セキュリティとストレージのリーディングカンパニー|バラクーダ > ブログ > Backup > Cryptolocker対策は万全ですか?

Cryptolocker対策は万全ですか?
クリスティーン・バリー(Christine Barry)(バラクーダネットワークス、チーフブロガー)

2014年01月09日

Cryptolockerは、現在流行している最も悪質なマルウェアの1つです。このトロイの木馬型ランサムウェアは、データの「身代金」を要求し、支払わないとファイルへのアクセスを不能にします。ただし、身代金を支払ったからといって、ロックが解除される保証はありません。

では、このマルウェアの仕組みを説明しましょう。Cryptolockerの感染源は、他のマルウェアと同じように、ドライブバイダウンロードやメール添付です。この段階で阻止できれば問題はありません  (このような脅威には、Barracuda Web FilterBarracuda Spam & Virus Firewallが威力を発揮します)。また、すでに感染したPCやボットネットソルジャーがネットワークに存在する場合は、これも感染経路になります。これも、他のマルウェアと共通した特徴です。

Cryptolockerを実行してしまうと、[Documents and Settings]フォルダに自身をインストールし、ユーザがマシンを起動する際に自動実行できるようにレジストリ設定を作成します。そして、インターネット上で制御サーバへの接続を試みます。接続が確立すると、制御サーバはRSA 2048ビット暗号鍵のペアを生成し、公開鍵をCryptolockerに送信します。Cryptolockerは、ローカルドライブとマップされたドライブ上で攻撃対象となるタイプのファイルを探し、すべて暗号化します。Cryptolockerは攻撃対象となるファイル拡張子のリストを保持していて、ほとんどのワードプロセッシングやスプレッドシートなどの文書、画像、CADファイルなどが含まれています。

暗号化が終わると、Cryptolockerは上記のような画面を表示して身代金を要求します。被害を受けた場合、3つの選択肢があります。

  • 身代金を支払う:被害者が暗号化されたファイルを復元することは不可能だという理由から、一部の業界の専門家はこの方法を推奨しています。
  • PCをクリーンナップし、感染していないバックアップを使って復元する:感染経路(マップされたドライブなど)から感染したPCに接続していないバックアップであれば、このマルウェアには感染していないと考えられます (Barracuda Backupがあれば安心ですね)。
  • Windows Shadow Copyまたはシステムの復元機能を使って復元する

身代金を支払う場合には、期限があるので注意が必要です。画面で指定された期限を過ぎると、制御サーバは鍵を削除してしまい、復元できなくなります。

Bleeping Computerフォーラムでは、Cryptolockerに関する情報交換が行われ、役立つ情報が豊富に掲載されているので参考にしてください。

このブログの読者はITプロフェッショナルがほとんどですから、マルウェアへの対策はご存知でしょうし、Cryptolockerの話を耳にした方も多いでしょう。筆者はここ数ヵ月の間、Cryptolockerについてはさまざまな注意喚起を行ってきました。セキュリティソフトウェア、バックアップ、ネットワーク全体の状態を再確認し、マルウェアに対するユーザ保護など、さらに講じることができるセキュリティ対策がないか検討してください。


予算が厳しい状況の中で、ソリューションに関する意志決定を行う担当者に働きかけるには、Cryptolockerをトピックに加えるのも1つの方法です。

  • 警察政府機関でさえ、ランサムに身代金を払っている。
  • 支払いには追跡不可能なビットコインが必要になるため、法的措置や損失回収の可能性はほぼない。
  • Cryptolockerの自作キットが100ドルで出回っているなど、誰もがランサムウェア市場にアクセスできる。「Malware Must Die」ブログ(http://malwaremustdie.blogspot.in/2014/01/threat-intelligence-new-locker-prison.html)には、このマルウェアについて豊富な内容と最新情報が掲載されています。
  • Cryptolockerの設計者は、効果的に脅威を与えるために、ビジネスモデルに変更を加えている。

筆者は、バラクーダネットワークスが提供する防御ソリューションであるWeb Filter、Spam & Virus Firewall、Barracuda Backupをお勧めします(ソリューションの購入時には筆者の名前をお忘れなく)。もちろん優れた製品はセキュリティ保護で大きな威力を発揮しますが、次の点にも注意が必要です。

  • スパムやフィッシングなどの攻撃に関するユーザの教育
  • ネットワーク上でどのようなトラフィックが行き来しているのかを定期的に監視
  • バックアップを定期的に実行し、オフサイトに保管
  • プロアクティブなパッチ管理
  • リアルタイムスキャン機能を備えたウイルス対策ソフトウェアを導入

Cryptolockerの被害にあっていませんか?Cryptolockerへの対策は万全ですか?

※本内容はBarracuda Product Blog 2014年1月9日 Are you prepared for Cryptolocker? を翻訳したものです。


コラム(バラクーダブログ)一覧へ

お問い合わせ

CONTACT