ランサムウェア感染時の対処と感染しないための対策とは?

セキュリティ管理

はじめに

本記事をご覧いただいている皆様の職場では、ランサムウェアに感染し、データが開けなくなるといった被害にあったことはありますか?弊社が訪問したお客様先でも、ランサムウェアに感染してファイルが開けなくなって困ったよといったお話を時折聞くようになりました。

今回の記事では、企業の情報システム部門のご担当者向けに、ランサムウェアの概要、感染時の対処、感染しないための対策についてご紹介したいと思います。

ランサムウェアとは?

ランサムウェアとは、マルウェアの一種ですが、PCのデスクトップやドキュメントに保存されているファイルを勝手に暗号化したり、PCをロックしたりして、元に戻すためにお金を要求するマルウェアまたはその分類のことです。

ランサム(Ransom)は、直訳すると「身代金」を意味する英単語で、ファイルを人質のように奪い、金銭を要求するソフトウェアであることから「ランサムウェア」と呼ばれています。ランサムウェアによっては、実際に金銭を支払うことで、暗号化されたファイルを復号して元に戻せるケースと、そうでないケースの両方が存在するようです。

また、多くのランサムウェアには7日以内に支払わないとファイルは復元できなくなるといった期限が設けられており、支払いが後になればなるほど要求する金額が高くなり、早めの決断を迫るものが多いです。いずれにしても被害者にとっては、やっかいなマルウェアと言えるでしょう。有名なランサムウェアとしては、NotPetya、Locky、WannaCry、Bad Rabbitといったものがあります。

ランサムウェアはなぜ脅威なのか?

独立行政法人 情報処理推進機構(以下、IPAと言います。)では、毎年10大脅威として、注意喚起すべきセキュリティ脅威について発表していますが、昨年に引き続き、組織に対する10大脅威の2位が「ランサムウェアによる被害」となっています。

10_threats.png
※出典:IPA 情報セキュリティ10大脅威 2018

上述の通り、ランサムウェアはPC上にあるファイルを勝手に暗号化したり、PCをロックしたりしてファイルを開けなくしてしまいます。例えば、急いでデータを使いたい場合や生命の危機に関係するようなデータが開けなくなってしまった場合、支払い要求に応じてしまうケースもあることでしょう。

ランサムウェアは、人の弱みに付け込むような性質であるため、被害額が増加しやすい傾向にあり、脅威として考えられています。また、支払いにビットコインのような仮想通貨が使われており、犯罪者の特定が難しいため、ランサムウェアの増加を助長する一因にもなっています。

最近(本記事執筆時点)では、セキュリティベンダーの調査によりランサムウェアの活動・被害が減少傾向にあり、PCの演算処理能力を勝手に使って仮想通貨を採掘するマイニングウェアにシフトしているという情報もありますが、引き続き、警戒すべき脅威だと考えています。

感染するとどうなるのか?

では、ランサムウェアに感染してしまうと、どうなるのでしょうか?

ランサムウェアには、亜種も含めて何百種類以上もあり、それぞれの動作も異なるため、一概には言えませんが、多くの場合、特定の拡張子のファイルを勝手に暗号化して開けなくして、暗号化完了後に支払いを要求するウィンドウが表示されるものが多いです。

wannacry.png

WannaCryのようにランサムウェアの中には、近隣のPCやサーバーに感染させる能力があるものもあります。また、Petyaのように一見するとランサムウェアの振る舞いを装い、実態はデータを復号するための秘密鍵を生成する機能がなく、単にデータ破壊を目的とするものも確認されております。

ランサムウェア感染時の対処

万が一、ランサムウェアに感染してしまった場合は、以下のような対処を実施することを推奨します。なお、下記の対処については、弊社では一切の責任を負いかねますので予めご了承ください。

  1. PCをネットワークから切り離す
    ランサムウェアに感染したことに気づいたら、まずは、LANケーブルを抜いたり、無線LANを無効にしたりしてPCをネットワークから切り離してください。これにより、二次感染を防ぐことができます。その際、感染を確認した時刻を控えておくと良いでしょう。また、多くの企業では、社内で策定した情報セキュリティポリシーに従い、上長や情報システム部門の担当者に通知する必要があるでしょう。

  2. マルウェア対策製品で検知・検疫できるか試す
    マルウェア対策製品を導入している場合は、何かしらの手段で定義ファイルやエンジンを最新状態にしてスキャンを実施し、検知・検疫できるか確認します。なお、ロールバック機能があるマルウェア対策製品であれば、暗号化されてしまったファイルを復元できる場合もあります。マルウェア対策製品の定義ファイルやエンジンを最新状態にしても検知・検疫できなかった場合は、未知の脅威である可能性が高いため、OSリストアが必要になるかと思います。OSリストアを実施する場合は、その前に暗号化されてしまったファイルのバックアップをお勧めします。

  3. バックアップからファイルを戻す
    ファイルサーバーやクラウドストレージにデータのバックアップがあれば、そちらからデータを復旧します。データのバックアップがない場合は、以降の手順を実施してみてください。

  4. 暗号化されたファイルを念のため、バックアップしておく
    ランサムウェアの種別によっては、暗号化されてしまったファイルを復号できるツールがあるものがあります。また、今後セキュリティベンダーや善意のあるボランティアの方がファイルを復号する方法を提供してくれる可能性もあるため、暗号化されたファイルを「空」のUSBメモリー等に退避しておくとよいでしょう。

    ※USBメモリー内のファイルも暗号化される可能性が高いため、バックアップする際は、必ず空のUSBメモリーをご用意ください。

    encrypted_files.png
  5. ランサムウェアの種別を判別し、ファイル復号ツールを試す
    IPA等にも紹介されておりますが、「No More Ransom」というサイトで暗号化されてしまったファイルをアップロードすることで、アップロードしたファイルの特徴からどのランサムウェアに感染した可能性が高いのか判別し、該当するファイル復号ツールを紹介してくれるサイトがあります。

    このサイトにてランサムウェアの種別を特定し、運良くファイル復号ツールが見つかればファイルを復号することができる可能性があります。なお、このサイトのご利用にあたっては、免責事項を熟読の上、ご利用ください。また、ファイルをアップロードする際は個人情報や機密情報等が含まれないファイルを選択してください。

    no_more_ransom_1.png

  6. セキュリティベンダーのファイル復号ツールを試す
    セキュリティベンダーによってはサポート対象外ではありますが、ファイル復号ツールを提供しているケースがあります。No More Ransom」でファイル復号ツールが見つからなかった場合でも、セキュリティベンダーが個別にファイル復号ツールを提供している可能性があります。

    No More Ransomで特定したランサムウェアの種別やファイル拡張子をもとに、ファイル復号ツールを探し、試してみると良いでしょう。一度でもOS再起動を実施してしまうとランサムウェアのプロセスから復号に必要な情報を収集できない場合がありますので、安易にOS再起動はしないほうがよいでしょう。

    セキュリティベンダーは、日々ランサムウェアの研究・解析をしていますので、将来的にファイル復号ツールがリリースされる可能性があります。項目2に記載した通り、暗号化されてしまったファイルをバックアップしておけば、近い将来、ファイルを復号できる日がくるかもしれません。

  7. データ/ファイル復元ソフトを試す
    ランサムウェアは、デスクトップやドキュメントにあるファイルを暗号化しますが、元のファイルが上書きされずにディスク上に消されずに残っている場合があります。可能性はあまり高くないと思いますが、Recuvaのような一般的なデータ/ファイル復元ソフトを使ってデータを復元できるか試す価値はあると思います。

  8. システムの復元を使って感染前の復元ポイントに戻す
    Windows 7やWindows 10で、デフォルトで有効になっている「システムの復元」を使って、ランサムウェア感染前の復元ポイントに戻すことにより、ファイルを復元できる可能性があります。ランサムウェアによっては、復元ポイント自体を暗号化したり、破壊して使えなくしたりするものがありますので、復元ポイントに戻せない場合もあります。また、復元ポイントより後に作成したファイルは復元できませんので、感染した時刻をご確認の上、感染前の復元ポイントに戻してください。Windows 10の場合、[コントロール パネル]-[システムとセキュリティ]-[システム]-[システムの保護]より復元ポイントに戻すことができます。

    recovery_point.png
  9. 身代金を支払う
    一般的には、身代金を支払うことはランサムウェアの有効性を認めてしまうことになり、推奨されておりません。しかしながら、ファイルを復号する手段としては存在します。身代金を支払ったところで、ファイルを復号できる保証はどこにもありませんが、ランサムウェアの種別によってはファイルを復号できるという情報もあります。どうしてもファイルを元に戻さなければならない特別な事情がある場合は、安易な現場判断を行わず、社内で十分調査した上で、支払うべきか検討することをお勧めします。

ランサムウェアの感染を防ぐには?

最後に、ランサムウェアの感染を防ぐための対策についてご紹介します。特に目新しい対策はないと思いますが、日々の運用・従業員に対する教育等によるセキュリティレベルの維持が重要となります。

  1. 業務に必要のないサイトにアクセスしない
    ランサムウェアの感染源は、Webサイトからのダウンロードや標的型攻撃メールが大多数を占めております。そのため、日頃から業務に必要のないサイトにアクセスしない、見知らぬアプリケーションを勝手に実行・インストールしないということが重要です。悪意のあるサイトのIPアドレスやURLは、時々刻々と変化していきますので、リアルタイムで判定できるWebレピュテーションや出口対策を活用すると良いでしょう。

  2. マルウェア対策製品の定義ファイルを最新にする
    当たり前ですが、マルウェア対策製品の定義ファイルやエンジンを常に最新にしておく必要があります。検知率の良い製品であっても定義ファイルが古ければスキャン性能を発揮することはできません。なお、最近では1日に30万~100万もの新種のマルウェアが発見されていると言われており、従来の定義ファイル型スキャンでは防ぎきれない状況となってきています。定義ファイルに依存しないマルウェア対策の導入を検討されることもお勧めします。

    また、マルウェア対策製品の中には、ロールバック機能があり、ランサムウェア感染後に暗号化されてしまったファイルを自動的に元に戻してくれる製品もあります。必ず戻せる訳ではないのですが、ランサムウェア対策機能が含まれた製品を選択することも良いでしょう。以下のスクリーンショットでは、暗号化されてしまったテキストが元通り復元されています。

    rollback.png
  3. セキュリティパッチを適用する
    ランサムウェアに限らず、マルウェアはOSやアプリケーションの脆弱性をついて感染させる場合があります。そのため、OSやアプリケーションのセキュリティパッチを常に最新にしておく必要があります。

  4. 定期的なバックアップをする
    万が一、ランサムウェアに感染してしまっても定期的にバックアップをしていれば、データを復旧することができます。共有フォルダー等にバックアップをしていても共有フォルダーも暗号化されてしまうことがありますので、ネットワークから遮断された場所にバックアップすることをお勧めします。

まとめ

今回の記事では、企業の情報システム部門のご担当者向けに、ランサムウェアの概要、感染時の対処、感染しないための対策についてご紹介しましたが、いかがでしたでしょうか?

ランサムウェアに感染してしまうと、暗号化されてしまったファイルの復号・復元にかなりの労力を必要としますし、データ損失による業務上の影響も大きいです。そのため、ランサムウェアに感染しないための対策を地道に実施することが重要です。

なお、弊社では定義ファイルに依存しないフルクラウド型であり、ロールバック機能を併せ持つマルウェア対策サービス(PIT-マネージドエンドポイントプロテクション)や怪しいプログラムの実行をブロックするサービス(AppGuardマネージドサービス)を提供しております。ご興味がございましたら、ぜひ弊社までお問い合わせください。

関連サービス:PIT-マネージドエンドポイントプロテクション
関連サービス:
AppGuardマネージドサービス