ランサムウェアの感染経路とその対策

PCやスマートフォン、タブレットなどビジネスでインターネットにアクセスする回数は飛躍的に伸びています。しかし、便利になった分だけつきまとってくるのがサイバー攻撃です。

NICT（国立研究開発法人情報通信研究機構）の発表によると、2018年に観測されたサイバー攻撃関連の通信は、合計2,121億パケットにものぼります。これは1IPアドレスに対し、1年間で79万パケットになります。テレワークなどオフィスや時間にとらわれずに働くスタイルが浸透するなかで、企業はサイバー攻撃にも十二分に対策をしなくてはいけません。

今回は、サイバー攻撃のなかでも、ユーザーによる操作をロックしてしまうコンピュータウイルス「ランサムウェア」の感染経路と、企業側がいかにして感染を回避すればいいのかを、株式会社NTTデータの「【緊急レポート】ランサムウェア「Petya」亜種の大規模感染についてv1.1」を参考にしながら解説します。

ランサムウェアは「身代金要求ウイルス」

ランサムウェアとはコンピュータウイルスの一種で、「身代金要求型不正プログラム」とも呼ばれます。その名の通り感染したPCを乗っ取って人質とし、解放と引き換えにユーザーに金銭を要求することを目的としています。具体的には感染したPCをユーザーが操作できなくなったり、PC内のファイルやネットワーク上の共有ファイルが暗号化されて利用できなくなったりします。

その代わり画面上に「元に戻してほしければ、リンクをクリックして身代金を払え」というメッセージが表示されます。ランサムウェアの種類によっては同じネットワーク上にあるPCに感染が拡大していく場合があるため、個人だけでなく企業としても対策が必要です。

実際2017年5月にはランサムウェア「WannaCrypt（WannaCry）」が世界中で猛威を振るいました。このランサムウェアによる攻撃が、たった4日強で全世界で9.2万件以上、日本国内だけでも1.3万件以上にも上ったというデータもあります。それまで個人をターゲットとしていたランサムウェアが、国家をも揺るがす脅威となることを世の中に知らしめたのが「WannaCrypt（WannaCry）」です。

今回のWannaCry騒動はイギリス在住のサイバーセキュリティブロガー Marcus Hutchins氏により食い止められましたが、ランサムウェアはWannaCryだけではなく複数の種類や亜種も次々に誕生しています。

ランサムウェアの一種「GoldenEye/PETYA」を事例とともに紹介

2017年5月のWannaCry騒動に続き、2017年6月27日以降にヨーロッパ圏を中心に被害を拡大させたのがランサムウェア「PETYA」の亜種で、セキュリティ企業Bitdefenderによって「GoldenEye」という名前を与えられたランサムウェアです。

ウクライナでは首都の公共交通機関や原子力発電所のシステム等で不具合が発生。その他ロシアやイギリス、アメリカ、オランダなどでも被害が報告されました。ランサムウェアの要求に応じて身代金を支払ったユーザーも少なくなく、6月29日時点で10,000米ドルが身代金として支払われています。この「GoldenEye」の感染経路と攻撃情報をもとに、ランサムウェアへの適切な対策について考えます。

ランサムウェア「GoldenEye」の感染経路

「GoldenEye」の感染経路は主に以下の3つです。

ウクライナ製の会計ソフト「MeDoc」の更新機能が攻撃され、マルウェアに感染する経路。
メールによって感染する経路。ランサムウェアによる攻撃の常套手段で、メールの確認作業を行うだけでも感染させることができます。
上記ルートで感染したPCから同じネットワーク上のPCへの感染する経路。

この感染拡大には以下三つの仕組みが確認されています。

管理者権限を持つPCから同じ共有フォルダを持つPCに対してランサムウェアを感染させる方法。
最初に乗っ取ったPCからパスワード取得ツール「mimikatz」「LSADump」等を使って他PCのパスワード等を盗み、そこから感染させる方法。
Microsoftのセキュリティ更新プログラム「MS17-010」をまだ適用していないPCに対しての感染。Windows OS のファイル共有プロトコル「サーバメッセージブロック（SMB）」の脆弱性を突くツール「EternalBlue」の実行によって、ランサムウェアを感染させます。前述したWannaCryは、この3つ目の方法とよく似た手口を使っていました。

「GoldenEye」は何ができる？

3つのルートを利用してPCに入り込むと、「GoldenEye」はそのPCに対して以下の四つの攻撃ができるようになります。

1.システムの再起動と脅迫メッセージの表示

「GoldenEye」に感染すると、感染から10〜60分後にシステムが再起動されます。再起動するとファイルだけでなく、NTFSにおける、「マスターファイルテーブル（MFT）」まで暗号化し、ファイルシステムまでロックします。暗号化が終わると、PCが起動する際にドライブから最初に読み込む「マスターブートレコード（MBR）」を上書きすることで、起動時に脅迫メッセージを表示するようになります。これにより脅迫メッセージのリンクから身代金を支払う以外、何の操作もできなくなってしまうのです。

2.ローカルネットワーク上の他PCの調査

「GoldenEye」はローカルネットワーク上にあるPCとサーバをリストアップし、それぞれが感染できる状態にあるかをチェックすることができます。その基準は脆弱性を持つ「NetBIOS」に使用されるポート139と、同じく脆弱性を持つSMBを使用するポート445が開いているかどうかです。開いていれば脆弱性を悪用できるということなので、「GoldenEye」は前述の三つのルートのいずれかを通じて攻撃を加えます。

3.パスワードの抽出

「GoldenEye」には前述のパスワード取得ツール「mimikatz」「LSADump」等が含まれているため、ユーザーのパスワードを盗みとることが可能です。これによりさらに感染を拡大します。

4.ファイルの暗号化

「GoldenEye」は感染したPCのすべてのファイルに対して、確実な手法で暗号化を行うことができます。まず米国の国立標準技術研究所が2001年に制定した暗号化規格「AES」を使って鍵長128bitの鍵が、すべてのファイルに対して1つ作られます。攻撃者はこの鍵を公開鍵暗号の一つ「RSA」によって暗号化し、これをREADMEファイル内に保存。こうして鍵が確実に作られるというわけです。

ランサムウェアの種類と事例

「WannaCrypt（WannaCry）」「GoldenEye/PETYA」の被害や事例について説明しましたが、その他にも猛威を奮ったランサムウェアが存在します。いくつか紹介します。

KRSWLocker

2014年に確認されたランサムウェアで、初めて日本ユーザーをターゲットとしたランサムウェアとして知られています。犯人は当時17歳の少年ということでも話題を集めました。

Locker

数回にわたり大流行したランサムウェアです。24時間で2,300万通以上のフィッシングメールが送られ、脅迫文も多言語に対応されるなど、大規模なランサムウェアとして知られています。

Bad Rabbit

「WannaCrypt（WannaCry）」「GoldenEye/PETYA」につづき、2017年に欧州で大きな被害を生み出したのが「Bad Rabbit」と呼ばれるランサムウェアです。ロシアの大手報道機関が感染したのをきっかけに、東欧に被害が広がりました。攻撃対象となる組織のユーザーが普段アクセスするサイトを特定し、不正なプログラムが作動するようにコードを改ざんする「水飲み場攻撃」が特徴です。

Oni（鬼）

日本語の脅迫文が表示されていることから、日本企業を狙ったランサムウェアだと考えられています。他のランサムウェアとの違いは、長期間潜伏することが挙げられます。このことから身代金は要求するものの、真の目的は企業の機密情報の収集だとも考えられています。

SamSam

2015年に確認されたときは目立った存在ではありませんでしたが、徐々にその実態が解明され、600万米ドル以上の被害が出ていることが判明しました。SamSamは他のランサムウェアと異なり、人間が手動で作業する工程が多く、その分巧妙に侵入します。被害数は多くないですが、身代金の額が高く、進化をつづけています。

ランサムウェアに感染しないための4つの対策

ランサムウェアに感染してしまっても、被害者側が何もできないわけではありません。しかし何よりもまずはランサムウェアに感染しないよう対策を講じておくことが重要です。以下ではここまでの内容を踏まえたうえで、4つの主な対策を紹介します。

1.更新プログラムは速やかに適用する

最も簡単かつ信頼性の高い対策が、更新プログラムの速やかな適用です。5月に被害を出したWannaCryは、本来2017年3月14日にMicrosoftが提供したセキュリティ更新プログラム「MS17-010」を適用していれば、何の問題もなく防げたはずのものでした。
しかし多くの企業がプログラムの更新を怠っていたため、このランサムウェアの被害は拡大したのです。前述したように「GoldenEye/PETYA」も、この更新プログラムを適用していないPCを狙って感染範囲の拡大に成功しています。これらのことから、OSやソフトの更新プログラムは可能な限り自動更新するように設定しておくべきだといえるでしょう。

2.セキュリティソフトのバージョンは常に最新に

ランサムウェアには「WannaCry」や「GoldenEye/PETYA」以外にも、ビットコインウォレットを狙う機能を実装している「CERBER」やAndroid端末向けランサムウェア「SLocker」など様々な種類と亜種が存在します。もちろん現存するランサムウェア以外にも、新しいランサムウェアが出現してきます。こうした動きに対応できるよう、セキュリティソフトのバージョンも常に最新にしておくようにする必要があります。

3.高頻度・複数端末でのバックアップ

事業に関わるような重要なデータは、こまめにバックアップをとっておくようにしましょう。外付けのハードディスクやクラウドストレージなど、複数のバックアップを取っておくことも必要です。ただしクラウドストレージの場合は、攻撃者によって同期されてしまうとデータの復元に利用できない場合もあるため、注意が必要です。

4.一般社員へのアナウンス

「GoldenEye/PETYA」の初期感染ルートはウクライナ製の会計ソフトとメールからでした。いくら対策を講じていても、セキュリティ部門以外の社員が不用意にメールを開いていれば、簡単に感染を許してしまいます。したがってランサムウェアの持つ危険性を周知したうえで、「少しでも違和感のあるメールは触らない」という意識を浸透させることも、有効な対策となります。

5.もし感染してしまったら？

これらの対策を講じてもなおランサムウェアに感染してしまった場合の対処には、大きく三つあります。第一にランサムウェアのデータベースサイト「ID Ransomware」でランサムウェアの種類を調べたうえで、それに対応する解除ツールを使う方法です。第二にバックアップ機能を使ってファイルを復元する方法。第三にセキュリティ会社や独立行政法人情報処理推進機構（IPA）などの専門機関に助けを求める方法です。最終手段として身代金を支払う方法もありますが、ファイルが復元される保証はどこにもないため、「当該データがなければ事業存続に関わる」などの状況にならない限りは避けるようにしましょう。