5分で分かる、ランサム対策で必ず押さえる10カ条:ランサムウェアを5分で学ぶ
第1回、第2回に続き、今回はランサムウェアが人を攻撃する仕組みとITを攻撃する仕組みを紹介する。最後に総まとめとしてベストプラクティスを5分で学ぼう。
ランサムウェア攻撃は2つの方向から攻めてくる。一つは人を攻撃対象とするものだ。もう一つは人ではなくITを攻撃する攻撃だ。どちらか片方ではなく両方を組み合わせてくることが多い。これに対抗するにはどのような作戦が有効だろうか。
クラウドストレージサービスを提供するBackblazeが2024年6月20日(現地時間)に公開したランサムウェアに関する報告を第1回、第2回に引き続き紹介する。
人を攻撃する方法は5種類ある
まずは人の弱点を突いてくる攻撃だ。
セキュリティの穴がヒューマンエラーによって開く場合は多い。犯罪者はソーシャルエンジニアリングを通じてこの穴を突いてくる。情報セキュリティの文脈では、ソーシャルエンジニアリングとは、不正な目的に使用される可能性のある機密情報や個人情報を漏らすように個人を操作するために、偽りの情報を使用することだ。Backblazeは「システムの弱点は通常、キーボードと椅子の間にある」と表現した。
人を攻撃する方法は主に5種類に分かれる。
(1)フィッシング
フィッシングは一見正当に見える電子メールを使って、人々をだまし、リンクをクリックさせたり、添付ファイルを開かせたりして、知らず知らずのうちに悪意のあるマルウェアを送りつける手法だ。
組織内の1人だけに送られることもあれば、多数に送られることもある。より信用があるように見せるために目的に応じて標的を絞ることもある。これまでは標的を絞った場合、犯罪者側で調整に時間がかかっていたものの、「ChatGPT」のような生成AIを使ったり、個々のターゲットに対するリサーチを重ねたりすることで、単純な作業に置き換わってきた。上司や取引先、別部門の知り合いなど送信者が知っているはずの人物からのメッセージに見えるようにメールアドレスを偽装したり、被害者の仕事に関連するように件名を調整したりすることもある。このような高度にパーソナライズされた手法はスピアフィッシングと呼ばれている。
(2)SMSフィッシング
SMSフィッシングはテキストメッセージを使って、受信者をWebサイトに誘導したり、端末に個人情報を入力させたりする。認証メッセージや金融機関、その他のサービスプロバイダーなどを装ったメッセージが使われることが多い。SMSフィッシングを利用するランサムウェアの亜種の中には、デバイスの連絡先リストにある全ての連絡先に自分自身を送信することで、自分自身を増殖させようとするものもある。
(3)ビッシング
ビッシングは電子メールやSMSと似たような攻撃手法だ。ボイスメールを利用して被害者を欺き、一見正当な番号に電話をかけるよう指示するメッセージを残す。もちろん攻撃者の手元にある番号だ。そこに電話をかけると、表向きは何らかの問題を解決するための一連の指示に従うよう強要される。例えば、「認証に失敗しているので再度入力してほしい」「Windowsのセキュリティが無効になっているので有効化してほしい」といった指示だ。こうして被害者は手元のPCにランサムウェアをインストールさせられてしまう。フィッシングの手口と同様、ビッシングもAIの普及とともにますます巧妙になってきた。最近成功したディープフェイクでは、ビッシングを活用して企業の上層部の声を複製し、2500万ドルもだまし取られてしまった。ビッシングもスピアフィッシングと同様、高度に標的を絞るようになってきた。
(4)ソーシャルメディア
ソーシャルメディアはWebサイトからダウンロードした画像を被害者に開かせたり、その他の危険な行動を取らせたりする強力な手段だ。媒体は音楽やビデオ、またはその他のアクティブなコンテンツであり、いったん開くとユーザーのシステムに感染する。
(5)インスタントメッセージング
「WhatsApp」「Facebook Messenger」「Telegram」「Snapchat」などのインスタントメッセージングサービスには40億人以上のユーザーがおり、ランサムウェア攻撃にとって魅力的だ。信頼できる連絡先から送られてきたように見せかけ、手元のPCを感染させるリンクや添付ファイルを含んでいることがある。ときには被害者の連絡先リスト全体に広がって拡散する。
いずれの攻撃にも技術的な工夫が盛り込まれている。だが、人間の心理の脆弱(ぜいじゃく)性を突いていることが特徴だ。
機械対機械の戦い
もう1つの攻撃は機械同士の間で起こる。攻撃は自動化されており、PCやネットワークに侵入する際、被害者が意識的に関与しなくても感染が起こる。攻撃者側も臨機応変な対応が必要ない。
機械対機械の攻撃手法も5つある。
(1)ドライブバイ
ドライブバイは特に悪質だ。細工されたWebサイトを被害者が閲覧すると、画像やアクティブコンテンツのコード内にマルウェアが含まれているからだ。被害者を誘導する必要がなく、たまたま閲覧しただけで攻撃が通ってしまう。ドライブバイとは「ただ通り過ぎる」だけということを意味する。
(2)既知のシステムの脆弱性
攻撃者は特定のシステムやソフトウェアの脆弱性を把握した後、脆弱性を悪用してPCやサーバに侵入して、ランサムウェアをインストールする。これは、最新のセキュリティパッチが適用されていないシステムでよく起こる。そのようなシステムは非常に多いため、ランサムウェア攻撃の定番だ。
(3)マルバタイジング
マルバタイジングはドライブバイと似ている。広告を使ってマルウェアを配信するところが違う。検索エンジンや人気のソーシャルメディアサイトに掲載された広告でも危険だ。
(4)ネットワーク伝播
ランサムウェアがシステムに侵入すると、ファイル共有やアクセス可能なPCやサーバをスキャンし、ネットワークや共有システム全体に拡散する可能性がある。セキュリティが十分でない企業では、会社のファイルサーバやその他のネットワーク共有にも感染が広がる可能性がある。マルウェアはアクセス可能なシステムがなくなるか、セキュリティ上の障壁にぶつかるまで増殖する。これは多くのランサムウェア攻撃で横展開と呼ばれている動作だ。ネットワーク伝播を使わないランサムウェアの方が珍しいだろう。
(5)共有サービスを介した伝播
ファイル共有や同期などを提供するオンラインサービスはランサムウェアの増殖に利用される可能性がある。ランサムウェアが自宅のPCの共有フォルダに入っただけで、オフィスや取引先に感染が広がる可能性もある。多くのファイル共有サービスではファイルが追加または変更されると自動的に同期するように設定されているだろう。悪意のあるマルウェアがわずか数ミリ秒で広範囲に伝播する可能性がある。
自動的に同期するシステムの設定には十分注意し、どのフォルダのファイルが誰と同期されるのか、あらかじめ設定を調べておくことが重要だ。ファイルをむやみに他人と共有せず、共有すべきものだけを共有するようにする。つまり、ファイルの出所を正確に把握していない限り、他人とファイルを共有することには慎重になるべきだ。
ランサムウェア対策のベストプラクティス10選
3回にわたってランサムウェアの規模や動作、攻撃手法などを紹介してきた。最後にランサムウェア攻撃を防ぐ予防策を紹介しよう。これは10種類ある。
(1)動作を阻止 ウイルス対策ソフトやマルウェア対策ソフト、その他のセキュリティポリシーを使って、既知のペイロードの起動をブロックする
(2)バックアップの実行 全ての重要なファイルを頻繁に包括的に多世代でバックアップし、ローカルネットワークやオープンネットワークから隔離する
(3)オブジェクトロックの利用 バックアップソリューションとしてオブジェクトロックのようなバックアップオプションが備わっているものを選ぶ。エアギャップを実現するためだ。オブジェクトロックを実行できればデータが固定されて、変更不可能な状態になり、ランサムウェアには手が出せなくなる。エンドユーザーが設定した時間枠内では削除できなくなるように設定しよう。
(4)エアギャップの確立 ランサムウェアによる不正なアクセスを防ぐため、外付けストレージドライブやクラウドなど、エアギャップ済みの場所や感染した可能性のあるPCからはアクセスできない場所にオフラインデータバックアップを保存する。
(5)脆弱性の排除 信頼できるベンダーを通じて、OSやアプリケーションのセキュリティを常に最新の状態に保つ。OSやミドルウェア、Webブラウザなどは常に脆弱性が見つかっている。それをふさぐため、パッチを適用する計画を立て実行しよう。
(6)セキュリティソフトウェアの利用 エンドポイントやメールサーバ、ネットワークシステムを感染から守るために導入する。
(7)ネットワークのセグメント化 重要なPCやサーバを隔離し、攻撃を受けたときにランサムウェアの拡散を防ぐ。不要なネットワーク共有はオフにする。
(8)最小特権の原則を適用 必要のない管理者権限をオフにする。ユーザーには、業務に必要な最低限のシステム権限を与える。
(9)書き込み権限の制限 特にファイルサーバの書き込み権限をできるだけ制限する。
(10)教育 ランサムウェアをシステムから排除するためのベストプラクティスについて、自分自身と従業員を教育する。最新のフィッシング詐欺メールやヒューマンエンジニアリングについて、従業員全員の知識をアップデートする。
ランサムウェア攻撃に対応する最善の方法はそもそも攻撃を受けないようにすることだ。だが、攻撃はやまない。いずれは感染が起こる。貴重なデータをバックアップして隔離しておけば、万が一攻撃の餌食になったとしても、ダウンタイムやデータ損失を最小限に抑えられるだろう。
関連記事
ランサムウェアが侵入に使うあなたの会社の「このツール」
ランサムウェア攻撃は企業にとって非常に有害だ。サイバーセキュリティ保険を扱う企業の分析によって、企業が利用しているあるツールが侵入口として危険だと分かった。
ランサムウェアの「巻き添え被害」が増加している業界とは?
ランサムウェア攻撃の猛威はとどまることを知らない。時に本来の攻撃対象ではないにもかかわらず、攻撃の余波を受けてしまうことがある。
ランサムウェアグループに政府が反撃 被害に遭った組織は立ち直れるのか
さまざまな企業や重要インフラを攻撃していたランサムウェアグループを政府が攻撃し、グループのインフラをシャットダウンした。だが被害に遭った組織はどうやって立ち直ればよいのだろうか。
ランサムウェアの身代金、「支払い禁止令」を出すべきか?
ランサムウェア攻撃から復旧する際、身代金を支払うと素早く業務を再開できることがある。だが、これは犯罪者を利する行為だ。支払い禁止政策はどうなっているのだろうか。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.