最近大規模なサイバー攻撃がニュースにも取り上げられ皆さんの生活にも影響がでていると思います。
ニュースでもよく耳にする「ランサムウェア」とはどういった攻撃なのか、そのような対策が必要なのか簡単にまとめてみようと思います。
・ランサムウェアとは
まずランサムウェアとは、身代金を要求することを目的としたマルウェアの一種で身代金を意味する「Ransom(ランサム)」と「Software(ソフトウェア)」を組み合わせた造語です。
身代金というと誘拐などの「人質」を解放するために金銭を要求する時に使われますね。
サイバー攻撃における人質とは「データ」や「コンピュータ」を指します、手口としては感染したコンピュータをロックしたり、ファイルを暗号化したりすることによって使用不能にしたのち、元に戻すことと引き換えに「身代金」を要求します。
ランサムウェアにパソコンやスマートフォンが感染すると、システムがロックされたり、保存しているデータが暗号化されたりして、使用できなくなり画面には「もし暗号化を解除してほしければ、お金を払え!」というメッセージ(ランサムノート)が表示されるのです。
・ランサムウェアの攻撃手法
ランサムウェアの攻撃手法は大きく分けると4工程あり下記の順番で行われます。
①初期侵入
ランサムウェアに感染させるため、事前に内部ネットワークへ侵入します。VPNの脆弱性を突いたり、標的とする組織の従業員へフィッシングメールを送ったりして侵入、感染させます。
②内部活動
遠隔操作ツールでネットワーク内の端末を遠隔操作して「内部活動」を行い、できる限り高い権限を獲得しようとします、その際多くの場合、攻撃者は検知や監視を逃れるため、正規ツールを悪用します。
例えば、通常はシステムの脆弱性を検出するペネトレーションテストに使われるツールや、クラウドストレージなどのクラウドサービスなどが悪用されます。
このような攻撃者の手口は、標的組織で使われている環境(システムやツール)を悪用する攻撃、「環境寄生型(Living off the Land)」と呼ばれます。
③データ持ち出し
十分な権限を取得すると、企業のネットワーク内を探索し、情報暴露などの脅迫に使える重要情報を盗みます。そして窃取した情報を1か所に集約して攻撃者側のサーバーにアップロードすることで、「データ持ち出し」を行います。
④ランサムウェア実行
データのアップロードが完了すると、最後に被害組織へランサムウェアを展開して実行します。攻撃者はランサムウェアを確実に実行するために、展開前にセキュリティ対策ソフトを停止させることがあります。その上で、グループポリシー機能などを使ってランサムウェアを組織内ネットワークに展開・実行します。ファイルを暗号化した後は、対象の端末に身代金要求画面を表示させることで脅迫を行います。
・どんな対策をすればいいのか
攻撃手法について書きましたがご覧の通り複雑な工程はなく読むだけで何が起きているかの想像が付くような手法で攻撃されているのです。
ではどのような対策を実施すればよいのか代表的なものを書き出してみました。
◆個人での対策
・フィッシングメールなど、侵入時に使用される攻撃手法を理解し、騙されないようにする
・不審なメールやリンクを安易にクリックしない
・所属組織のセキュリティポリシーを順守し、ソフトウェアを最新の状態に保つ
◆企業単位での対策
・ウイルススキャン機能やフィルタリング機能を活用する
・OSやソフトウェアは常に最新バージョンに保つ
・総合セキュリティ対策ソフトウェアの導入
・セキュリティ対策製品を適時アップデートする
・データのバックアップを保存しておく
個人での対策に共通しているのは「従業員のセキュリティ意識に左右される」という点です。
そのためセキュリティ教育をするのと同時に、もし怪しいリンクをクリックしてしまったなどの場合への相談先も周知出来ていると良いでしょう。
近年では企業規模に囚われず攻撃の対象になっているケースも増加していますので「うちの様な中小は関係ない」ではなく、個人単位、企業単位で並行して「総合的、多面的な対策を導入するとともに、侵入を前提とした対策を行う」ことが大切になります。