セキュリティ最新ニュース SECURITY NEWS

  • このエントリーをはてなブックマークに追加

Tips

あなたがランサムウェアに対抗するためにできる11の事

スクリーンショット 2016-05-24 11.56.55
http://www.welivesecurity.com/2013/12/12/11-things-you-can-do-to-protect-against-ransomware-including-cryptolocker/
2年半前の記事ですが、ランサムウェア(身代金ウイルス)の情報セキュリティ対策について、Tips記事があったので掲載いたします。
ランサムウェア被害自体は、実は3-4年前からあり、セキュリティ啓蒙記事はありました。

◆被害にあったことを公開したくない
 ・被害にあった企業だと思われたくない
◆被害に気づいていない
 ・昔の手口として、大規模システムに入り込んでいるマルウェアは、侵入経路をぼかす為、ゆうに2、3年潜伏するものもあった
 ・最近、検知技術が進歩して潜伏しているマルウェアの発見ができるようになり感染が発覚し始めている。

などの理由によって、あまり話題になることはなかったのかなと推察されます。

基本の対抗策としては、変わりはありませんので皆様に共有いたします。

1. バックアップをとる

もっとも大事なことは、バックアップ、大事なデータがランサムウェアによって失われる前にネットワークから隔絶された、USBドライブなどに大事なファイルをバックアップすることで復旧の時間はかかるものの、元に戻すことはできます。
方法は、レガシーではあるものの、ひとつの方法として定期的に、テープドライブや、USB外付けHDDバックアップを取るのは非常に有効です。
(NASなど、普段からアクセス権があるところへのバックアップはランサムウェアの仕様上危険が残ります。)

2. ファイルの拡張子は、表示しておく

例えば、Windows。標準では、すでにアプリケーション登録されているファイルは拡張子が非表示になっています。(txtファイルや、pptxファイルなど)
スクリーンショット 2016-05-24 11.02.05

”フォルダオプション” ”拡張子” ”表示” などで検索して常に、拡張子を表示するようにをしておくと

”○○.PDF.EXE”といったファイルをダウンロードして未対策時に、”○○.PDF”と表示されることを防げます。
結果として、exeファイル(マルウェアに多い、実行形式ファイルの直接実行)に気づく率が上がります。

3. eメールでは、exe形式をフィルタする

メールフィルタルールという機能が、ほとんどのメールソフトにあります。
これを利用して、exeファイル(実行形式ファイル:マルウェア感染させるファイルはほとんどがこの形式です)が添付ファイルで届いた際は特定の(例えば”迷惑メール”)フォルダに自動仕訳するように設定しておくと偽装ファイルであった場合にも、幾分かは、感染してしまう率を下げることができます。

4. Windowsのフォルダ、AppData/LocalAppDataからは、プログラム実行できないように設定しておく

ランサムウェアの一部が、上記フォルダ上で実行されているため特に理由がなければ、ファイル実行できないようにしておくことをお勧めします。

5. Cryptolockerの無効化キットのインストールをする

特定のランサムウェアについては、対抗策ができている為無効化するキットのインストールをしておくことをお勧めします。
(注:これは情報が古く、別のランサムウェアがどんどん出現している為、現在あまり意味がありません)

6. リモートデスクトップの無効化をする

リモートデスクトップ自体は、適切に設定すれば外出先などから自宅のパソコンなどを操作できたり保守業者さんによって、遠隔の保守が受けられる素晴らしいサービスですがランサムウェアは、リモートデスクトップのサービスポート(通信路)を使ってC&C(司令/指示)サーバと通信をするものもあります。
遠隔で操作をする必要がないパソコンやサーバーについては”リモートデスクトップ” ”無効” などで検索をして、無効化しておくことをお勧めします。

7. パッチを当てて、ソフトウェアをアップデートする

攻撃者は、常時まだ見つけられていない。ソフトウェアのセキュリティの穴を探し回っています。
危険喚起が、各ソフトウェア開発元やセキュリティ対策製品メーカーより発表されると攻撃者は、その危険情報をもとにして対策が世間でされる前に攻撃してきます。
随時、最新にしなければならないのは、そのためです。

8. 実績のある統合セキュリティ製品を使う

人力で
 ・全従業員がMicrosoft製品やAdobe製品や他各ソフトウェアを全て常に最新にする
ことは不可能なので、補完するものとしてセキュリティ対策製品の導入をするべきです。

9. すぐに、WiFiを切って、LANケーブルを抜く

ランサムウェア感染すると、インターネットを通って、司令サーバーとの通信が確立後ファイルが暗号化(使えなく)されていきます。暗号化される対象は
・感染したパソコン内のファイル
・感染したパソコンから、ネットワーク越しにアクセスができるところにあるファイル
なので、感染したか疑わしく思った瞬間、ネットワークからの切断をとりあえずすることで被害は最小限に抑えられます。

10. 1. のバックアップを戻して、綺麗なシステム状態にする。

感染後、の対処として感染ファイルだけを消すのではなく、時間をかけてでも確実にクリーンなバックアップイメージへのレストア(戻し)をしてしまって綺麗な状態で再開されることをお勧めします。

11. OSの時刻設定を変更して時間を巻き戻す。

Cryptolockerの仕様では、感染、脅迫メッセージの表示から72時間が過ぎると身代金の額が値上げされますが、時間を巻き戻すことで、値上げ前の額に戻すことができます。
とはいえ、ランサムウェアに身代金を払うことは、この手口が有効と、さらなるランサムウェアビジネスの展開を手助けしてしまうことになるので、なるべく払わないに越したことがないです。
(注:これは情報が古く、別のランサムウェアがどんどん出現している為、現在あまり意味がありません)

まとめ

ランサムウェアが出始めた昔も今も、基本的に対策内容は大筋では同じです。
ただしここ数年、爆発的なランサムウェア亜種の増加と、仕組みの高度化によって全従業員が人力で同じセキュリティ対策運用をしても100%はカバーできません。

最重要事項はたった2つです。
・最悪の事態を避ける為に、ネットワークから隔絶された場所にバックアップを取る。
・そもそもの業務停止の予防に、セキュリティ対策製品を導入する。

img_cp700_01

記事一覧に戻る

お問い合わせはこちら

ページのトップへ戻る