2025年10月22日水曜日

昔ながらのランサムウェア対策の復習

このエントリーをはてなブックマークに追加
Check

大手企業でのランサムウェア感染が立て続きに報道されている*1。被害にあった大手企業のシステム構成は分からないのだが、販売流通の管理システムが止まっているようで、基幹システムまで打撃を受けており衝撃だ。

ランサムウェアは、典型的には、メールに添付される(かリンク先でダウンロードされる)ファイルを実行したら感染する、PCのドライブのファイルを暗号化して利用不可能にし、複合してほしければ(仮想通貨決済で)身代金を払えと要求してくるコンピューター・ウイルスだ。1989年のAIDS Trojanが最古とされるが、決済手段の問題か当時は流行ることはなかった。近年になり暗号通貨の発明と普及で問題が解決され、犯人が現実的に身代金を得ることが可能になったため、流行している。

1. 定番の驚異として多様化しつつ定着

2013年のCryptoLockerと2017年のWannaCryが猛威を奮ったあと、ずっとセキュリティー対策の課題になっている。2015年の日本年金機構へのEMDIVIを用いたとされる標的型攻撃はランサムウェアではなかったが、侵入方法としては同様のものであった。

最近は、サポート切れVPN機器のセキュリティーホールを突くパターンをつくなど感染経路が多様化し、外部にファイルを転送して公開されたくなければ身代金を払えと脅すタイプや、ファイルの暗号化ではなく、スマートフォンをターゲットにした端末ロックを行うタイプも出現。標的組織を絞ったタイプのウイルスや、ウイルスがネットワークに侵入後、犯人がリモート操作をしてくる場合もある。

SSL-VPN機器のセキュリティーホールを突いてネットワークに侵入、脆弱性のあるActive Directory Domains Serviceを見つけたらそれを攻略し、ADDSに脆弱性が無くても脆弱な端末からドメイン管理者の認証情報を窃取し、ネットワーク全体の権限を得て…と言うような、映画のような犯罪行為が行われている*2

2. 定番のマルウェア/ランサムウェア対策

毎年一定数の被害が出ているが、

  1. 役所の3層分離*3のようなガッツリ対策
  2. 添付ファイルやメール中のリンクを無効化するソリューションを導入するぐらいのあっさり対策
  3. 信頼のおける電子署名がないアプリの起動を制限する人間不信対策*4
  4. ホスト型かネットワーク型の不正侵入検知/防御システム(IDS/IPS)を仕掛ける防火ではない消火型対策

などもある。併用も可能。なお、添付ファイルを開くな、怪しいリンクをクリックするなと言う注意喚起のお気持ち対策は、しても良いが効果を期待してはいけない。また、多要素認証はターミナルでコマンド操作されると回避されるため、典型的な攻撃者には障害にならない。

3. 定番対策の前にすべき必須対策

それらの前にやっておくべきことがある。

  1. OSやファームウェアやミドルウェアのアップデートを頻繁に行う
  2. 万が一の業務継続のためにバックアップは適切に取っておく

ことも有効かつ必須の対策だ。しかし、意外に必須であるはずのこの二つが疎かなことがある。

Microsoft社製品のアップデートは(も)不具合が生じるときがあり、フルバックアップを取ってから実行しないと致命的なことが起きうるので、ちょっと気が重い作業になることは確かだ。しかし、Windowsやその上で動くサービスにセキュリティーホールが複数ないと攻撃は成功しないことは多い。

不適切なバックアップ方法はランサムウェア対策にならない。サーバーの外付けHDDをつけてバックアップをとっていたが、それも暗号化されてしまった*5と言う被害体験談があった。リモートアクセス不能のバックアップ用端末からサーバーにログインして、バックアップをダウンロードするようにするか、テーププドライブなどでバックアップをとり、オフライン状態でメディアを保管しておくべきだった。

4. まとめ

経営方面の人の感覚で言うと、情報セキュリティマネジメントシステム推進体制をつくった上で審議して対策を考える事になると思うが、できることは2000年代と変わらないので、PDCAサイクルを回すほど移り変わりが激しいものでもない。バックアップを取ることの重要性はシステムに疎い人でも理解できるであろうし、人間不信対策と頻繁アップデートは情報システム部の根性で実施可能だ。また、あっさり対策も利用者負担は軽い。

なお、話題の大手企業二社については、まだ詳細は報じられていない。以上のような対策はバッチリとった上で侵入を許して回復不能になった可能性も、以上のような素朴な対策をとれない事情があった可能性もある。

*1ランサム被害のアサヒ、個人情報が流出した可能性 - ITmedia NEWS

アスクル、ランサム被害で注文キャンセル開始 「復旧に向け全社を挙げ対応中」 - ITmedia NEWS

*2攻撃者はなぜActive Directoryを狙うのか 侵害の理由とその対策 | トレンドマイクロ | トレンドマイクロ (JP)

*3関連記事:ガバメントクラウドに関係なく、自治体のセキュリティー対策がしっかりしていた件

*4Windows 7で導入されたAppLocker、Windows 11からのSmart App Controlで信頼のおける電子署名を必須にできる。何も設定していなくても「セキュリティの警告:発行元を確認できませんでした。このソフトウェアを実行しますか?」と言う警告は出るわけだが。

*5IPA「ランサムウェアの脅威と対策~ランサムウェアによる被害を低減するために~」のp.10でも、この事は指摘してあった。

時刻: 9:12
ラベル: ,

0 コメント:

コメントを投稿

登録: コメントの投稿 (Atom)