[翻訳版]ランサムウェアの感染経路とは

こんにちは！クライアント仮想化製品を担当している長谷川ひとはです。

今回は、情報セキュリティの脅威のひとつである、ランサムウェアの感染経路について、クライアント仮想化製品のメーカであるEricom社が公開した記事を日本語に翻訳してお届けします。ランサムウェアとは、その名のとおり、感染した端末のファイルやサーバ上のファイルを暗号化し、パソコンをロックして使用不能にした後、解除するための身代金(ランサム)を被害者に要求するマルウェアです。昨年「WannaCry（ワナクライ）」が猛威を振るったことで、世界中で脅威と認識されたランサムウェアですが、その感染経路については意外と詳しく知らないこともあるのではないでしょうか。感染拡大を対策するためにも、しっかりとチェックしていきましょう。

※以下の内容はEricom社が2018年6月28日に公開した記事をアシストが翻訳したものです。
Ericom社の記事はこちら

2017年には世界中の企業がランサムウェアによって50億ドルという甚大な被害を被りました。このコストには支払った実際の身代金、システムのダウンタイムによる損失、データ侵害の法的責任、会社の評判への悪影響、復旧などのコストが含まれています。

ランサムウェアがどのように感染拡大するのかを理解することは、効果的に対処するためのはじめの一歩となります。まず、ランサムウェアは1台のエンドポイントに感染して足場を確保すると、ネットワーク全体に広がります。これがどのように起こるかをより詳細に見てみましょう。

通常、以下のいずれかの攻撃手法で1台目に感染します。

①Eメール
悪意のあるメールの中でも、フィッシングメールは非常に困った存在です。一見すると、フィッシング詐欺メールは本物のように見えるかもしれません。もっともらしく会社のロゴを使ったり、個々のユーザーに文面をパーソナライズしたりしている可能性があります。送信者のメールアドレスは、友人や同僚、またはMicrosoftなどのよく知られた組織になりすまして送信されることがあります。多くのフィッシング詐欺メールには、開封時にランサムウェアのダウンロードを引き起こす不正なリンクや添付ファイルが含まれています。感染後、ものの数分で、重要なファイルは暗号化され、身代金が要求されます。誤ってクリックをしただけでこのような結果を招きます。また、感染したコンピュータが組織のネットワークに接続されている場合、ネットワーク全体が危険にさらされてしまいます。

②ウェブブラウザ
改ざんされたウェブサイトや悪意のあるオンライン広告（マルバタイジング）は、ウェブブラウザを通じてユーザーをランサムウェアに感染させようとします。信頼できないダウンロードサイトからフリーソフトウェアをダウンロードして感染することもあります。一方で、クリックやダウンロードなどのユーザーの操作をしなくとも、改ざんされたWebサイトを閲覧しただけで感染する場合もあります。この「ドライブバイダウンロード」と呼ばれる攻撃では、サイトにブラウザなどの脆弱性を攻撃するコード（エクスプロイトコード）を追加し、自動でランサムウェアなどのマルウェアをダウンロードさせ、インストールさせてしまいます。このような攻撃は怪しいWebサイトに限ったことではありません。正当なウェブサイトであっても改ざんやマルバタイジングによって感染源になることがあります。

ドライブバイダウンロードによって数秒のブラウジングで最初の1台に感染した後、ランサムウェアはネットワーク全体に広がり、他のPCやサーバーを暗号化して多くのデータを人質に取ります。また、デスクトップに置かれたリモートデスクトップ接続設定やドライブマッピングなどの「ショートカット」を使用して、ユーザー名とパスワードなどを探し出し、別のネットワークにも拡大します。マップされたドライブを削除する、またはクラウド上でデータをバックアップする対処だけでは必ずしも十分とは言えません。新しいタイプのランサムウェアは、共有ネットワークドライブ上のファイルとクラウドに置かれたバックアップを狙っています。このようにして、たった1つのランサムウェア感染が組織全体を麻痺させる可能性があるのです。

サイバー犯罪者は、ランサムウェア・アズ・ア・サービス（RaaS）^※１の普及により、もはや技術に精通している必要はありません。これらの既製のランサムウェアパッケージは、ダークウェブ^※2上の専用RaaSポータルから購入できます。犯罪者はランサムウェアをノンコーディングでカスタマイズすることもできます。サイバー犯罪者にとって、RaaSは企業をだまし、利益を上げるための手っ取り早い方法であり、ランサムウェアの数と種類を増加させた主な理由の1つになっています。

ランサムウェアはますます洗練され、感染を拡大するために新しい方法を模索しています。対処するには、URLフィルタ、ファイアウォール、ウイルス対策ソフトウェアなどの通常のエンドポイント保護ツールに加え、従業員を教育し、明確なベストプラクティスと手順を確立することが必要です。さらに、ドライブバイダウンロードなどの巧妙な攻撃によってエンドポイントに浸透するような高度な攻撃からも防ぐためには、既存の多層防御に対してセキュリティの追加層が必要です。

ガートナーなどのアナリストは、リモートブラウザ分離（RBI）^※3ソリューションをランサムウェアなどのブラウザ経由の脅威から守るための重要な予防戦略と位置づけており、ハイリスクなインターネット閲覧や、メールのURLのクリックをエンドポイントから分離することを推奨しています。RBIでは、アクティブなWebコードはすべて、ユーザーのローカルブラウザではなく組織ネットワークの外部の仮想コンテナで実行されます。これにより、ブラウジングセッション内に隠れた攻撃コードがエンドポイントにアクセスできなくなり、組織のネットワークを危険から守ることができます。

クリックやダウンロードの操作を注意していれば、感染を対策できると思っていた方も多いと思いますが、閲覧しただけでランサムウェアに感染するWebサイトが存在していたり、まるで本物のような内容のフィッシングメールが送られていたりと、もう個人単位ではランサムウェアの対策をすることが難しくなっているのが現状です。感染防止の対策のひとつとして紹介されているリモートブラウザ分離のように、そもそもユーザー端末ではWebコンテンツを実行しないことも、有効な対策の一つです。身代金を請求される前に、今一度、Web閲覧に関して現在のマルウェア対策で十分なのか見直してみてはいかがでしょうか。