実は、ランサムウェアという言葉自体は古くから存在している。かつてはPCを狙い、ディスクやフォルダにアクセスできないようにした。暗号化するタイプも存在していたが、その手法は“進化”している。
しかし、その目的は暗号化することではなく「デバイスを使えなくして、その解除の見返りを求める」ことだ。これまでの情報窃取のように盗み出した情報をブラックマーケットで売ることで金銭化するよりも、被害者から直接金銭を得るというより簡単な換金手法であるため犯罪者にとってもメリットが大きい。
その対象が個人から法人へシフトしつつある。ランサムウェアの機能も進化し、感染したPCだけでなく、それが接続しているファイルサーバや外付けハードディスクなどの外部メディアも暗号化してしまう。つまり、そのPCから見えるファイル全てが人質になる可能性もある。
また、WindowsだけでなくMac OS Xを狙うマルウェアも登場している。対象となるデバイスの種類も拡大しており、最近ではAndroidの画面を勝手にロックするタイプや、セットトップボックスがランサムウェアに感染したという事例も確認された。ランサムウェアは広範囲に影響を及ぼしているのだ。
あなたの勤務先で、ファイルサーバに存在する大事なデータが明日開かなくなってしまったとしたら。情報システム部門はそのような状況を想定して対策を行っているだろうか。万が一に備え、手遅れになる前にランサムウェアの対策をしておきたい。
ランサムウェアの被害軽減策は、まず「バックアップ」だ。ほとんどの企業では当たり前のようにバックアップを行っているはずだが、基幹システムにおけるHDD障害対策であったり、ディザスタリカバリの一環でのバックアップだったりするだろう。基幹系システムだけでなく、OA系サーバ、クライアントPCのバックアップなど全面的な見直しが求められる。
特にファイルサーバに保存されたファイルがしっかりとバックアップされているかどうかを確認してほしい。フルバックアップが定期的に取られていることは、ランサムウェアに対する完璧な対策であり、「これ以外のものはない」ともいえるほどだ。
ポイントとなるは「バックアップ冗長性」だ。ランサムウェアはいつ攻撃が仕掛けられるか分からない。バックアップを週単位で取得しているならば、最悪7日分のデータを失う可能性がある。あらためて頻度や保存期間、そしてそのバックアップサイトの数を見直したい。
なお、バックアップからデータを復元する際には、ランサムウェアに感染する前のファイルであるかどうかを確認し、念のためウイルスチェックをしっかり行っておこう。
バックアップをランサムウェア対策として見直す場合、「バックアップメディア/ドライブがオンラインになっていないこと」にも気を付けたい。
ランサムウェアに感染すると、種類によっては接続している全てのドライブを暗号化しようとする。この時、バックアップのためにUSBドライブを接続していたままにしていると、それらも全て暗号化されてしまう。これではせっかくのバックアップ環境が無意味になってしまう。
外付けHDDなど外部メディアにデータをバックアップする場合には、バックアップ後は物理的に機器を取り外しておくことをお勧めする。同様にファイルサーバを利用している場合は、都度マウントを解除しておくといいだろう。
さらに、情報システム部門は「認識していないところにファイルサーバが存在しないか」に関しても気を付けるべきだろう。最近では、部門ごとに“勝手に”ファイルサーバやそれに類するものを運用しているケースがあり得る。この機会に把握を進め、管理下に置くべきだ。
悪意ある者の視点から見ると、ランサムウェアは“ビジネス”だ。いかに多くの利用者に感染させて、足が付かぬように身代金を回収することに注力している。そのため、ランサムウェアは日々、性能と品質が向上している。なぜならば「ランサムウェアに感染したら絶対に元に戻せない」と思われたら、誰も身代金を払おうとは思わないからだ。
日本において感染が拡大した当初のランサムウェアには不具合も目立ち、身代金を払うことなく暗号化を解除できるものもあった。現在では確実に身代金を得るため、品質も徐々に向上し、信頼性の高いマルウェアに仕上がってしまっているのが現状だ。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。