ITセキュリティ女子のブログ

  • サイバー攻撃
  • エンドポイントセキュリティ
2018.08.23

[翻訳版]ランサムウェアの感染経路とは

[翻訳版]ランサムウェアの感染経路とは

こんにちは!クライアント仮想化製品を担当している長谷川ひとはです。

今回は、情報セキュリティの脅威のひとつである、ランサムウェアの感染経路について、クライアント仮想化製品のメーカであるEricom社が公開した記事を日本語に翻訳してお届けします。ランサムウェアとは、その名のとおり、感染した端末のファイルやサーバ上のファイルを暗号化し、パソコンをロックして使用不能にした後、解除するための身代金(ランサム)を被害者に要求するマルウェアです。昨年「WannaCry(ワナクライ)」が猛威を振るったことで、世界中で脅威と認識されたランサムウェアですが、その感染経路については意外と詳しく知らないこともあるのではないでしょうか。感染拡大を対策するためにも、しっかりとチェックしていきましょう。

※以下の内容はEricom社が2018年6月28日に公開した記事をアシストが翻訳したものです。
Ericom社の記事はこちら

ランサムウェアの感染経路とは -どのようにして広まるのか

2017年には世界中の企業がランサムウェアによって50億ドルという甚大な被害を被りました。このコストには支払った実際の身代金、システムのダウンタイムによる損失、データ侵害の法的責任、会社の評判への悪影響、復旧などのコストが含まれています。

ランサムウェアがどのように感染拡大するのかを理解することは、効果的に対処するためのはじめの一歩となります。まず、ランサムウェアは1台のエンドポイントに感染して足場を確保すると、ネットワーク全体に広がります。これがどのように起こるかをより詳細に見てみましょう。

最初の感染

通常、以下のいずれかの攻撃手法で1台目に感染します。

①Eメール
悪意のあるメールの中でも、フィッシングメールは非常に困った存在です。一見すると、フィッシング詐欺メールは本物のように見えるかもしれません。もっともらしく会社のロゴを使ったり、個々のユーザーに文面をパーソナライズしたりしている可能性があります。送信者のメールアドレスは、友人や同僚、またはMicrosoftなどのよく知られた組織になりすまして送信されることがあります。多くのフィッシング詐欺メールには、開封時にランサムウェアのダウンロードを引き起こす不正なリンクや添付ファイルが含まれています。感染後、ものの数分で、重要なファイルは暗号化され、身代金が要求されます。誤ってクリックをしただけでこのような結果を招きます。また、感染したコンピュータが組織のネットワークに接続されている場合、ネットワーク全体が危険にさらされてしまいます。

②ウェブブラウザ
改ざんされたウェブサイトや悪意のあるオンライン広告(マルバタイジング)は、ウェブブラウザを通じてユーザーをランサムウェアに感染させようとします。信頼できないダウンロードサイトからフリーソフトウェアをダウンロードして感染することもあります。一方で、クリックやダウンロードなどのユーザーの操作をしなくとも、改ざんされたWebサイトを閲覧しただけで感染する場合もあります。この「ドライブバイダウンロード」と呼ばれる攻撃では、サイトにブラウザなどの脆弱性を攻撃するコード(エクスプロイトコード)を追加し、自動でランサムウェアなどのマルウェアをダウンロードさせ、インストールさせてしまいます。このような攻撃は怪しいWebサイトに限ったことではありません。正当なウェブサイトであっても改ざんやマルバタイジングによって感染源になることがあります。


ネットワーク中に感染拡大

ドライブバイダウンロードによって数秒のブラウジングで最初の1台に感染した後、ランサムウェアはネットワーク全体に広がり、他のPCやサーバーを暗号化して多くのデータを人質に取ります。また、デスクトップに置かれたリモートデスクトップ接続設定やドライブマッピングなどの「ショートカット」を使用して、ユーザー名とパスワードなどを探し出し、別のネットワークにも拡大します。マップされたドライブを削除する、またはクラウド上でデータをバックアップする対処だけでは必ずしも十分とは言えません。新しいタイプのランサムウェアは、共有ネットワークドライブ上のファイルとクラウドに置かれたバックアップを狙っています。このようにして、たった1つのランサムウェア感染が組織全体を麻痺させる可能性があるのです。


RaaS - Ransomwareの普及拡大

サイバー犯罪者は、ランサムウェア・アズ・ア・サービス(RaaS)※1の普及により、もはや技術に精通している必要はありません。これらの既製のランサムウェアパッケージは、ダークウェブ※2上の専用RaaSポータルから購入できます。犯罪者はランサムウェアをノンコーディングでカスタマイズすることもできます。サイバー犯罪者にとって、RaaSは企業をだまし、利益を上げるための手っ取り早い方法であり、ランサムウェアの数と種類を増加させた主な理由の1つになっています。

  • 1 不正プログラムを販売するサービス
  • 2 アクセスするために特定のソフトウェア、設定、認証が必要なWebサイト

感染拡大を防止するには

ランサムウェアはますます洗練され、感染を拡大するために新しい方法を模索しています。対処するには、URLフィルタ、ファイアウォール、ウイルス対策ソフトウェアなどの通常のエンドポイント保護ツールに加え、従業員を教育し、明確なベストプラクティスと手順を確立することが必要です。さらに、ドライブバイダウンロードなどの巧妙な攻撃によってエンドポイントに浸透するような高度な攻撃からも防ぐためには、既存の多層防御に対してセキュリティの追加層が必要です。

ガートナーなどのアナリストは、リモートブラウザ分離(RBI)※3ソリューションをランサムウェアなどのブラウザ経由の脅威から守るための重要な予防戦略と位置づけており、ハイリスクなインターネット閲覧や、メールのURLのクリックをエンドポイントから分離することを推奨しています。RBIでは、アクティブなWebコードはすべて、ユーザーのローカルブラウザではなく組織ネットワークの外部の仮想コンテナで実行されます。これにより、ブラウジングセッション内に隠れた攻撃コードがエンドポイントにアクセスできなくなり、組織のネットワークを危険から守ることができます。

  • 3 内部ネットワークの外にあるリモートブラウザを介してインターネットブラウジングを行う方法

ひとはから一言

クリックやダウンロードの操作を注意していれば、感染を対策できると思っていた方も多いと思いますが、閲覧しただけでランサムウェアに感染するWebサイトが存在していたり、まるで本物のような内容のフィッシングメールが送られていたりと、もう個人単位ではランサムウェアの対策をすることが難しくなっているのが現状です。感染防止の対策のひとつとして紹介されているリモートブラウザ分離のように、そもそもユーザー端末ではWebコンテンツを実行しないことも、有効な対策の一つです。身代金を請求される前に、今一度、Web閲覧に関して現在のマルウェア対策で十分なのか見直してみてはいかがでしょうか。

▼標的型攻撃などのサイバー攻撃に有効な「インターネット分離」についてはこちら

長谷川 ひとは

株式会社アシストに入社以来、クライアント仮想化製品の担当部署に配属し現在「Ericom」と「Citrix」の担当として活動中。
IT業界に従事しているが、週末は山登りにいったり、フィルムカメラを持って散歩にいったりするなど、いたってアナログな活動をしている。

関連している記事

  • エンドポイントセキュリティ
  • ID管理
  • 認証
2024.03.14

特権ID管理もクラウドサービスで!選べるiDoperation Cloud(SaaS版)とパッケージ版

従来のパッケージ版に加え、クラウド版もリリースしたiDoperation。高い可用性が求められるサーバーの特権ID管理もSaaSで利用できるようになったことで、今後ますます需要が増えそうです。

  • サイバー攻撃
  • エンドポイントセキュリティ
2023.04.20

Active Directoryを狙うサイバー攻撃の王道と有効なセキュリティ対策

サイバー攻撃では多くの場合、Active Directoryが狙われています。企業の中核システムとして止められない。多機能で運用も複雑。そんなActive Directoryを守るには、どうしたらよいのでしょう。

  • エンドポイントセキュリティ
2022.08.26

PPAPとは?「脱PPAP」が求められる理由と代替手段の選定ポイント

業務でメールを利用する際のセキュリティ対策としてのパスワード別送「PPAP」。今回は、改めてPPAPとは何かのおさらいとリスク、代替手段についてご紹介します。

プロフィール


長谷川まり
セキュリティ製品を担当。お客様からの信頼も厚い、お姉さん的存在。

人気記事

ページの先頭へ戻る