セキュリティの
学び場

ランサムウェアとは何か

ランサムウェアは、「被害対象の情報を暗号化するなどして身代金（Ransom）を要求するタイプ」のマルウェア（Malware）です。RansomとMalwareの複合語でRansomwareと呼ばれます。

ランサムウェアには一般的に、”暗号化型”と”画面ロック型”の２種類に分類されます。対象の重要なデータを暗号化する、または端末画面などをロックすることで、ファイルやデータベース、アプリケーションへのアクセスを不可能にします。そしてアクセスへの回復を人質として身代金を要求します。

ランサムウェア攻撃の具体例

ランサムウェアを用いた攻撃事例をいくつか簡単に紹介します。いずれも有名なものですので、既にご存じの読者も多いのではと思います。

AIDS Trojan：最も初期のランサムウェア攻撃

最も初期のランサムウェアとして言われているのが、AIDS Trojanです。媒体はフロッピーディスクで、郵便で配布されました。インストールするとリブートを繰り返し、Cドライブ上のファイルを暗号化し、読み取り専用隠しファイルにしてしまうものだったそうです。コマンドシェルを偽物に置き換えた上で189USDの身代金を要求しました。

WannaCry：世界的に有名な攻撃

世界的に有名なランサムウェアとしてWannaCryが挙げられます。Windowsのファイル共有に利用するプロトコルSMBv1に潜んでいた脆弱性（MS17-010）の悪用（EternalBlue）が利用されたとみられています。自己増殖するワーム型のマルウェアであったこともあって世界中で23万台以上のコンピュータに感染し、28言語でビットコインでの身代金支払いを要求しました。支払った人もいたようですが、それにも関わらず暗号化は解除されなかったそうです。

他にも日本国内でも多数の有名企業や国立病院等々でランサムウェアの被害事例があります。海外でも医療や空港、石油パイプラインなどで多数の被害事例があり、枚挙に暇が無いほどです。

WannaCry以外にも有名なランサムウェアが多数あります。SamSam、Ryuk、REvil、Petya、NotPetya、NetWalker、Maze、Locky、CryptoLocker、LockBit、etc.

一つ一つの解説はここでは割愛いたします。個々のランサムウェアについて確認したい方は、名称で検索すると解説記事を容易に見つけられる筈です。

参考情報：ランサムウェアに関するリソース

警察庁サイトの刊行物に、ランサムウェアに限らずサイバーセキュリティに関する事例や統計が掲載されております。他にも年代別で様々なセキュリティインシデントの事例を掲載しているメディアもあります。興味のある読者はご利用してみてください。

・警察庁サイト
サイバー空間をめぐる脅威の情勢等
（https://www.npa.go.jp/publications/statistics/cybersecurity/）

・サイバーセキュリティ.com
個人情報漏洩事件・被害事例一覧
（https://cybersecurity-jp.com/leakage-of-personal-information）

ランサムウェア攻撃の進行過程

ランサムウェア攻撃がどのように展開されるかを説明します。攻撃は「侵入」「水平展開」「重要データの窃取や暗号化と脅迫」の3段階に分かれ、それぞれのフェーズにおいて異なる手法が用いられます。近年では二重脅迫（ダブルエクストーション）や、バックアップサーバを攻撃するケースも増加しており、従来の対策では不十分となりつつあります。

侵入

初期の侵入/感染は他のマルウェアによる攻撃同様で、VPN機器からの侵入、Webサイトからの感染、フィッシングメールによるダウンロードリンクへの誘導や添付ファイル、USBなどの媒体からの感染が主要なものです。不特定多数へのバラマキ型の攻撃だけでなく、「標的型攻撃」が増えています。

この侵入の時点で感染させるマルウェアには暗号化機能を持たせる必要はありません。企業などの組織を対象とするなら、C&Cサーバと通信できるようなバックドア機能の方が重要です。不特定多数の個人を対象とするなら感染端末を直ぐに暗号化させる攻撃でも構いませんので、初期段階で暗号化機能を持たせることがあります。最初の事例のAIDS Trojanはそれにあたります。

水平展開

個人を標的にする場合、感染端末を暗号化します。しかし組織を対象とする場合、初期感染した端末に都合よく重要データが集積されているとは限りません。感染後はターゲットとなる情報を目指して水平展開が必要となります。権限昇格、認証情報の窃取、ADの掌握、DBサーバへの侵入、etc. です。

重要データの窃取や暗号化と脅迫

標的データに到達した後、データの窃取や暗号化を実行し、アクセス不可能な状態にして身代金を要求します。以前は画面ロックや暗号化でデータアクセスを妨害して身代金を要求しておりました。近年ではデータの窃取も併せて実行し、外部リークの脅迫も行う二重脅迫（ダブルエクストーション）のケースが増えています。また、暗号化をせずにデータ窃取のみ実施して脅迫するタイプのノーウェアランサムの事例も増えております。ランサムウェア（データ暗号化）を利用しないランサム攻撃ですのでノーウェアと呼ばれます。ランサム攻撃においては、ビットコインでの身代金請求が多いようですが、これは追跡を回避することが主な目的でしょう。

ランサムウェア攻撃へのセキュリティ対策

ランサムウェアに対する防御策ですが、前述の攻撃ステップを考えると一般的なマルウェア対策と共通する部分も多々あります。

• ・ソフトウェアのアップデートや脆弱性の管理
• ・適切なパスワードの設定と管理、二要素認証の利用
• ・不審なメールやリンクへの注意
• ・権限とアクセスの管理と制御
• ・各種セキュリティソリューションの利用

これらについては、これまでも折に触れてブログ記事にて記載されてきた内容となりますので、今回はバックアップルールについてご紹介いたします。

バックアップルールとは

単純なデータ窃取と異なりデータへのアクセスをブロックされる攻撃ですので、バックアップによってアクセスの回復を図ることが重要になります。ただし前述の通り、バックアップサーバなども攻撃対象となっており、保存方法や場所、復旧手順も非常に重要です。ここでは2012年にUS-CERTが提唱したバックアップルール、3-2-1ルールを紹介いたします。このルールはランサムウェアによる攻撃以外に、災害その他によるデータ消失への対策としても有効です。

・US-CERT
Data Backup Options （https://www.cisa.gov/sites/default/files/publications/data_backup_options.pdf）

データは”少なくとも3つ持つ”

コピーを2つ以上作成して、オリジナルのデータ（プライマリーデータ）を含めて3つ以上のデータを持つようにする、というルールです。バックアップの数が多くなると同時に消失するリスクは低くなります。ただし多過ぎると管理が厄介ですので、注意が必要です。３という数字は運用上の妥当な着地点と言えるでしょう。

少なくとも”異なる２つのタイプのメディア”に保存する

異なるタイプの危機に対応する為に異なるタイプのメディアに保存するというルールです。同じタイプの媒体にデータを保存すると、同じタイミングで劣化によるデータの破損・消失が起こるリスクが高まります（従ってRAIDはバックアップには適していないと言えます）。
気を付けたいのは、バックアップ対象とメディアが接続されっぱなしになっているとランサムウェアがメディアにも感染するリスクがあり、対策になっていない点です。ネットワークを介した接続も同様ですので、バックアップ用メディアはオフラインで保管することが重要です（これは次のルールに含めて考えることができます）。なお、「異なるタイプのメディア」ということで磁気テープが再び注目を浴びていたりします。

少なくとも”１つのデータをオフサイト”に保存する

一言でまとめるなら、所謂エアギャップの利用です。物理的ないしはネットワーク的に隔離された場所へ保管することでデータが同時に失われることを防ぐルールです。物理的、というのは、例えば都内のデータセンターにあるデータを北海道にある、あるいは海外のデータセンターにバックアップしておくなどです。これは自然災害や火災などに対して有効です。

ただし、仮想ネットワークによって同一ローカル環境とみなせる場合にはマルウェアその他のネットワークを介したサイバー攻撃にとっては隔離されていない状況になりますので、ネットワーク的な隔離も同時に考える必要があります。
端末上のデータを同期型のクラウドサービスにバックアップするケースもネットワーク的な隔離に該当せず、同様の注意が必要です。

その他の注意点と対策

バックアップデータの保護にはWORM（Write Once Read Many）ストレージの利用が有効です。読み込みは何度でも可能ですが、書き込みは一度だけというタイプのストレージで、データの消去や変更ができません。ルール2との併用を検討しても良いでしょう。

バックアップの世代管理も要注意です。ランサムウェアには時限式の特性を持つものもあります。バックアップデータの中に感染したランサムウェアが紛れ込んでいる可能性もありますので、バックアップのスケジュールをしっかりルール化しておき、クリーンデータでのバックアップが可能な状態を維持できるようにします。

ランサムウェア感染時の基本対応方針

ランサムウェアに感染した際、安易に脅迫に応じないことが重要です。

ランサムウェア感染時の基本対応方針

脅迫に応じないことの重要性

身代金を支払ってもデータが復旧されないケースがあるため、脅迫に安易に応じることは避けましょう。WannaCryの例でも述べましたが、身代金を支払ってもデータが復旧されないケースもあり得ます。

感染機材のネットワーク遮断

感染していることが確認されている機材をネットワークから遮断して被害の拡大を可能な限り防ぎます。これはマルウェア感染一般に言えることです。個別の機材を確認する余裕が無いときは、ある範囲内への感染で留まるように、システム単位で考えて、他のシステムとの接続を断つなどの対応を行います。予め緊急対応ルールなどを整えておくのが良いでしょう。

警察と専門家への連絡

ランサムウェアに感染した場合、警察に通報し、セキュリティ専門家に相談することが推奨されます。適切な対処を助言してもらうことも重要です。

最後に

本記事ではランサムウェアを利用した攻撃を中心に紹介しました。多角的・多層的な対策の推奨は以前通りですが、バックアップやデータの復旧も含めた総合的な管理が重要になるというお話でした。