身代金だけでは終わらない! ランサムウェアの恐怖と中小企業でも今すぐできる対策アプライアンスで手軽&確実に多層防御を実施

勝手にPCをロックしたり、ファイルを暗号化したりして身代金を要求するマルウェア「ランサムウェア」が2016年以降に急増し、猛威を振るっている。特に、セキュリティ対策が甘く、サイバー攻撃の“費用対効果”が高い企業は、狙われる可能性が極めて高い。ランサムウェアは、身代金を支払ってもファイルが戻る保証はなく、さらなる攻撃を受ける恐れすらある。十分に予算や人員を確保できない中小規模の企業でも、今すぐ実現できる多層防御の方法とは。

» 2017年03月27日 10時00分 公開
[PR/@IT]
PR

安価に見える身代金、それが“底なし沼”の始まりに

 2016年は、これまでも危険視されてきた「標的型攻撃」による情報漏えいに加え、PCを勝手にロックしたり、ファイルを暗号化したりして身代金を要求する「ランサムウェア」が注目された。

 ランサムウェアの歴史は古く、PCに問題があると警告を発して購入、インストールさせる「偽アプリ」として2005年ごろに発見されている。その発展系である「偽アンチウイルスソフト」が2010年ごろに流行したことは記憶に新しい。いずれも効果がないばかりか、クレジットカード番号などの個人情報を窃取される恐れがあった。

 現在のように恐喝に当たるランサムウェアは、2012年ごろに登場している。PCを強制的にロックして使用不能にする「ロック型ランサムウェア」から始まり、2014年ごろにはファイルを人質に取る「暗号型ランサムウェア」へと進化していった。

 独立行政法人 情報処理推進機構(IPA)の発表によると、2016年前半のランサムウェアの相談件数は、前年同期比で7倍にも膨れ上がったという(図1)。そして、2015年は2500件の被害件数で約2600億円もの身代金が窃取されたということなので、2016年の被害額はそれ以上の相当な額になったと思われる。

図1 図1 ランサムウェアの相談件数の推移(出典:独立行政法人 情報処理推進機構「コンピュータウイルス・不正アクセスの届出状況および相談状況[2016年第2四半期(4月〜6月)」)《クリックで拡大します》

 いまだにサイバー攻撃を“対岸の火事”と考えている人も少なくないようだが、ここではあらためて警告しておきたい。ことランサムウェアを用いるサイバー犯罪者は、企業規模や機密情報の有無でターゲットを決めていないということだ。どれほど楽に、安全に金銭を授受できるか、費用対効果(ROI)が高いかどうかで判断している。

 今や、攻撃のためのツール群はインターネット上で手軽に入手可能であり、ほぼ自動的に攻撃を仕掛けることができる。身代金もネット通貨を介して授受するため、足が付きにくい。後は、セキュリティ対策の甘い企業を狙うだけである。万全な対策を採っている組織は攻撃が成功しにくく、ROIも低い。彼らは、対岸の火事と侮っている組織を狙う方が、実入りがよいことも分かっている。身代金の額も徐々に上がっており、特に日本人、日本企業は高額な身代金を要求されることが多いという。

 ランサムウェアによって暗号化されてしまったファイルは、攻撃者が持つ復号鍵がなければ復旧することは困難だ。さらに、支払いを促すため、ファイルの内容をインターネット上に暴露されてしまうケースもあるという。

 だからといって、ランサムウェアの攻撃を受けたときに、身代金を払うべきではない。多くの場合は、匿名ネットワークシステム「Tor」へ接続させ、ネット通貨で身代金を支払うように指示される。Tor自体に悪意はないが、サイバー犯罪の温床になっていることは事実で、接続したとたんに別のネットワーク攻撃を受ける可能性も示唆されている。また、身代金を払ったことが他のサイバー犯罪者に知られ、対策の甘い弱者として別のマルウェア/ランサムウェアのターゲットになる可能性もある。この“底なし沼”から抜け出すのは容易なことではない。

 ランサムウェアは“金さえ払えば問題ない”というものではない。できるかぎりの対策を講じて、被害を食い止めるべき重大なサイバー犯罪であることを肝に銘じておくべきなのだ。

ランサムウェアに有効な3つの防御施策

 ランサムウェアは、手口こそ特殊であるが、これまでのマルウェアによる情報漏えいなどと仕組みは大きく変わらない。メールやWebサイトを通じて標的となるコンピュータに侵入し、攻撃のための環境を構築。暗号鍵をインターネット上の攻撃サーバ(C&Cサーバ/C2サーバ)から受け取って、ファイルを暗号化し、脅迫文を表示する。そして、証拠となるランサムウェアを削除し、身代金を支払わせるという手順だ(図2)。

図2 図2 ランサムウェアの挙動《クリックで拡大します》

 従来のマルウェアと同様、そのほとんどは新種のマルウェアとして作成され、標的型攻撃のようにターゲットを絞るケースも多い。単純なアンチウイルスツールだけでは、防御しきれないのが現状だ。

 ランサムウェアの特徴として「攻撃行動が早い」という点には注意したい。従来のマルウェアは、感染後にしばらく潜伏し、環境構築や攻撃行動まで時間をかけて、気付かれにくいようにするという特徴があった。しかし、ランサムウェアはすぐに暗号鍵を入手して、ファイルを暗号化してしまうものが多い。

 つまり、ランサムウェアへの対抗策では「即時ブロック」が非常に重要ということを覚えておきたい。そして、有効的な防御施策としては、侵入を防ぐ「侵入対策」、コンピュータへの攻撃活動を防ぐ「脆弱(ぜいじゃく)性攻撃対策」、さらなる被害を防ぐ「身代金支払い防止」を加えたい(図3)。

図3 図3 ランサムウェアの被害防止に有効な3つの防御策《クリックで拡大します》

 これらの3つの多層的な防御施策は、1つ1つを実装しようとすると多大な投資と労力が必要になることがほとんど。そこで、予算や人材に制限がある小規模の企業や組織、対策に時間をかけたくない中規模企業や組織にお勧めしたいのが、フォーティネットのゲートウェイセキュリティアプライアンス「FortiGate」だ(写真1)。

写真1 写真1 中規模企業に最適なフォーティネットのゲートウェイセキュリティアプライアンス「FortiGate 100-200シリーズ」《クリックで拡大します》

たった1台の「FortiGate」で多層防御は実現できる

 FortiGateは世界市場でもトップのシェアを誇り、評価も高いUTM(Unified Threat Management:統合脅威管理)アプライアンスだ(出典:IDC's Worldwide Quarterly Security Appliance Tracker - 2016 Q3出荷台数)。

 日本でも、その性能を高く評価しているユーザー企業は多い。高評価のポイントは、中小規模の企業や組織でも導入しやすい価格帯ながら、アンチウイルスやアンチスパム、アンチボット、Webフィルタリング、IPS(Intrusion Prevention System:侵入防止システム)、アプリケーション制御といったセキュリティ保護に必要な多彩な機能を備えていることである。

 特に注目したいのは、そのパフォーマンスだ。他のUTM製品では、複数の機能を有効化するとパフォーマンスが低下してしまうものがある。多層的な防御が求められる昨今、この問題は致命的となる可能性がある。FortiGateでは、早い段階から自社開発の専用プロセッサ「セキュリティプロセッサ(SPU)」(旧称「ASIC」から名称を変更)を搭載しており、最新のセキュリティプロセッサではさらに高いパフォーマンスを発揮する。

 ランサムウェアの“被害”を食い止めるには、前述したランサムウェアの一連の挙動──「キルチェーン」を切断することが必要だ。いずれかの時点で活動を停止させれば、損害を被ることはない。FortiGateに搭載された多層的な防御技術を活用すれば、「侵入」「環境構築」「準備」「支払い」という4つのポイントでランサムウェアを無効化することが可能になる。

 ランサムウェアの大半は、Webサイトやメールを介して侵入を図る。FortiGateのアンチウイルス機能に追加された機能により、メールに添付された実行形式ファイル(exeファイル)の侵入をブロックできる(図4)。攻撃メールでは、ファイル名をごまかしてユーザーに気付かれないようにすることも多いが、DLPでは検知可能である。

図4 図4 FortiGateではメールに添付された実行形式ファイル(exeファイル)の侵入もブロック可能《クリックで拡大します》

 ランサムウェアは、攻撃準備段階で攻撃サーバから暗号鍵を入手する必要がある。FortiGateのアンチウイルスには、攻撃サーバへの接続を検知、ブロックする「アンチボット」機能が搭載されている。暗号鍵がなければ、ファイルを人質に取られることはない。

 Webサイトに仕込まれたマルウェアは、OSやWebブラウザの脆弱性を付くドライブバイダウンロード(Drive-by download)攻撃によってひそかに侵入する。FortiGateの「Webフィルタリング」機能を有効にしておけば、ドライブバイダウンロード攻撃を仕込まれた怪しいWebサイトをブロックすることが可能になる。また、新種のマルウェアであっても、感染後の操作を行う「エクスプロイトキット」は既知であることが多く、FortiGateの「IPS」であればしっかり食い止めることができる。

 ランサムウェアの攻撃に対しては、身代金を支払う行動自体がさらなる被害拡大につながる恐れがあることは既に述べた通りだ。匿名ネットワークに接続すると同時に、新しいマルウェアを送り込まれ、社内システム全体が感染するという事態も考えられる。社員個人の安易な判断で行動させないような施策も必要になるだろう。

 FortiGateの「アプリケーションコントロール」には、支払いをサポートするボットネットアプリや、匿名ネットワークに接続するためのTorアプリを検知、ブロックする機能が搭載されているので、社員が安易な行動をとっても被害を未然に防ぐことができる。

 このように、1台のFortiGateにはランサムウェアの被害を食い止めるための多彩かつ多層の防御技術が盛り込まれている。比較的安価なローエンドモデルも販売されており、小規模企業でも導入しやすくなっている。ラインアップも豊富なため、企業規模に合わせて最適なパフォーマンスで製品を選択できる。もちろん、セキュリティ技術、アーキテクチャは共通であり、防御能力は同等だ。

 FortiGateのディストリビューターであるソフトバンク コマース&サービスでは、パートナー経由で購入しやすい仕組みを設ける一方で、全国にサポートセンターを設置し、ユーザーからの問い合わせを受け付けている。故障や障害への対応は、24時間365日対応のサポートサービスを提供しており、専任のIT担当者のいない組織でも安心して利用できる環境を整えている。

 今やセキュリティ対策はインフラの一部であり、企業のビジネスを支え、デジタルトランスフォーメーションを推進するための重要な役割も担っている。安心して事業を継続できるようにするためにも、こうしたサポートやサービスにも注目したい。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:ソフトバンク コマース&サービス株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2017年4月26日

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。