ランサムウェアの脅威とその対策

ランサムウェア(身代金型要求ウィルス)は今日最も警戒すべきサイバーセキュリティー脅威の1つとなっています。2017年5月にはWannaCryが世界規模で猛威を振るい、多くの企業および機関の活動が停止状態に追い込まれたことが大きな話題となりました。その後もランサムウェアによる被害報告は後を絶たず、今後も被害の増加が予想されています。

このような状況においてもなお、「自分は大丈夫」と頻繁に話題になるランサムウェア被害を対岸の火事のように感じていたり、「最新パッチを適用しアンチウィルスも導入している」もしくは「インターネットから遮断された環境である」といったことを根拠にランサムウェアに感染するはずがないと考えていたりして、ランサムウェアに特化した対策が進んでいないのが現状です。

メモ:ランサムウェア(身代金型要求ウィルス)とは

ランサムウェアとは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語です。感染したコンピューターをロックして使用不能としたり、ハードディスク上のファイルを暗号化して利用不要としたりして、被害者に復旧のための金銭の支払いを要求するマルウェアの一種です。

ここでは、なぜランサムウェアがビジネスに大きな損害を与えるのか、なぜランサムウェアに特化した対策が必要となるのか、ランサムウェアに感染しないためにとりうる対策とは何か、などについてご紹介します。

<目次>



ランサムウェアがビジネスに大きな損害を与える理由

ランサムウェアは、業務を混乱させて企業または機関から金銭を奪うことを目指します。
最も広く拡散しているタイプのランサムウェアは、データを標的にしており、身代金(ランサム)が支払われるまで、情報やコンピュータシステムを使用できなくします。ビジネスに不可欠な情報が閉じ込められ利用できなくなると、ほとんどの企業はこれを回復させるために身代金を支払うことを真剣に検討します。しかし、多くの場合、身代金を支払っても、必ずしもすべてのファイルを復元できるとは限りません。

ランサムウェアのコスト – 被害に遭った企業が支払う費用

被害に遭った企業の所在地や事業概要に依存しますが、被害額は数百から数千ドルにのぼることもあります。IBMの調査(英語)によると、ランサムウェア攻撃の被害に遭ったすべての企業のうち70%がファイルを回復させるために身代金を支払っています。半分は1万ドル以上、20%は4万ドル以上を支払いました。この金額に加えて、それぞれのインシデントにより発生した数日間のダウンタイム(業務停止期間)にも別途費用がかかります。


ランサムウェア被害に遭った場合の損害を理解するには、ダウンタイム(業務停止期間)について考えるのが一番簡単です。ランサムウェア攻撃が成功すると、データやシステムが人質に取られて業務が停止し、ビジネス活動が継続不能となります。仕事ができなくても許容できる時間はどのくらいでしょうか? 仕事ができない時間に加えて、失われたファイルの最新バージョンを回復させ、最新状態かどうかを評価し、失われたすべての作業をやり直すのにかかる労力も考慮する必要があります。次に、ランサムウェア攻撃の際に発生するかもしれないデータ窃取(data exfiltration)の被害額を考えてください。この側面を評価するには、時間とお金がかかる調査活動が必要となるかもしれません。更に、このようなインシデントはブランド、企業イメージ、顧客やパートナーの信頼など、長期的に見積もることが難しい費用にも影響を与えることを理解してください。

主な例:
CryptoWallの被害額は1億ドル以上 CryptoWallはセキュリティソフトウェアで悪意のあるペイロードを検出できないようにする高度な難読化手法が組み込まれた最初のランサムウェアです。
Lockyの被害額は2億ドル以上
Lockyは最も亜種の多いランサムウェアの1つです。これは比較的短期間で2億ドル以上の身代金を作りました。

ランサムウェアによる損害額は「身代金額」とイコールではありません(身代金を支払ったとしても、完全に元の状態に復旧できるとは限りません)。業務停止期間のコスト、復旧にかかるコスト、および業務(サービス)停止による補償...たった1度の感染であっても、ランサムウェアは企業活動に非常に大きな損害を与えます。



ランサムウェアに特化した対策が必要となる理由

ランサムウェアは一般的なマルウェアと性格が異なります。ランサムウェアのペイロードは多くの被害をもたらしますが、一般的なマルウェアとは異なる動作をします。ランサムウェアはファイルにアクセスすると、ユーザーの振る舞いを非常によく模倣した動作をします。通常は他のマシンへ複製を試みることはなく、利用可能なネットワークファイルを破棄しようとします(新しい亜種の中には、脆弱性を悪用して増殖するワームのような能力を持つものもあります)。難読化技術が組み込まれていたり、環境認識能力(サンドボックスや仮想環境を検出してサンドボックス内では何もしない)を持っていたりするため、一般的な検出技術を回避でき、リバースエンジニアリングが非常に困難です。また、疑わしいメモリ操作を実行せず、誰かが侵害されたファイルへアクセスして初めて被害に気づくまで、何時間でも実行されます。

従来型のアンチウィルスはシグネチャーをベースとしており、ランサムウェアに特化していないため、新種または亜種のランサムウェアやゼロデイランサムウェアに対する検出率が高くありません。多くの企業がランサムウェアに特化した技術の開発を開始していますが、まだ対処できるランサムウェアファミリーが少なく十分ではありません。

従来型のアンチウィルスは様々な技術により悪意のあるプロセスを実行前に停止させることで既知ランサムウェア感染を予防することには役立ちますが、ゼロデイランサムウェアや新種・亜種ランサムウェア検出には適当ではありません。ランサムウェア対策に特化したソリューションが必要です。



ランサムウェアに感染しないための対策

日々の業務をITに依存しているビジネスの場合、ランサムウェアに感染すると膨大なコストが発生します。
ここではランサムウェアに感染しないための対策を紹介します。

1.従業員を教育する

ほとんどのランサムウェアはスパムメールと悪質なWEBサイトから侵入してきます。このため、従業員の意識はランサムウェア感染予防に大きく役立ちます。攻撃者は工夫を凝らしてくるため、疑わしいメールを識別する方法を学習する必要があります。無料で何かを提供すると書かれていたり、重要とラベルされた添付ファイルがあるが送信元が怪しいメールアドレスであったりするスパムメールは、適切なトレーニングを受け、ときどき簡単なテストを行えば簡単に識別できるようになります。

2.アンチランサムウェア技術を使用する

アンチランサムウェアに特化した技術は、アンチウィルスで対処できなかった未調査のゼロディおよびカスタムランサムウェア亜種をカバーします。

ランサムウェアはユーザーの振る舞いを非常によく模倣し、最新の難読化技術を組み込んでアンチウィルスによる検出を回避します。また、環境を考慮しサンドボックスや仮想環境を回避したり、インストールされているウィルス対策エンジンを検出したりすることさえあります。アンチランサムウェア専用ソフトウェアは、アップデートや一般的なアンチウィルス技術に依存することなく、マシン上で実行されるアクションをもとにランサムウェアを検出します。

このようなソフトウェアはランサムウェアインシデントが発生すると、ランサムウェアを検出、停止し、ファイルを保護しデータの復旧を可能にします。非常に効率的です。

3.アンチウィルス技術を使用する

アンチウィルス技術は一般的なマルウェアからコンピューターを保護します。既知の亜種がシステム上で実行される前にこれを停止させることにより、ランサムウェア感染の可能性を減らします。このような技術はアンチランサムウェア技術と組み合せて使うのがベストです。

4.システムを最新に保つ

大部分のランサムウェアにはワームのような能力はありませんが、WannaCryはマルウェアが進化し伝播できる機能を含むということを再実証しました。

このようなインシデントが広がるリスクは、システムおよびアプリケーションを最新にすることで軽減させることができます。

5.バックアップを取得する

どの企業も災害復旧計画を策定していらっしゃるはずで、その中核がバックアップソフトウェアです。しかしランサムウェアについていえば、前回のバックアップと不幸な事件が発生するまでのファイルは失われてしまうことになります。リアルタイムのバックアップはITにとって問題があるため、多くの企業では重要なデータをデイリー(日次)でバックアップします。これで十分かもしれませんが、十分でないかもしれません。

災害復旧のためのバックアップは、アンチランサムウェア技術と組み合せて次のことを保証できるのが理想的です。

● いかなるファイルも失わない:

アンチランサムウェア技術が最新の修正ファイルを復元しますので、デイリーのバックアップから復旧したファイルに変更を追加します。

● 暗号化されたファイルをバックアップしない:

これはバックアップソフトウェアがランサムウェアによって暗号化されたファイルかどうかを識別できないため大きな問題です。バックアップが暗号化されていて復元に利用できないことやこれについての手掛かりがないことなど、だれも望みません。


ランサムウェアの問題に対して多層的なセキュリティアプローチをとることは、IT部門にかなり労力がかかります。計画、実装、テスト、検証、すべてで時間がかかりコストもかかります。しかし、たった一度のランサムウェアインシデントで発生するかもしれないコストについて考えるとどうでしょうか:どれくらいの期間シャットダウンできますか? データ、評判、失われた成果物などを元に戻すにはどのくらいの費用がかかるでしょうか?1回のランサムウェア感染で被るコストは、中規模企業向け多層セキュリティ戦略を実装および維持するコストを上回ります。

ランサムウェア感染対策にはアンチランサムウェア、アンチウィルス、バックアップソリューションを組み合せた多層防御が有効です。



ジュピターテクノロジーが提供するランサムウェア対策製品

Ranstop:ランサムウェア攻撃によるファイル損失ゼロ、ダウンタイムゼロ。企業向けランサムウェア対策Windowsソフトウェア。ゼロディ、新種・亜種を含むランサムウェアを検出、停止、隔離。攻撃で破損したファイルを自動復旧

【参考資料】

お問合せははこちらへ

ジュピターテクノロジーRanstopブログ記事一覧へ