TheSAS2017
今や暗号化型マルウェア(ランサムウェア)は、個人ユーザーだけでなく企業にとっても脅威となっています。初めのうちは、スパムメールを使ってランサムウェアを大量送信し、金銭を要求するやり方が取られていました。やがてサイバー犯罪者たちは、個人よりも企業の方が価値ある情報を持つ可能性が高く、ビジネス継続のために手放せる金額も高い傾向にあることに気づきました。そこで、不特定多数にメールを送りつけるのではなく標的を選ぶようになり、偽の「請求書」や「国税局」を騙った手紙、悪意あるコード入りの紛らわしいドキュメントなどを中小規模企業に送りつけるようになりました。こうして、攻撃は次のレベルへと進化しました。暗号化型マルウェアを使用した標的型攻撃の出現です。
これ自体はさほど驚くにあたりません。標的を慎重に選び、標的のインフラを調査し、業務に不可欠な特定のファイルを暗号化すれば、まとまった額の身代金を手に入れられる可能性は劇的に高まります。実に合理的な話です。Kaspersky Labのアナリストは以前から、ランサムウェアがこのように進化することを予想していました。驚くべきは、その規模です。
当社では、企業から金を巻き上げようとしのぎを削るランサムウェア攻撃集団を、現時点で少なくとも8つ特定しています。大きなところではMamba、PetrWrap、このほかまだ名付けられていない6つの集団です。場合によっては、ファイル復号に対する見返りが50万ドルに上ることもあります。標的にされているのは主に金融機関で、データサーバーを復旧させるのと引き替えに身代金の支払いを要求されます。
被害報告の重要性
ランサムウェアがこれほど急速に普及した理由の1つは、企業たちの沈黙です。攻撃を受けた企業は、自社の重要データが暗号化されたことをなかなか報告しようとしません。そのため、標的型攻撃について全ソフトウェアベンダーが把握するまで時間がかかり、結果として多くの人に被害が及びます。必ずしもすべてのセキュリティ製品が暗号化型マルウェアのふるまいを検知できるとは限らないため、このような沈黙は大いに問題です(なお、カスペルスキー製品は検知する機能を備えています)。
したがって、暗号化型ランサムウェアの被害に遭った場合には、直ちに警察その他の機関へ報告することが肝要です。以下をご参照ください。
- 報告の手順やランサムウェアの脅威から身を守るための対策については、「No More Ransom」プロジェクトのWebサイトをご覧ください。
- エキスパートによるサービスを利用して、攻撃に関する全面的な調査を依頼するのも一案です。
- 各種ランサムウェアに対応するデータ復号ツールは、NoRansomサイトでも随時公開されています。
- ランサムウェアを利用した各種標的型攻撃については、Securelistに掲載されているエキスパートの解析記事をご参照ください(Mamba、PetrWrap、いずれも英語記事)。
ランサムウェア対策の基本
ランサムウェアに感染しないようにするため、また、感染した場合の被害を抑制するためには、以下の基本対策をお勧めいたします。
- 業務に不可欠な情報はバックアップを作成し、バックアップファイルを保存するサーバーを保護しましょう。
- 暗号化型マルウェアのふるまいを検知可能なセキュリティ製品を利用しましょう。なお、Kaspersky Labでは無料でご利用いただけるツール「Kaspersky Anti-Ransomware Tool for Business」をご提供しています。
- サイバーセキュリティに対する意識を高く保ちましょう。ソーシャルエンジニアリングを用いた攻撃は、現在も数多く確認されています。
- 暗号化型ランサムウェアから身を守るためのアドバイスも、ぜひご一読ください。
ヒント