ランサムウェア:急成長の理由と手口

avatar

 2016.09.09  Japanブログ編集部

組織化されたサイバー犯罪も、合法的なビジネスと何ら変わるところはありません。収益を最大化するために、低リスクでの効率的な運営を目指しています。

犯罪者にとっては、捕まれば残りの人生を刑務所で過ごさなければならないという厄介な問題があります。データは 21 世紀の通貨と考えられています。これまで、サイバー犯罪者らは、クレジットカード番号や個人を特定できる情報(PII)などのデータを追い求めてきました。しかし、クレジットカードデータやその他の PII を盗む工程には大きなリスクを伴います。

攻撃は複数の段階で行われます。そして、段階ごとに検知される機会が増えていきます。攻撃者はネットワーク侵入の足掛かりを得て、システムやネットワーク内で POS マシンや個人情報のデータベースを探し回り、アクセスを維持したら、大容量のデータを自分たちが管理するサーバに吸い出します。

データの詐取に成功したら、実際にデータを現金化するというさらに危険な段階へと進みます。そして、ブラックマーケットでデータを売却するか、あるいは不正な目的のためにデータを使用することになります。どちらを選択するにしても、警察当局に捕まるリスクは高まります。攻撃者がデータを吸い出して、それを売却する安全な方法があったとしても、クレジットカードの有効期限が切れたり、すぐにキャンセルされたりするため、せっかく手にしたデータの価値はじきになくなります。

今日のサイバー犯罪環境では、ターゲットをウイルス感染させコントロールするための C&C との通信はまったく、あるいはほぼ行われず、非常に小さいペイロードがあれば目的を達成できます。 ランサムウェアにとって重要なのは、検知されることであって防御されることではありません。現在マルウェアの中でランサムウェアの数が圧倒的に多いのはこのことが理由のようです。他のタイプのマルウェアと同様に、ランサムウェアでコンピュータ感染させるのは簡単です。

Verizon のデータ漏えい/侵害調査報告書 (DBIR)では、マルウェアの検知には数百日を要すものの、ランサムウェアはすぐに検出できる仕様になっていることが示されています。暗号通貨の台頭によって、世界はランサムウェアにむしばまれるようになりました。Bitcoin は疑似匿名性を持つ通貨です。つまり、追跡が非常に困難であることを意味します。さらに、ランサムウェアを使った攻撃では通信の往復が非常に少ないため、キーボードを操る人物の特定には当局も手を焼いています。サイバー犯罪者の隠れ蓑を何枚もはぎ取るには、数週間あるいは数か月にもわたる調査が必要となることがほとんどです。

現在のランサムウェアの重要なターゲットは、一般ユーザと企業です。それらの大きな違いは、被害者に要求する身代金の金額です。

一般ユーザは、サイバー犯罪者にとって利益の小さいターゲットです。妥当な投資利益を稼ぐには、利益の薄い取引を多くこなさなければなりません。企業は利益が大きいターゲットです。その相手によって身代金を引き上げることができますが、一般的には感染数が少ないようです。

ランサムウェアが病院に多大な被害をもたらしたケースを目にしましたが、あらゆるビジネスモデルに被害が拡大しないという理由は見当たりません。病院においては、命が失われる可能性があるため、高額の身代金の支払いも正当化されました。同様に、命や公共の安全が失われることへの不安から、近い将来、公共施設が攻撃対象となることも十分に考えられます。

企業の強みは、万一攻撃された場合にも、リカバリに備えたバックアップ手順がしっかりと準備されていることです。バックアップのポイントは、感染時のデータ復旧にかかる総コストです。バックアップを準備するだけでは不十分です。リカバリ手順をしっかりとテストしておく必要があります。企業の場合、身代金を払うかどうかは、バックアップからの復旧と身代金の支払いのどちらが安く済むかによって決定されます。

ランサムウェアを使えば、被害者を感染させた罪で逮捕されるリスクも、犯罪行為によって金銭を得るためのリスクも、他のサイバー犯罪と比較すればかなり小さくて済みます。さらに、Trustwave 社のグローバルセキュリティレポートの試算では、ランサムウェアの作者と実行者の投資利益率は 1,400% 以上であることが示されています。つい最近では、ランサムウェア CryptXXX がたった 3 週間のうちに 45,000 ドルの身代金を稼ぎ出したことが報じられています。

サイバー犯罪者がランサムウェアを選ぶのも当然です。

ランサムウェアの仕組み

ランサムウェアの攻撃は 5 つの明確なステップ(感染、暗号化、通知、支払い、復号化)の順に実行されます。攻撃者はまず、ターゲットのマシンを感染させる経路を見つけなければなりません。感染が行われると、次のステップではファイルを見つけて暗号化します。暗号化に成功すると、ユーザに金銭を支払うように警告します。すると、被害者は復号化キーと引き換えに身代金を支払うか、ファイル復元のためのリカバリ手順を実行します。

サイバー犯罪者のそれぞれが、独自の戦略、テクニック、手順を持っています。しかしながら、ネットワークに侵入するための最も簡単な方法は、ユーザを利用して、添付ファイルを開かせたり、リンクをクリックさせるやり方です。攻撃者らはフィッシングメールを送りつけるなど、手を変え品を変えて、添付ファイルを開かせようとします。大切なのは、ネットワークへの糸口をつかむことです。ユーザ側には 100% の防御が求められますが、犯罪者側はたった一度攻撃に成功すればよいのです。

個々のマルウェアは、完全なペイロードであるか、あるいは C&C サーバと通信して次に何をするかの指示を受けます。最終的なペイロードが被害者のマシンにもぐりこむと、重要なファイルを探して暗号化します。

一般的には、ドキュメント、スプレッドシート、PDF、写真、バックアップファイル、および被害者にとって重要と思われるものが狙われます。ファイルを暗号化していても、ランサムウェアがファイルを狙うのを阻止することは困難です。ランサムウェアは暗号化されたファイルも狙うからです。

ファイルのリストを作成すると、ランサムウェアはすべてのファイルを暗号化するプロセスを開始します。暗号化が完了すると、ランサムウェアは、デスクトップの背景を変えるなどしてユーザに警告を発します。また、暗号化したファイルとともに、身代金の支払い方法が書かれた readme ファイルを提示します。ユーザが身代金を払うと、復号方法を説明する文書とともに復号化キーが提供されます。

身代金を払っても復号化キーが送られてこないというリスクは、比較的低いようです。ランサムウェアの作者は、いくつかの理由で、評判を落としたくないと考えています。身代金を支払ってもファイルが復号化されなかったという噂が広まれば、今後被害者は支払いを拒否するようになるでしょう。また、マルウェアの作者と、マルウェアをユーザに配布するサイバー犯罪者の関係が切れることは珍しくありません。配布者がマルウェア作者に不信感を抱けば、別の作者に乗り換えるかもしれません。

https://www.youtube.com/watch?v=rz4pZR_buM8

感染に対処する

ランサムウェアの種類によって、そのメカニズムは異なります。ただし、それらはすべてローカルハードドライブ内で目的のファイルを探します。ローカル PC の種類(CPU、メモリ、ディスクスピード)によって、また対象のファイルの数によって異なりますが、この検索には数秒から数分かかります。一部のランサムウェアは、共有ネットワーク内まで検索します。つまり、感染したユーザが特権ユーザ(ドメイン管理者など)だった場合、ランサムウェアは、そのユーザがアクセス可能な共有ネットワーク上のあらゆるファイルに感染する可能性があることを意味します。ユーザに与える権限を、業務に必要な最低レベルにとどめておく重要性はここにあります。ユーザが特権を持っていなくても、業務遂行のためにアクセスが必要なファイルは存在します。

ファイルが暗号化されてしまったら、身代金を支払う、ファイルを復元する、データを失う、の 3 つの選択肢しかありません。

一部のケースでは、不注意なマルウェア作者が、弱いあるいは予測可能な復号化キーを使用していることがあります。このような場合、身代金を支払わずにファイルを復号化できるかもしれません。しかし、サイバー犯罪者らも以前の失敗から学んでいるようで、このようなケースは少なくなっています。身代金を支払う代わりに、用意しておいたバックアップを使用して復旧することもできます。

データのコピー 3セットを、2つの異なるタイプのメディアで、そしてそのうち 1つをオフサイトに保管するという「3-2-1 バックアップモデル」が推奨されています。このモデルを実践すると、あなたが保存しておいたたった 1 つのバックアップファイルを暗号化されてしまうリスクを避けることができます。唯一のバックアップを、接続したUSB ドライブに保存しておくのはお勧めできません。

ファイルの復旧または身代金の支払いが終わったら、マルウェアの侵入手口を特定することが重要です。ファイルにアクセス可能となったということは、攻撃の入り口となった脆弱性があるはずです。ほとんどのランサムウェアは完全自動化されています。つまり、ユーザが以前と同じように悪質なドキュメントを開いたら、また同じファイルが暗号化されてしまうでしょう。まともなマルウェア作者なら、金銭と引き換えに手に入れた復号化キーはすでに使えなくなっているはずです。再び身代金を支払うか、ファイル復旧手順を再び実行するしかありません。身代金を要求する犯人に、悪質なファイルをまたうっかり開いてしまったのだと説明しても、まず許してはくれないでしょう。

最良の対策は、すべてのアプリケーションと OS のパッチを適用しておくこと、すべてのアンチマルウェアシグネチャを最新のものにしておくこと、そして可能であればマシンの再イメージングを行っておくことです。

予防策

バックアップを使用してランサムウェアの被害から復旧することに焦点を当ててきましたが、常に予防策をとっておくことが大切です。まず、ランサムウェアはいつでも侵入してくる可能性があるという事実を受け入れましょう。あなたとあなたのユーザが受信する E メールのあらゆる添付ファイルやリンクが、数百から数千ドルの身代金または復旧費用への支払いの元凶となる可能性があるのです。もし私たちが復旧コストをゼロにすることができても、犯罪者らはデータ復号のための身代金を要求することから別の策へと転じるでしょう。

最近では、データを公開されないようにするために支払う身代金も目にするようになりました。最近のランサムウェアは、ファイルを取り返すためだけでなく、それらのデータをオンライン上で公開されないために身代金を支払う段階にまで来ています。企業にとっては、罰金を科せられたり、評判が失墜することを意味します。個人ユーザにとっては、プライベートの公表、あるいは毀損を意味します。

目標は「サイバーキルチェーン」のできるだけ早い段階で攻撃をストップさせることです。ランサムウェアの場合は、マルウェアがネットワークに最初に侵入するという段階です。たいていの場合、この発端は E メールです。大企業向けには、悪質な添付ファイルを開くようにエンドユーザを仕向けるマルウェアやフィッシングメールを検知するための優れたアンチスパム技術が数多くあります。

中小規模の会社は、そのような技術が組み込まれたサービスを提供する E メールプロバイダを利用すると良いでしょう。さらに小規模の会社は、セキュリティ業務を外注することにより、コスト効率良くセキュリティ体制を向上できます。

ランサムウェアがデバイスに侵入してしまったら、最初のステップはそれが実行されるチャンスを最小化することです。可能であれば、アプリケーションホワイトリスティングを導入すれば、すべてのタイプのマルウェアがシステム上で実行されるのを防ぐことができます。既知の正当なソフトウェアのリストを定義することにより、ランサムウェアなどの未知の実行ファイルは起動できなくなり、エンドポイントの感染を阻止できます。

しかしながら、正当なソフトウェアでさえ、悪用されることもあります。JScript で記述のランサムウェアが関与するインシデントも発生しています。この種の実行ファイルは、多くのエンドポイントでホワイトリスト登録できる、あるいはすべきものです。Python、Perl などのスクリプト言語や、エンドポイント上で実行可能なさまざま言語を使って同様の攻撃を行うことも可能でしょう。

マルウェアが実行される場合に備えて、レピュテーション検索を行ってくれるファイアウォールを配備しておけば、ランサムウェアの完全な攻撃を防ぐもう 1 つの手段となります。ランサムウェアを含む数多くのマルウェアは、最初の感染時に stager と呼ばれる極小プログラムを使用し、その後 C&C サーバに接続して完全なペイロードを取得します。この通信を断ち切ることで、攻撃のブレインを断ち切ることができます。

ホワイトリスティングは万能ではないため、さらに別のセキュリティ対策を採用すべきです。Center for Internet Security(CIS)は、数々の脅威からユーザを保護する良いオプションを提案しています。1 つは、エンドポイントとサーバを堅牢化して安全性を確保するための総合的なセキュリティベンチマークです。これらの勧告は、ランサムウェアがシステムに侵入して重要データを見つけ出す可能性を低減する効果があります。また、重要なセキュリティコントロール(CSC:critical security controls)は、セキュリティ管理者に組織全体のセキュリティ体制に関する知見を提供します。

ランサムウェアは犯罪者にとって魅力的なビジネスモデルです。人は自分が作ったデータに思い入れがあり感情的に結び付いています。一方、企業にとってデータは金銭に結び付くものです。犯罪者らは、このような結びつきを悪用しています。そのため、コードが悪用され、感染経路が変化しても、私たちは、ランサムウェアは長期間存在しているという事実に何とか対処していかなければいけません。

 

Title image courtesy of ShutterStock

元の記事はこちらからご覧いただけます。

改ざん検知まるわかりガイド

RECOMMEND関連記事


RECENT POST「市場動向」の最新記事


この記事が気に入ったらいいねしよう!