ランサムウェアの基本は知っているよね?

入社1年目の新人セキュリティ担当の武石さん22歳武石

はい。メールの添付ファイルや特定のWebサイトに仕込まれていて、実行させてしまうとPCのファイルを暗号化して、「使えるように復号するには、お金を支払え」と画面に表示するんですよね。

セキュリティに精通した山田課長40歳山田

その通り。よく勉強してるね。そのランサムウェアが標的を個人から企業に移した。企業で使うPCのファイルが暗号化されてしまうと業務が止まってしまうから、一刻も早く復旧するために身代金を支払う企業も少なくなかったんだ。

入社1年目の新人セキュリティ担当の武石さん22歳武石

「Emotet (エモテット)」や「WannaCry(ワナクライ)」は大きなニュースになりましたね。

セキュリティに精通した山田課長40歳山田

Emotet は2021年11月ころに活動再開が確認され、IPA(日本情報処理推進機構)から注意喚起が行われているよ。Emotet自体はマルウェアだけど、次々にいろいろなマルウェアを追加するから、ランサムウェアを仕掛けられる可能性もあるんだ。ランサムウェア攻撃は以前からあったけど、広く認知されたのは「WannaCry」がきっかけだったね。Windowsの脆弱性を悪用することで、普段は使わないプロトコルを使って感染を広げたんだ。その後も共有フォルダを暗号化するなど機能を広げたり、他のサイバー攻撃、例えば重要なファイルに不正アクセスして情報を盗んで、ランサムウェアで暗号化したりするなど、サイバー攻撃者の効果的なツールになっているんだよ。

入社1年目の新人セキュリティ担当の武石さん22歳武石

組み合わせる手法が、二重、三重の脅迫になるわけですね。

セキュリティに精通した山田課長40歳山田

例えば、個人情報を暗号化するとともに盗み出して、その一部を「暴露サイト」に置くんだ。そして「身代金を支払わないと暴露サイトで個人情報を公開する」と脅迫するわけだね。

従来のランサムウェア攻撃と二重脅迫 従来のランサムウェア攻撃と二重脅迫
出典:「最近のサイバー攻撃の状況を踏まえた経営者への注意喚起」(経済産業省)
https://www.meti.go.jp/press/2020/12/20201218008/20201218008-1.pdf
入社1年目の新人セキュリティ担当の武石さん22歳武石

悪質化していますね。。。

セキュリティに精通した山田課長40歳山田

ランサムウェア対策として、常にデータをバックアップしておき、暗号化されてたらバックアップデータから復元する方法もあるんだ。すると今度は、バックアップデータを狙うようになった。最近では、暗号化ではなくZip圧縮して、その圧縮ファイルにパスワードを設定する手法も登場しているよ。手法を次々に進化させていることも特徴だね。それに、スマホなどのモバイルデバイスにも感染するから、注意が必要だよ。

入社1年目の新人セキュリティ担当の武石さん22歳武石

身代金を支払えば、暗号化されたデータは元通りになるんですか?

セキュリティに精通した山田課長40歳山田

元通りになる確率は、約半分と言われているよ。それに、完全に元通りになるとは限らない。逆に、「この会社は身代金を払う」という情報がサイバー攻撃者の間で共有されて、ますます標的にされてしまうこともあるんだ。アメリカではランサムウェアに感染した組織に対し、FBIが「身代金を支払ってください」と指示したケースもあるけど、払わない方がいいに決まっているよね。

ランサムウェアは基本的にメールとWebの対策でカバーできる

入社1年目の新人セキュリティ担当の武石さん22歳武石

ランサムウェア攻撃への対策は、どうすればいいですか?

セキュリティに精通した山田課長40歳山田

基本的にはマルウェアの一種だから、メールやWeb経由のマルウェア対策が必要だね。特に、最近はメールの文章を偽装するなど、つい開いてみたくなる巧みな細工が施してあるので、添付ファイルやリンクをクリックするときは細心の注意が必要だね。それにランサムウェアは暗号化が特徴だから、バックアップも必要。それも複数のバックアップを作成しておくことが大事だよ。最近の攻撃は複雑化しているから、これら以外にも対策は必要だけど、まずはそこだね。

入社1年目の新人セキュリティ担当の武石さん22歳武石

まずはメールとWebの対策ですね。具体的な対策製品やサービスを教えてください。

セキュリティに精通した山田課長40歳山田

まずWebの対策は、今まではWeb(URL)フィルタリングが主流だったんだけど、最近のサイバー攻撃者はマルウェアサイトのURLやIPアドレスを短いサイクルで変更するから、最新の情報を参照して判断する製品を選びたいね。例えば、ユーザーがメールを開いたときに、そこに記載されているURLを先回りしてチェックするような製品がいいと思うよ。

マルウェア対策は、複数の検知技術を搭載している製品がいいだろうね。最近のマルウェアは検知を回避するためにいろいろな手法を使っているから、それを見破れる製品ということだね。それから、より広範で膨大なセキュリティ関連情報を持ち、常にそれを分析して検知に活かすようなインテリジェンスがあるベンダーを選ぶことも重要だね。

例えばシマンテックのクラウド型ゲートセキュリティサービス「Symantec Email Security.cloud Service(ESS)」は、メール対策に特化しているから、ランサムウェアを含むマルウェアを検知することはもちろん、標的型メールやビジネスメール詐欺、フィッシング、スパム、さらにはニュースレターやマーケティングメールも検知できる。

ESSが脅威を高い精度で検知する仕組み ESSが脅威を高い精度で検知する仕組み

複数の検知技術により高い検知率を実現しているほか、世界最大規模の脅威情報などを活用したスキャン技術を活用している。明確に不審なものと判断できない場合は、実際にファイルを実行して、危険かどうかを判断するサンドボックス機能もある。

メールに記載されているURLについては、そのリンク先の安全性をリダイレクト先まで検証する。危険な場合はアクセスを遮断するから安心だよね。ESSはクラウドサービスだから導入しやすいし、管理もしやすいからセキュリティ担当者にも便利だよね。

そして、最高峰のエンドポイント保護ソリューションと呼べるのが、「Symantec Endpoint Security(SES)」だよ。クラウドベースのソリューションなので、いつでも最新の状態で保護できるし、導入や運用も楽。モバイルデバイスにも強力な保護を実現できるんだ。エンドポイント保護に必要な機能はほぼすべて網羅している。

特に「Complete」版はEDR機能が統合されているんだ。EDRはエンドポイント上で起きたすべてのことを監視、記録するから、EPPの検知をすり抜けて侵入されたとしても、その挙動で検知できる。これによりランサムウェアも検知できるわけ。また、ログをすべて記録しているから、例えばランサムウェアに感染したメールの件名や送信者などが明らかになる。それで別の人が感染する可能性を排除できるよ。

入社1年目の新人セキュリティ担当の武石さん22歳武石

なるほど~。ランサムウェアについてしっかり理解できました。サイバー攻撃はまだまだ高度化しそうですが、しっかり対策することで危険を減らせるんですね。さっそく部内提案してみようと思います。課長、ありがとうございました。

本ブログはIPAが発行している「情報セキュリティ10大脅威 2021」(https://www.ipa.go.jp/security/vuln/10threats2021.html)の内容をベースに構成しています。