年末になると、Kaspersky Labのエキスパートは、年内に発生したインシデントを分析し、その年を代表するインシデント(またはトレンド)を1つ選定します。今回は、それほど議論になりませんでした。2017年は明らかにランサムウェアの年だったからです。3つのランサムウェアの大流行(WannaCry、ExPetr、そしてやや知名度の低いBad Rabbit)が、大きな注目を集めました。
突如発生したこれらの大流行は、多くの人々に不意打ちを食らわせましたが、当社のエキスパートは、こうした流行を2016年の時点で予測していました。2017年の予測では、「ファイルやシステムをロックしたりファイルを削除したりして、標的に身代金を払わせるが、何も戻してこない」ランサムウェアの出現について触れています。
では、これらの攻撃から得た教訓をおさらいしましょう。
横展開するマルウェア
これらの大流行が広く知られることになったのは、マルウェアによる暗号化がコンピューター1台に留まらず、ネットワークに接続する全コンピューターに及んだためです。感染規模がここまで拡大した背景には、Shadow Brokersが公開した脆弱性がありました。
とはいえ、大流行が始まる前の時点で、これらランサムウェアの感染を阻止するパッチがすでに存在していました。ただ、多くのコンピューターにはパッチがまだ適用されていませんでした。それだけでなく、これらの脆弱性を利用して侵入を図る者が今でも存在します(しかもかなりの成功を収めています、残念なことですが)。
教訓1:更新プログラムが公開されたら、すぐにインストールすること。セキュリティに直接関係する更新プログラムであれば、特に重要です。
重要度の低いシステム
これら暗号化型ランサムウェアの被害に遭ったシステムの多くは、ランサムウェア対策がまったくなされていませんでした。たとえば、電光掲示板や自動販売機などのシステムです。率直に言って暗号化できるものはありませんし、復号のために身代金を払う人もいないでしょう。ランサムウェア対策が必要だとは、誰も思わなかったのです。
しかし、攻撃者は標的を選ばず、可能な限りあらゆるものを感染させました。その損害は相当なものでした。これらシステムへのOS再インストールは無駄な時間とコストのかかる作業でしたし、今後もそうでしょう。
教訓2:情報インフラのあらゆる側面を保護しましょう。
脅しではなく破壊
ExPetrには、被害者を特定するメカニズムがありませんでした。つまり、(仮に)攻撃者が被害者に復号キーを渡そうとしても、渡すことはできなかったのです。このことから、彼らの目的はできるだけ大きなダメージを与えることであって、手に入れた身代金はおまけであったと推定できます。
当社では身代金を支払わないように推奨していますが、ここからも、身代金の支払いはデータを確実に取り戻す方法ではないことが分かります。
教訓3:データを失わないための唯一の現実的手段は、バックアップをとり、保護ソリューションを事前にインストールしておくことです。
今後似たような攻撃が発生したとき、教訓を生かして損害を最小限に留めたいものです。当社のエキスパートは、サイバー犯罪者たちが情報破壊を目的とするサイバー兵器として2018年もExPetr式の暗号化型マルウェアを使い続ける、と見ています。Kaspersky Labの調査チームによる2018年の予測の詳細は、こちらのページをご覧ください。