ランサムウェアの脅威?イマドキのハッカーは、たぐいまれな“ビジネスセンス”の持ち主だった

最近、なにかと話題になる“セキュリティ”。
事件やニュースはよく聞きますが、実際のところはよく知らない…という方も多いのではないでしょうか。実はわたしもその一人で、セキュリティと聞いても、「セキュリTEA?おしゃれな紅茶かな…」なんて思ったりしています。
今回は、そんなセキュリティ音痴のわたしが、気になるマルウェアについて調べてみました。

ランサムウェアって何?

現在、猛威を振るっているマルウェアといえば、『ランサムウェア(Ransomware)』でしょう。
ランサムウェアは、PCやサーバ内のデータを勝手に暗号化してしまい、「元に戻してほしければ、身代金(Ransom)を払え!」と要求する、その名のとおり悪質なソフトウェアのことをいいます。
IPA(情報処理推進機構)によると、2015年は年間を通じてランサムウェアの相談が寄せられ、2016年3月には相談件数が急増しています。

graph1

ランサムウェアに関する相談件数の推移(2015年4~12月)

最近の相談件数の推移(2016年1~3月)

最近の相談件数の推移(2016年1~3月)

上図 IPA 2016年1月の呼びかけ より作成
https://www.ipa.go.jp/security/txt/2016/01outline.html
下図 IPA 【注意喚起】ランサムウェア感染を狙った攻撃に注意 より作成
https://www.ipa.go.jp/security/topics/alert280413.html

セキュリティ音痴のわたしでも、さすがに大変な状況だということがわかります。一体どうすればいいのでしょうか。専門家に聞いてみたほうが良さそうです。

よくわかる解説!

というわけで、当社でセキュリティ分野を担当しているSEの香取さんにお話しを聞きました。

haramie
原 「ランサムウェアは、具体的にどんな悪さをするんですか?」

katorisanhanko
香取さん 「タイプは様々です。当社はサーバサイドの業務が多いので、今回は、Webサーバのファイルを暗号化してしまう『Linux.Encoder.1』というものについて説明します。Linux.Encoder.1は、MagetoやWordPressといったCMSの脆弱性を突いて実行され、Webサーバのファイルを勝手に暗号化してしまいます」

haramie
「暗号化されてしまうと、どうなってしまうんでしょうか?」

katorisanhanko
「Linux.Encoder.1は、ルートディレクトリ以下のWebに関するファイルをほとんど全て暗号化し、Webサイトの公開を停止させてしまいます。暗号化が実行された各ディレクトリには『README_FOR_DECRYPT.txt』というファイルが置かれていて、ここに身代金1ビットコインを要求する旨が書かれています」

haramie
「出た!身代金の要求ですね。1ビットコインは大体48,000円。(2016年5月22日時点) ギリギリ支払えなくもない金額ですが…」


katorisanhanko
「身代金を払うのはおすすめできません!バックアップデータがあれば速やかに復元することができます。バックアップが無い場合は、セキュリティサービス事業者にファイル復元や暗号解除を依頼しましょう」

haramie
身代金を払ってはいけないんですね!」


katorisanhanko
「Linux.Encoder.1については、アンチウィルスソフトを開発するDr.Web社のサイトに詳しい解説が掲載されています。ぜひ参考にしてください」

親切なハッカー? ランサムウェアの開発者が自ら復号方法を公開

さて、2016年5月19日に、なんとも不可解なニュースが飛び込んできました。

Security NEXT – 「ごめん!」TeslaCrypt開発者が復号キー公開 – 無償復号化ツールも登場
http://www.security-next.com/070038

ランサムウェアの1つ『TeslaCrypt』の開発関係者が、“we are sorry!”というメッセージと共に復号キーを公開したのです。これにより、TeslaCryptによって暗号化されてしまったファイルを元に戻すことができるようになりました。

haramie
「よくわかりませんが、復号できるようになってよかったですね~」

katorisanhanko
「これは単純には喜べませんよ。そもそも、なぜ開発者は復号キーの公開に至ったと思いますか?」

haramie
「うーん、改心したんでしょうか」

katorisanhanko
「これは1つの説ですが、おそらくは身代金が目標金額に達したのでしょう」

haramie
「え? どういうことですか」

katorisanhanko
「いつまでもランサムウェアを蔓延させていると、そのうち対策方法が確立されたり、警察の捜査が自身に及ぶ可能性があります。そこで、目標金額を稼いだら即座に復号キーを公開して、炎上中の事件を鎮火させてしまうのです」

haramie
「なるほど…」

katorisanhanko
ファイルが元に戻れば、被害者たちは追及しなくなります。そうやってまんまと逃げようとしているのかもしれません」

haramie
「そこまで計算ずくなのですね」

katorisanhanko
「サイバー攻撃は機密情報を狙うものとばかり思われていますが、騒動を起こすことで株価を操作し、株取引で巨額の利益を得るということもあります。今時のハッカーは実にビジネスセンスに富んでいるのです」

有効な対策とは

予想以上に巧妙化しているランサムウェア。有効な対策について、香取さんに再び聞いてみました。

haramie
「ランサムウェアの感染を防ぐには、どうすればいいでしょうか」

katorisanhanko
「先ほど紹介したLinux.Encoder.1について言えば、まずCMSにセキュリティアップデートを適用することです。Mageto、WordPress では既にアップデートがリリースされていますので、利用中の方でパッチ適用の場合は、すぐにアップデートを実施してください」

haramie
「アップデートができない場合は?」


katorisanhanko
「どうしてもアップデートが難しい状況では、IPSを導入するという方法があります。その場合、利用しているCMSの脆弱性を狙う攻撃に、シグネチャが対応しているかを必ず確認してください。とはいえ、これも暫定対策です。可能なタイミングでアップデートを行うことをおすすめします」

haramie
「ほかにも対策はありますか?」

katorisanhanko
「やはりバックアップですね。Linux.Encoder.1以外のランサムウェアだけでなく、改ざん、データ破損への備えになりますし、とても重要です。もし、運用中のWebサーバのバックアップをしていないなら、すぐにでも実施しましょう!転ばぬ先の杖です」

haramie
「更新やバックアップ、つまり日頃の運用が大切なんですね!勉強になりました」

専門家の知恵を借りよう

日頃の運用がランサムウェア対策になるなんて、思いもよりませんでした。なかなか大変ですが、被害を受ける前にしっかり取り組みたいですね。

さて、当社では、専門エンジニアによるITインフラサービスを提供しています。
当社のフルマネージドホスティングは、お客様の課題や要望に対して、各分野のプロフェッショナルが設計、構築、24時間365日の運用対応を行っています。課題解決には専門家の知恵を借りるのが一番の近道です!ぜひ、お気軽にご相談ください。

データホテル: クラウド時代のITインフラ・ソリューション
https://datahotel.jp/

また、6月22日には、『「組織」×「技術」でわかる!貴社に本当に必要なITにセキュリティ』と題したセミナーを開催します。
標的型メール攻撃対策で多数の実績を持つGATEWAY COMPUTER社との共催となります。この記事に登場しているSEの香取も登壇いたしますので、ぜひお越しくださいね。

それではまた!

あなたにおすすめの記事