「ランサムウェア攻撃」やマルウェア「Emotet」の脅威とその対策

課長、おはようございます～。

おはよう！　あれ？　なんだか眠そうだね。

そうなんです。夕べ、家のルーターのパスワードを忘れてしまって、さんざんやり直していたんです。判明したのが3時頃で……。

てっきりまた朝まで飲んでいたのかと思ったよw。でも、それはご苦労様だったね。でも、判明したなら良かったよ。ランサムウェアだと、そうはいかないからね。

ひどいなあ。あ、そういえば山田さん！ランサムウェアについて聞きたかったんです。最近は危険度が増しているとか。

そうだね。別のサイバー攻撃と組み合わせて、二重脅迫、三重脅迫が行われているよ。

ランサムウェアがすごい勢いで増えているって、ネットの記事にありました。

サイバー攻撃者にとっては、投資対効果の高い攻撃だからね。ランサムウェアも、最初は個人ユーザーを狙っていたんだ。

企業を狙っていたわけじゃなかったんですね。やはり、身代金を高額にできるからですか？

その通り。最初は個人にばらまいて、「ピクチャ」フォルダを暗号化させていたんだ。みんな、家族や友だちとの写真を保存していたから、それを取り戻したくて身代金を払っていたんだ。身代金も3～5万円だったから、無理すれば払えない金額じゃなかったからね。

もっと、詳しく教えてください。

ランサムウェアの基本は知っているよね？

はい。メールの添付ファイルや特定のWebサイトに仕込まれていて、実行させてしまうとPCのファイルを暗号化して、「使えるように復号するには、お金を支払え」と画面に表示するんですよね。

その通り。よく勉強してるね。そのランサムウェアが標的を個人から企業に移した。企業で使うPCのファイルが暗号化されてしまうと業務が止まってしまうから、一刻も早く復旧するために身代金を支払う企業も少なくなかったんだ。

「Emotet （エモテット）」や「WannaCry（ワナクライ）」は大きなニュースになりましたね。

Emotet は2021年11月ころに活動再開が確認され、IPA（日本情報処理推進機構）から注意喚起が行われているよ。Emotet自体はマルウェアだけど、次々にいろいろなマルウェアを追加するから、ランサムウェアを仕掛けられる可能性もあるんだ。ランサムウェア攻撃は以前からあったけど、広く認知されたのは「WannaCry」がきっかけだったね。Windowsの脆弱性を悪用することで、普段は使わないプロトコルを使って感染を広げたんだ。その後も共有フォルダを暗号化するなど機能を広げたり、他のサイバー攻撃、例えば重要なファイルに不正アクセスして情報を盗んで、ランサムウェアで暗号化したりするなど、サイバー攻撃者の効果的なツールになっているんだよ。

組み合わせる手法が、二重、三重の脅迫になるわけですね。

例えば、個人情報を暗号化するとともに盗み出して、その一部を「暴露サイト」に置くんだ。そして「身代金を支払わないと暴露サイトで個人情報を公開する」と脅迫するわけだね。

従来のランサムウェア攻撃と二重脅迫
出典：「最近のサイバー攻撃の状況を踏まえた経営者への注意喚起」（経済産業省）
https://www.meti.go.jp/press/2020/12/20201218008/20201218008-1.pdf

悪質化していますね。。。

ランサムウェア対策として、常にデータをバックアップしておき、暗号化されてたらバックアップデータから復元する方法もあるんだ。すると今度は、バックアップデータを狙うようになった。最近では、暗号化ではなくZip圧縮して、その圧縮ファイルにパスワードを設定する手法も登場しているよ。手法を次々に進化させていることも特徴だね。それに、スマホなどのモバイルデバイスにも感染するから、注意が必要だよ。

身代金を支払えば、暗号化されたデータは元通りになるんですか？

元通りになる確率は、約半分と言われているよ。それに、完全に元通りになるとは限らない。逆に、「この会社は身代金を払う」という情報がサイバー攻撃者の間で共有されて、ますます標的にされてしまうこともあるんだ。アメリカではランサムウェアに感染した組織に対し、FBIが「身代金を支払ってください」と指示したケースもあるけど、払わない方がいいに決まっているよね。

ランサムウェア攻撃への対策は、どうすればいいですか？

基本的にはマルウェアの一種だから、メールやWeb経由のマルウェア対策が必要だね。特に、最近はメールの文章を偽装するなど、つい開いてみたくなる巧みな細工が施してあるので、添付ファイルやリンクをクリックするときは細心の注意が必要だね。それにランサムウェアは暗号化が特徴だから、バックアップも必要。それも複数のバックアップを作成しておくことが大事だよ。最近の攻撃は複雑化しているから、これら以外にも対策は必要だけど、まずはそこだね。

まずはメールとWebの対策ですね。具体的な対策製品やサービスを教えてください。

まずWebの対策は、今まではWeb（URL）フィルタリングが主流だったんだけど、最近のサイバー攻撃者はマルウェアサイトのURLやIPアドレスを短いサイクルで変更するから、最新の情報を参照して判断する製品を選びたいね。例えば、ユーザーがメールを開いたときに、そこに記載されているURLを先回りしてチェックするような製品がいいと思うよ。

マルウェア対策は、複数の検知技術を搭載している製品がいいだろうね。最近のマルウェアは検知を回避するためにいろいろな手法を使っているから、それを見破れる製品ということだね。それから、より広範で膨大なセキュリティ関連情報を持ち、常にそれを分析して検知に活かすようなインテリジェンスがあるベンダーを選ぶことも重要だね。

例えばシマンテックのクラウド型ゲートセキュリティサービス「Symantec Email Security.cloud Service（ESS）」は、メール対策に特化しているから、ランサムウェアを含むマルウェアを検知することはもちろん、標的型メールやビジネスメール詐欺、フィッシング、スパム、さらにはニュースレターやマーケティングメールも検知できる。

ESSが脅威を高い精度で検知する仕組み

複数の検知技術により高い検知率を実現しているほか、世界最大規模の脅威情報などを活用したスキャン技術を活用している。明確に不審なものと判断できない場合は、実際にファイルを実行して、危険かどうかを判断するサンドボックス機能もある。

メールに記載されているURLについては、そのリンク先の安全性をリダイレクト先まで検証する。危険な場合はアクセスを遮断するから安心だよね。ESSはクラウドサービスだから導入しやすいし、管理もしやすいからセキュリティ担当者にも便利だよね。

そして、最高峰のエンドポイント保護ソリューションと呼べるのが、「Symantec Endpoint Security（SES）」だよ。クラウドベースのソリューションなので、いつでも最新の状態で保護できるし、導入や運用も楽。モバイルデバイスにも強力な保護を実現できるんだ。エンドポイント保護に必要な機能はほぼすべて網羅している。

特に「Complete」版はEDR機能が統合されているんだ。EDRはエンドポイント上で起きたすべてのことを監視、記録するから、EPPの検知をすり抜けて侵入されたとしても、その挙動で検知できる。これによりランサムウェアも検知できるわけ。また、ログをすべて記録しているから、例えばランサムウェアに感染したメールの件名や送信者などが明らかになる。それで別の人が感染する可能性を排除できるよ。

なるほど～。ランサムウェアについてしっかり理解できました。サイバー攻撃はまだまだ高度化しそうですが、しっかり対策することで危険を減らせるんですね。さっそく部内提案してみようと思います。課長、ありがとうございました。