IT

ランサムウェアの感染経路とその対策

監修者:藤井 俊勝

セキュリティの緊急課題!ランサムウェアの感染経路とその対策

世界中のPCに感染し、ユーザーによる操作をロックしてしまうコンピュータウイルス「ランサムウェア」。ここでは企業のセキュリティにおける重大なデータを脅かすこのウイルスの感染経路と、企業側がいかにして感染を回避すればいいのかを、株式会社NTTデータの「【緊急レポート】ランサムウェア「Petya」亜種の大規模感染についてv1.1」を参考にしながら解説します。

ランサムウェアは「身代金要求ウイルス」

ランサムウェアとはコンピュータウイルスの一種で、「身代金要求型不正プログラム」とも呼ばれます。その名の通り感染したPCを乗っ取って人質とし、解放と引き換えにユーザーに金銭を要求することを目的としています。具体的には感染したPCをユーザーが操作できなくなったり、PC内のファイルやネットワーク上の共有ファイルが暗号化されて利用できなくなったりします。

その代わり画面上に「元に戻してほしければ、リンクをクリックして身代金を払え」というメッセージが表示されます。ランサムウェアの種類によっては同じネットワーク上にあるPCに感染が拡大していく場合があるため、個人だけでなく企業としても対策が必要です。

実際2017年5月にはランサムウェア「WannaCrypt(WannaCry)」が世界中で猛威を振るいました。このランサムウェアによる攻撃が、たった4日強で全世界で9.2万件以上、日本国内だけでも1.3万件以上にも上ったというデータもあります。

今回のWannaCry騒動はイギリス在住のサイバーセキュリティブロガー Marcus Hutchins氏により食い止められましたが、ランサムウェアはWannaCryだけではなく複数の種類や亜種が存在します。この世の中にランサムウェアというコンピュータウイルスが誕生してしまった以上、「対策をしない」という選択肢はありません。

6月末にはランサムウェア「GoldenEye」が世界を席巻

2017年5月のWannaCry騒動に続き、2017年6月27日以降にヨーロッパ圏を中心に被害を拡大させたのがランサムウェア「Petya」の亜種で、セキュリティ企業Bitdefenderによって「GoldenEye」という名前を与えられたランサムウェアです。

6月30日時点で日本での被害は確認されませんでしたが、ウクライナでは首都の公共交通機関や原子力発電所のシステム等で不具合が発生。その他ロシアやイギリス、アメリカ、オランダなどでも被害が報告されました。ランサムウェアの要求に応じて身代金を支払ったユーザも少なくなく、6月29日時点で10,000米ドルが身代金として支払われています。

以下ではこの「GoldenEye」の感染経路と攻撃情報をもとに、ランサムウェアへの適切な対策について考えます。

「GoldenEye」の感染経路

「GoldenEye」の感染経路は主に以下の三つ。

  • ウクライナ製の会計ソフト「MeDoc」の更新機能が攻撃され、マルウェアに感染する経路。
  • メールによって感染する経路。ランサムウェアによる攻撃の常套手段で、メールの確認作業を行うだけでも感染させることができます。
  • 上記ルートで感染したPCから同じネットワーク上のPCへの感染する経路。

この感染拡大には以下三つの仕組みが確認されています。

  1. 管理者権限を持つPCから同じ共有フォルダを持つPCに対してランサムウェアを感染させる方法。
  2. 最初に乗っ取ったPCからパスワード取得ツール「mimikatz」「LSADump」等を使って他PCのパスワード等を盗み、そこから感染させる方法。
  3. Microsoftのセキュリティ更新プログラム「MS17-010」をまだ適用していないPCに対しての感染。Windows OS のファイル共有プロトコル「サーバメッセージブロック(SMB)」の脆弱性を突くツール「EternalBlue」の実行によって、ランサムウェアを感染させます。前述したWannaCryは、この三つ目の方法とよく似た手口を使っていました。

「GoldenEye」は何ができる?

三つのルートを利用してPCに入り込むと、「GoldenEye」はそのPCに対して以下の四つの攻撃ができるようになります。

1.システムの再起動と脅迫メッセージの表示

「GoldenEye」に感染すると、感染から10〜60分後にシステムが再起動されます。再起動するとファイルだけでなく、NTFSにおける、「マスターファイルテーブル(MFT)」まで暗号化し、ファイルシステムまでロックします。暗号化が終わると、PCが起動する際にドライブから最初に読み込む「マスターブートレコード(MBR)」を上書きすることで、起動時に脅迫メッセージを表示するようになります。これにより脅迫メッセージのリンクから身代金を支払う以外、何の操作もできなくなってしまうのです。

2.ローカルネットワーク上の他PCの調査

「GoldenEye」はローカルネットワーク上にあるPCとサーバをリストアップし、それぞれが感染できる状態にあるかをチェックすることができます。その基準は脆弱性を持つ「NetBIOS」に使用されるポート139と、同じく脆弱性を持つSMBを使用するポート445が開いているかどうかです。開いていれば脆弱性を悪用できるということなので、「GoldenEye」は前述の三つのルートのいずれかを通じて攻撃を加えます。

3.パスワードの抽出

「GoldenEye」には前述のパスワード取得ツール「mimikatz」「LSADump」等が含まれているため、ユーザのパスワードを盗みとることが可能です。これによりさらに感染を拡大します。

4.ファイルの暗号化

「GoldenEye」は感染したPCのすべてのファイルに対して、確実な手法で暗号化を行うことができます。まず米国の国立標準技術研究所が2001年に制定した暗号化規格「AES」を使って鍵長128bitの鍵が、すべてのファイルに対して1つ作られます。攻撃者はこの鍵を公開鍵暗号の一つ「RSA」によって暗号化し、これをREADMEファイル内に保存。こうして鍵が確実に作られるというわけです。

ファイルの暗号化

ランサムウェアに感染しないための四つの対策

ランサムウェアに感染してしまっても、被害者側が何もできないわけではありません。しかし何よりもまずはランサムウェアに感染しないよう対策を講じておくことが重要です。以下ではここまでの内容を踏まえたうえで、四つの主な対策を紹介します。

1.更新プログラムは速やかに適用する

最も簡単かつ信頼性の高い対策が、更新プログラムの速やかな適用です。5月に被害を出したWannaCryは、本来2017年3月14日にMicrosoftが提供したセキュリティ更新プログラム「MS17-010」を適用していれば、何の問題もなく防げたはずのものでした。

しかし多くの企業がプログラムの更新を怠っていたため、このランサムウェアの被害は拡大したのです。前述したようにGoldenEyeも、この更新プログラムを適用していないPCを狙って感染範囲の拡大に成功しています。これらのことから、OSやソフトの更新プログラムは可能な限り自動更新するように設定しておくべきだといえるでしょう。

2.セキュリティソフトのバージョンは常に最新に

ランサムウェアには「WannaCry」や「Petya」以外にも、ビットコインウォレットを狙う機能を実装している「CERBER」やAndroid端末向けランサムウェア「SLocker」など様々な種類と亜種が存在します。もちろん現存するランサムウェア以外にも、新しいランサムウェアが出現してきます。こうした動きに対応できるよう、セキュリティソフトのバージョンも常に最新にしておくようにする必要があります。

3.高頻度・複数端末でのバックアップ 

事業に関わるような重要なデータは、こまめにバックアップをとっておくようにしましょう。外付けのハードディスクやクラウドストレージなど、複数のバックアップを取っておくことも必要です。ただしクラウドストレージの場合は、攻撃者によって同期されてしまうとデータの復元に利用できない場合もあるため、注意が必要です。

4.一般社員へのアナウンス

「GoldenEye」の初期感染ルートはウクライナ製の会計ソフトとメールからでした。いくら対策を講じていても、セキュリティ部門以外の社員が不用意にメールを開いていれば、簡単に感染を許してしまいます。したがってランサムウェアの持つ危険性を周知したうえで、「少しでも違和感のあるメールは触らない」という意識を浸透させることも、有効な対策となります。

5.もし感染してしまったら?

これらの対策を講じてもなおランサムウェアに感染してしまった場合には、大きく三つあります。第一にランサムウェアのデータベースサイト「ID Ransomware」でランサムウェアの種類を調べたうえで、それに対応する解除ツールを使う方法です。第二にバックアップ機能を使ってファイルを復元する方法。第三にセキュリティ会社や独立行政法人情報処理推進機構(IPA)などの専門機関に助けを求める方法です。最終手段として身代金を支払う方法もありますが、ファイルが復元される保証はどこにもないため、「当該データがなければ事業存続に関わる」などの状況にならない限りは避けるようにしましょう。

「万が一」のための万全の対策を

セキュリティ対策で最も注意するべきは「ウチに限ってそんなことは起きない」という油断です。ランサムウェアに感染してしまった場合に困るのなら、その可能性が万に一つでも万全の対策をとっておくことをおすすめします。

VAIOが提案する働き方改革

関連記事

intel CORE i7
インテル® Core™ i7プロセッサー
Intel Inside® 圧倒的なパフォーマンスを

Intel、インテル、Intel ロゴ、Intel Inside、Intel Inside ロゴ、Intel Atom、Intel Atom Inside、Intel Core、Core Inside、Intel vPro、vPro Inside、Celeron、Celeron Inside、Itanium、Itanium Inside、Pentium、Pentium Inside、Xeon、Xeon Phi、Xeon Inside、Ultrabook、Iris は、アメリカ合衆国および/またはその他の国における Intel Corporation の商標です。

※本ページに記載されているシステム名、製品名は、一般に各開発メーカーの「登録商標あるいは商標」です。