2022.11.02
ランサムウェアの感染経路には、従来のフィッシングメールやWebサイト閲覧などに加え、VPNやリモートデスクトップ(RDP)の脆弱性を悪用した手口も確認されています。
今回の記事では、ランサムウェアの感染経路の動向や感染対策、そしてスマホのランサムウェア対策などを紹介していきます。
ランサムウェア(Ransomware)とは、マルウェア(悪意のあるプログラム)の一種で、感染するとパソコンや接続しているストレージなどに保存されたファイルが勝手に暗号化されたり、デバイスがロックされたりします。
ランサムウェアを用いて仕掛けられる、暗号化の解除と引き換えに身代金を要求するなどの一連の攻撃手法はランサムウェア攻撃と呼ばれます。
ランサムウェアとは、身代金を要求することを目的としたマルウェアの総称で、身代金を意味する「Ransom(ランサム)」と「Software(ソフトウェア)」を組み合わせた造語です。
ランサムウェアに感染すると、パソコンやスマホがロックされたり、端末内などに保存されたデータが勝手に暗号化されたりします。企業がランサムウェアに感染した場合、データが閲覧できなくなるためパソコンやスマホを使った業務が不可能になり事業継続が難しくなるほか、暗号化されたデータを“人質”に、復号化と引き換えに攻撃者から身代金を要求されるなどの金銭的被害にあう可能性があります。
企業や組織などでランサムウェアの感染が起きると、被害は組織全体に及びます。社内ネットワークにある1台が感染すると、感染端末を起点にネットワーク全体に広がるからです。感染の流れを解説します。
ランサムウェアは、メールの添付ファイルや悪意あるWebサイトなどを経由して、PCなどのデバイスに侵入します。ユーザーまたは別の悪意のあるファイルによってランサムウェアの実行可能ファイルが実行されると、攻撃者のコマンド&コントロール(C&C)サーバーへの接続が行われます。
ランサムウェアとC&Cサーバーとの通信が確立されると、感染したデバイス内の情報が攻撃者に送信されます。たとえば、ランサムウェアが実行されたデバイスに関連するアカウントのアクセス権限などの情報や、デバイスの地理的な所在地、IPアドレス、OSの詳細情報などです。
攻撃者は、得られた情報をもとにさらなる攻撃を行います。感染したデバイス内の特定のデータを暗号化し、データへのアクセスをできなくし、デバイスを使用不能にします。
ファイルの暗号化とともに、暗号化したフォルダに対する身代金の支払いを要求するメッセージが表示されます。メッセージは感染したデバイスのスクリーン(デスクトップ背景)などに表示されることがあります。
データの復旧(復号)を条件に身代金が要求され、さらに、セキュリティソフトやセキュリティベンダーなどによる追跡や解析を防ぐために、ランサムウェア自体の削除が行われます。
最近では、暗号化したデータを復号するための身代金の要求に加え、暗号化を行う前に盗み出したデータをもとに、支払わなければデータを公開すると脅迫する「二重脅迫型」と呼ばれる攻撃手法も増えてきています。
(関連リンク)
ランサムウェアとは?被害事例や感染経路、対策について解説
ランサムウェアの感染経路には、大きく、メール(フィッシングメール)、デバイスのセキュリティ上の脆弱性の悪用、Webサイトやアプリ、USBメモリーなどが考えられます。
また、後述するように、コロナ禍によって急速に進んだテレワークをはじめとする「多様な働き方」の環境を標的にした手口も確認されています。
警察庁が2022年7月に発表した「令和3年におけるサイバー空間をめぐる脅威の情勢等について」によれば、2021年に確認されたランサムウェアの被害(146件)のうち、ランサムウェアの感染経路が判明した76件について、在宅勤務などのテレワークで使われるVPN接続機器からの感染(41件)が54%を占めました。またリモートデスクトップ(RDP)機能からの感染(15件)も20%を占めています。
コロナ禍におけるテレワーク需要の高まりによって、VPN接続を利用して社外から社内システムに安全にアクセスする企業が増えています。また、会社にあるパソコンのデスクトップ環境に遠隔からのアクセスを可能にするRDPを利用する企業も増えています。
攻撃者は、こうしたVPN機器やRDPの脆弱性を悪用するのです。
代表的な5つの感染経路について説明していきます。
インターネットを活用して社外から社内ネットワークに安全にアクセスするためのVPNは、VPNサーバーをインターネット上に公開する必要があります。攻撃者は脆弱性のあるVPNサーバーの検出を行い、脆弱性を悪用してリモートからネットワークに不正にアクセスします。
そして、ドメイン管理のアクセス権を奪取してランサムウェアをネットワーク内に送り込み、ファイルを暗号化した上で企業に身代金を要求します。
コロナ禍に伴うリモートワークの普及を背景に、社外から社内のデスクトップ環境にアクセスする目的でリモートデスクトップ(RDP)を利用する企業が増えました。
リモートデスクトップへ接続する際の認証を適切に設定することで、セキュリティの強度を高めることができますが、公開されているRDPに対し、盗んだID情報などを使用してログインを試行、あるいは、脆弱性のあるRDPなどが攻撃者に検知されると、ランサムウェアの感染経路に悪用されることがあります。
RDPから不正侵入を許した結果、接続先のコンピューターの管理者アカウントが乗っ取られ、ランサムウェアの被害だけでなく、遠隔操作で別のマルウェアをインストールされるなど深刻な被害にあう可能性があります。
悪意あるファイルを添付しウイルスに感染させることを目的とした攻撃メールが感染経路になるケースがあります。
たとえば特定の企業を標的に、取引先企業になりすました偽装メールが用いられます。件名や本文が偽装され、受信者が開封してしまいそうな内容になっていることが多く、もっともらしい件名や本文で添付ファイル(ランサムウェア)を開かせようとします。そして、受信者が添付ファイルを開くことでランサムウェアに感染します。
Webサイトの閲覧が感染経路になるケースがあります。たとえば、正規のWebサイトが改ざんされ(フィッシングサイト)、誘導されたユーザーがランサムウェアをダウンロードし、感染するケースなどです。
また、OSやソフトウェアの脆弱性を悪用し攻撃されることによっても、ランサムウェアに感染してしまうことがあります。たとえば、Webブラウザーの脆弱性を悪用し、悪意あるWebサイトに誘導することにより、サイトを閲覧するだけでランサムウェアに感染してしまうケース(「ドライブバイダウンロード」と呼ばれる手口です)があります。
ほかにも、ソフトウェアやファイルの配布サイトを偽装したフィッシングサイトで、正規のソフトウェアをダウンロードしているはずがランサムウェアをダウンロードさせられていたというケースなどもあります。
USBメモリーや外付けのハードディスクなどの外部記録媒体を介してランサムウェアに感染するケースもあります。外部記録媒体の中にランサムウェアが仕込まれていた場合、それをパソコンに接続してファイルを起動することでランサムウェアに感染する可能性があるのです。
通販サイトなどを装い、ランサムウェアが格納されたUSBメモリーが郵送されるなどの被害が報告されています。
ランサムウェアの被害を未然に防ぐ対策として、大きく5つのポイントを紹介します。
ランサムウェア対策には、ID管理などの認証強化も大事なポイントです。PCだけでなくユーザーが利用するデバイスやデータを認証してアクセス権を設定することで、ランサムウェアをはじめとするマルウェアの侵入リスクを低減することが可能になるからです。
また、指紋認証や顔認証などを組み合わせた多要素認証などの認証強化を行うことで、さらなる感染リスク低減を実現することが可能です。
業務に必要な重要なデータのバックアップを定期的に取得しておくことは有効な対策の一つです。ランサムウェアに万が一感染しても、最新のバックアップデータがあれば業務を継続できる可能性があるからです。
バックアップの注意点としては、ランサムウェアの中にはバックアップデータも暗号化の対象に含めるものがあるため、バックアップの保存先は同じネットワーク内ではなく、物理的に切り離すか、バックアップ時のみ接続するよう工夫することです。
ランサムウェアの感染・侵入を防ぐために、感染源となりうるUSBメモリーなどの外部記録デバイスの接続を制限したり、Bluetoothなどの外部接続機能を無効化したりすることも、感染リスクの低減につながります。
ウイルス対策ソフトを導入することで、ダウンロードされたファイルのフィルタリングや悪意あるコードの検知・削除が可能になります。また、送受信されたメール、Webアクセス、コンピューター内のファイルなどに潜む、ランサムウェアなどのマルウェアを検知・駆除できます。
ランサムウェアの感染経路であるメールやWebサイトの閲覧に対し、たとえば、ウイルス対策ソフト等に備わるメールスキャン機能を利用し、送受信メールや添付ファイルのスキャンを行い悪意あるプログラムの実行を防ぎます。また、Webフィルタリングツールを利用することで悪意あるWebサイトへの接続を防げます。
ランサムウェアはパソコンだけでなくスマホやタブレットであっても感染リスクがあります。感染するとスマホを利用できないように妨害したり、データを暗号化し、復旧のために金銭の支払いを要求したりするケースがあります。
スマホのランサムウェア感染ケースを見ると、そのタイプは大きく次の2つに分類することができます。
「ファイル暗号化型」は、スマホ内のファイルを暗号化して身代金を要求します。暗号化されたファイルは開くことができないため、スマホを使った業務を行うことができなくなってしまいます。そして「端末ロック型」は、スマホ端末をロックすることで、スマホを使えなくして身代金を要求するものです。
また、スマホのランサムウェアの特徴的な手口として、「デバイスの管理者権限を要求する」手口が挙げられます。これは、たとえば、OSのアップデートや動画再生などに必要などと称して悪意あるアプリをインストールさせ、その際にデバイス管理者権限を要求するものです。
デバイス管理者権限を奪われてしまうと、攻撃者にデバイスを乗っ取られてしまい、たとえば遠隔からスマホのパスコードなどが変更され、デバイスがロックされてしまう可能性があります。
スマホのランサムウェアも、パソコンと同様にフィッシングメールや悪意あるWebサイトを閲覧することによる感染が確認されています。また、上述したように、有益な正規アプリと見せかけて悪意あるアプリ(ランサムウェア)をダウンロード、感染させる手口もあります。
スマホのランサムウェアの感染を未然に防ぐには、まずはOSを最新版に保ち、端末のデータのバックアップを定期的に習得するといった基本的な対策が重要です 。
また、メールやソーシャルメディア経由のフィッシングに気をつけましょう。本文に記載されたリンクをクリックさせたり、ファイルをダウンロードさせたりして感染を狙います。
アプリのダウンロード、インストールの際には、「App Store」「Google Play」といった信頼できる公式のアプリマーケットを利用しましょう。しかし、公式のアプリマーケットで流通されているアプリであっても必ずしも安全とはいえないケースもあります。
アプリをインストールする際に表示される「アクセス許可」を確認し、アプリと無関係なアクセス許可を求めるものは、インストールしないようにしましょう。
そして、ウイルス対策ソフトを導入し、かつ最新の状態に保っておくことです。また、業務使用端末であれば、攻撃を早期に検知し対応するEDR(Endpoint Detection and Response)を導入することで、万一の感染時の迅速な初動対応が可能になります。
コロナ禍を経て関心が高まるテレワークや、モバイルを駆使して働く場所を選ばない「新たな働き方」が普及するにつれ、ランサムウェアもそうした環境に潜むセキュリティの弱点を悪用し、感染を広げようとします。
ランサムウェアの被害を未然に防ぐには、感染経路を意識し、ウイルス対策やメール/Webフィルタリング、OSを最新の状態に保つ脆弱性対策、データのバックアップなど、基本的なセキュリティ対策を継続していくことが重要です。
今なら、あなたの組織のサイバー攻撃リスクを無料で確認できます
HP Wolf Pro Security のクラウドベースの管理コンソールを実際にお試しいただき、お使いのPCがウイルスに感染していないか、今なら無料で確認することができます。