セキュリティの
学び場

今回の解説ニュース

2021年上半期のセキュリティ脅威に関するレポートが公開されており、以前にも増して、マルウェアの脅威が高まっているということです。現在、流行してるマルウェアの傾向や、その対策について説明します。

今回の調査は、2021年1月から6か月間の注視すべきマルウェアを分析して、その特徴について述べられています。結果として、ランサムウェアは2019年同期比で800%もの増加をしており、2021年前半だけでも244%増加しているということです。中でも「STOP」と呼ばれるランサムウェアの被害が過半数を超える66.3%を占めており、身代金の平均額も2019年の約1250万円から、2020年には約3400万円まで上昇しているということです。

また、2番目に多いのはSodinokibi（ソディノキビ）と呼ばれるランサムウェアで、先日の配信で触れたRaaSとして機能する「二重脅迫型ランサムウェア」に分類されています。二重脅迫型ランサムウェアとは、ランサムウェアの感染により暗号化したデータを複合化するための身代金に加え、窃取したデータを漏洩すると脅して追加の身代金を要求する手法です。より多くの身代金を手堅く入手できることから、ランサムウェアを使ったサイバー攻撃に広く使われています。2021年5月、アメリカの石油パイプライン大手企業は、二重脅迫型ランサムウェアに対して約4億8000万円もの身代金の支払いに応じたということです。

その他に、Emotetが2021年初旬にテイクダウンされた後は、金融詐欺やID窃取を目的とした高度な機能を持つTrickBotなどの「バンキング型トロイの木馬」が猛威を振るっており、高度なマルウェアであることから、今後の動向が注目されています。

被害比率拡大ランサムウェア「STOP」とは？

ランサムウェア「STOP」の特徴について説明します。

STOPは、感染した端末のファイルを暗号化して、ファイル名を別の拡張子に置き換えます。STOPに感染した被害者はファイルを複合化したければ、身代金を数万円払うことになります。ここまではシンプルなランサムウェアと同様です。STOPが暗号化に使う鍵は、攻撃者のサーバから取得したオンラインキーか、感染した端末が攻撃者のサーバと通信できない時に使われるオフラインキーのいずれかでです。オフラインキーで暗号化されたファイルについては、有志のセキュリティ研究者によって複合化するためのツールが提供されています。ただし、オンラインキーで暗号化されたファイルについては、攻撃者以外が複合化することは困難な状況にあるということです。

さらに残念なことに、STOPに暗号化されたファイルを複合化できるツールに成りすまして、更なる暗号化をするランサムウェアが出現しています。被害者にとっては泣きっ面に蜂の状態ですが、対策としては、パソコンやセキュリティ製品を最新の状態にする、メールなどの添付ファイルやURLを安易に開かない、などのマルウェアに対する一般的な対策に加え、重要ファイルのバックアップを作成して、バックアップファイルがランサムウェアに感染しないように、オリジナルファイルとは切り離して保存しておくことが求められます。

ただし、このような対策をしても、ランサムウェア攻撃を１００%防ぐことは、残念ながら困難です。そのため、万が一ランサムウェアに感染してしまったとしても、ファイルを元の状態に戻せるようにするために、バックアップを取得しておくことが必要です。さらに、ここで重要なことは、バックアップしたファイル自体もランサムウェア攻撃から守る必要があります。

具体的には、バックアップに使用する媒体は、バックアップするときだけパソコンと接続します。CD-RやDVD-Rなど、記録したデータの書き換えができない媒体であれば、ランサムウェア攻撃を受けてもバックアップファイルを守ることができます。さらに、バックアップをリストアできるかも確認しましょう。実際にデータが復元できるか、定期的に試してみるといいかもしれません。

「バンキング型トロイの木馬」の特徴と対策

バンキング型トロイの木馬の特徴や対策について、今回の調査で取り上げられているTrickBotの事例も交えて説明します。

銀行標的特化型マルウェア

今回の調査で取り上げられているバンキング型トロイの木馬は、銀行を標的としたマルウェアです。主に銀行情報を窃取するトロイの木馬で、感染したユーザがオンラインの銀行口座にアクセスする際に、表示されるWebサイトを改ざんして、認証情報を盗み出して不正送金を行っているマルウェアも存在しています。具体的には、マルウェアに感染した端末がWebサイトにアクセスする通信を盗聴して、「どのWebサイトをどのように改ざんするか」というリストに従って、表示されるWebサイトを動的に変更します。改ざんリストはマルウェアが攻撃者のサーバからダウンロードして更新されているようです。

ランサムウェアとして猛威を振るう「TrickBot」

TrickBotも同様の活動をするものでしたが、2020年3月以降は手段をランサムウェアに切り替えたため、ターゲットとなる金融機関のWebサイトは減少しているようです。ただし、ランサムウェアとしてのTrickBotは引き続き猛威を振るっており、ファイルを暗号化して復号化のための身代金を要求する被害が確認されています。

ランサムウェアの対策については、繰り返しになりますが、感染しないための未然防止だけでなく、万が一の感染に備えることも必要です。皆さんもランサムウェアの被害を最小限に抑えるために、普段使っているパソコンの状態や大切なデータのバックアップを見直してみてはいかがでしょうか？