2017年上半期、ランサムウェアによる二つの深刻な攻撃が起きました。
一件目は2017年5月12日に発生、既知のウインドウズのエクスプロイトを利用したWannaCryに何十万台もの脆弱性のあるコンピュータが世界中で感染しました。その中にはイギリスの国民保健サービス(NHS)トラストの34%も含まれていました。
二ヶ月も経たないうちに、 NotPetyaが同じマイクロソフトの脆弱性を悪用して、ウクライナ、ロシア、さらに一部ヨーロッパの銀行、空港、電力会社を攻撃しました。( Kaspersky Labは、NotPetyaはランサムウェアではなくワイパーマルウェアだとしています。なぜなら被害者が身代金を支払っても感染したディスクは、暗号化アルゴリズムが邪魔をして複合できなかったからです。)
WannaCry と NotPetyaはどちらもここ数十年でサイバー犯罪がどこまで進歩したかを物語っています。 WannaCryからの「身代金」要求のメッセージを見てみましょう。
ご覧のとおり、このしっかりとデザインされたダイアログボックスの脅迫メッセージは、ただ単にファイルが暗号化されたので、データのリカバリーに300ドルをビットコインで支払う必要があるとユーザに告げているだけではありません。ユーザの支払いの確認手段、ビットコインについての知識、仮想通貨の購入方法まで提供しています。
さらに、このダイアログボックスには、「身代金」がつり上げられ、感染したファイルの暗号解読キーが永久に削除されてしまうまでの残り時間をカウントダウンするタイマーまで表示されています。
これほどまでに洗練された「身代金」要求メッセージは、多くの人々が初めてランサムウェアの脅威を認識した1989年のトロイの木馬事例とは圧倒的な差があります。
WannaCryとは違い、トロイの木馬はマイクロソフトの脆弱性を利用して感染を拡大したのではありません。
悪意のある者が、無警戒なウェブユーザの自宅に感染したフロッピーディスクを送りつけて脅威を広めていました。そのディスクをコンピュータに差し込むと、マルウェアが起動して、コンピュータが90回起動するまでの間にディレクトリを隠し、Cドライブのファイル名を暗号化して、パナマにあるCyborg社の私書箱宛てに189ドル送金するようユーザに要求したのです。
入金を確認すると、このマルウェア作者は、感染したユーザのもとに、ファイルを復号化するツールを郵送しました。(KnowBe4社のブログ投稿参照。)
次に何が起きるか、もう皆が知っています。
ランサムウェアはトロイの木馬以降、様々な方向に枝分かれしていきました。悪意をもった開発者は偽のウイルス警告や本物のようなアラートを出してユーザを脅し、偽のあるいは悪意のあるPCソリューションを買わせる「スケアウェア」やソフトウェアを作り始めました。また暗号化ベースの脅威や「クリプトウェア」を開発した者もいます。
その分野は、技術革新および情報セキュリティー業界のマルウェア対策とともに推移しました。近年ランサムウェアの利用者の間で、最も人気なのはクリプトウェアという形式です。
ランサムウェアが出現してから30年近く経ちますが、今後もユーザを苦しめるように進化し続けていくに違いないと考えて間違いありません。そのため、ユーザがランサムウェアに感染しないよう防止策を講じるだけでなく、組織もまた自分を守ることが必要です。
対策はどうするか?PCIDSSのできる支援は?
PCIDDSに準拠しているかを確認するところから始めるのは良い考えでしょう。組織がコントロールの脆弱性に気付き、強化することで、攻撃対象範囲を狭めることが出来ます。また、ファイル整合性モニタや脆弱性管理といったセキュリティコントロールを企業が実装する際もサポートが可能です。
しかし、大きな企業は時にPCIDDSコンプライアンスに苦心することがあります。コンプライアンスを達成するには、最初は時間と努力が肝心です。組織はずっとコンプライアンスを維持し一貫性があるかどうか判断し、退屈な監査にも対処しなくてはなりません。そしてまたクリプトランサムウェアのような脅威に対する自身のシステムのセキュリティを強化するために、コンプライアンス以上の対策をとらなくてはなりません。
上手くいくと、PCIDDSコンプライアンスはランサムウェアから守ることができるでしょう、つまり投資の価値はあるのです。実際のところ、PCIDDSコンプライアンスはそんなに大変なものではありません。Tripwire Enterpriseは手順を簡単にし、WannaCryやその他最新のランサムウェア感染の脅威から組織を守るためのサポートをします。
