ラムサムウェアの対策

/セキュリティ

ラムサムウェアとは

ランサムウェアとは、「Ransom(身代金)」と「Malware(マルウェア)」を組み合わせた造語です。コンピュータがラムサムウェアに感染すると、保存されているデータが暗号化されたり、画面がロックされ、それの復旧と引き換えに、金銭が要求をされるなどの被害が発生します。

このような金銭的被害に加え、暗号化あるいは窃取されたデータが組織にとって重要な情報であった場合、業務の遂行に大きな支障が出たり、個人情報漏えいによる信用の失墜や経済的損失につながる恐れがあります。

尚、金銭を支払ってもデータが復旧されるとは限らず、金銭の支払い有無に関わらず、データが暴露されてしまったケースが近年発生しています。また、個人よりも多額の金銭の支払いを見込めるためか、組織が狙われやすい傾向にあります。

攻撃の手口

ランサムウェアの攻撃の手口は、他の標的型攻撃と特に変わるところはなく、メールの添付ファイルを開いたり、ソフトウェアの脆弱性等を悪用されたりすることで感染します。

  • メールから感染させる
    メールの添付ファイルやメール本文中のリンクを開かせることでランサムウェアに感染させる。
  • ウェブサイトから感染させる
    予め攻撃者がランサムウェアをダウンロードさせるウェブサイトを用意し、そのウェブサイトを閲覧させることで、ランサムウェアに感染させる。
  • 公開サーバに不正アクセスして感染させる
    外部公開しているサーバに不正ログインし、ランサムウェアに感染させる。

ランサムウェアの対策

ラムサムウェアによる攻撃は、マルウェアの感染が起点となっているため、基本的には標的型攻撃への対策が有効になります。

但し、通常の標的型攻撃は情報の搾取を目的とするため、マルウェアに感染して実際に搾取されるまでの過程(キルチェーン)は数日から数週間とされますが、ラムサムウェアの場合は感染してすぐに暗号化などが行えるため、被害が出るまでのキルチェーンが短く、対策も難しいとされています。

標的型攻撃の対策

標的型攻撃を防ぐための基本的な対策は以下になります。

  • 入口対策
    ネットワークの境界にファイアウォールやIDS/IPSなどのセキュリティ対策を施す。
  • エンドポイント対策
    PCやサーバにアンチウィルスを導入し、マルウェアの感染を防ぐ。
  • 脆弱性対策
    PCやサーバのソフトウェアを最新化し、脆弱性を突く攻撃を防ぐ。
  • 従業員への教育
    不審なメールの添付ファイルやURLをクリックしない、管理部門へ連絡する。

その他、情報システムの設計に関する対策は、以下を参照願います。

高度標的型攻撃の対策
組織から機密情報の窃取を目的としたサイバー攻撃、攻撃のフェーズ、基盤構築段階と内部侵入段階におけるシステム設計対策

ランサムウェア特有の対策

ラムサムウェア対策として特に有効なのは、データのバックアップを取ることです。

但し、ラムサムウェアにバックアップ先のデータまで暗号化されないよう、バックアップ先のストレージは通常時には切り離しておく必要があります。リムーバブルディスクやクラウドストレージサービスなどの利用が有効な手段となります。

バックアップ運用の設計では、バックアップの対象、バックアップの頻度などのポリシやスケジュールを定める必要があります。また、バックアップから問題なく復旧できることを定期的に確認するこのも重要です。

留意点

公的な機関からは、ラムサムウェアにより金銭の要求があった場合でも、金銭は支払わないことが推奨されています。これは、たとえ金銭を払ったとしても、復旧できる保証が無いためです。

但し、例外措置として、例えば暗号化されたファイルが人命に関わるなど、金銭を支払わざる得ない場合はあるかと思われます。

また、通常の標的型攻撃の場合は、情報の搾取や漏えいを目的としているためデータの暗号化が有効な対策となりますが、ラムサムウェアでは当てはまらない場合もあります。

 

IT
情報セキュリティ、ISMS、リスク分析、ログ分析、送信ドメイン認証、公開鍵基盤、CSIRT、情報セキュリティ対策ベンチマーク
数理の散策路
力学、電磁気・相対論、熱・統計力学、量子力学、物性物理、機械学習、情報処理、金融、物理数学

情報処理推進機構

 

タイトルとURLをコピーしました