大量のセキュリティアラートに忙殺される担当者：セキュリティ最初の一歩（2/2 ページ）

[キーマンズネット]

ランサムウェアの技術的な進歩が著しい

　McAfee Labsの調査によれば、年初から2016年第3四半期末まで新たに検出したランサムウェアのサンプル合計数は386万603個でした。同社では、被害にあった医療機関が実際に身代金を支払ったため、医療機関を狙うランサムウェアがさらに増加したと報告します。

図2 新しいランサムウェアの検出件数（出典：「McAfee Labs 脅威レポート 2016年12月」）

　同時に、ランサムウェアの高度化も進みました。「Petya」と名付けられたランサムウェアは、ファイルではなくディスクのマスターブートレコードを上書きし、マスターファイルテーブルを暗号化します。ファイルそのものは破壊されておらず、アクセス不能になっているだけという状況を作り出すことで被害者に身代金を出させようと考えているわけです。しかも、身代金の支払いが1週間遅れると要求額が倍になるという仕掛けも実装し、心理的にも追いこんでいくのです。

　マルウェア対策としてサンドボックスを導入する企業も増えましたが、これを回避する対策を備えたランサムウェアも登場しました。非常に活発に活動している「Locky」と名付けられたランサムウェアは、自身のコードを暗号化し、実際のマシン上での実行速度と仮想環境での実行速度の差を認識して、サンドボックス上では休眠状態に入る仕組みを備えました。このほかにもさまざまなサンドボックス対策が考案されています。

　さらに「サービスとしてのランサムウェア」の登場により、技術力が低い犯罪者が手軽にランサムウェアを使った攻撃が実行できるようになっています。攻撃者が“犯罪サービスプロバイダー”へのアクセス権を購入し、攻撃の成功報酬を支払うという経済圏が完成しています。

図3 2016年はランサムウェアの年（出典：「McAfee Labs 脅威レポート 2016年12月」）

　このように高度化、複雑化するランサムウェアに対して、McAfee Labsは企業が取るべきポリシーと手順もまとめています。例えば、ランサムウェアが悪用する脆弱（ぜいじゃく）性の多くはパッチの適用で解決できます。パッチが適用できないような古いシステムの場合は、アプリケーションホワイトリストを利用して、未承認のプログラムの実行を禁止しましょう。このほか、スパム対策ツールの導入も有効です。