夏に発生したランサムウェアから得た教訓

セキュリティとストレージのリーディングカンパニー > ブログ > バラクーダネットワークス > 夏に発生したランサムウェアから得た教訓

夏に発生したランサムウェアから得た教訓
Phil Muncaster

2017年10月23日

最初のランサムウェアが登場してから、ほぼ10年が経過しましたが、5月と6月に発生したWannaCryとNotPetyaは、まったく新たなレベルの脅威となりました。ワームのようなこのランサムウェアは、世界レベルでの混沌と破壊を及ぼしたのです。あらゆる規模の企業が標的になったこの攻撃では、現在も復旧作業が完了していない企業が数多く存在し、膨大な金額の損害を被っています。


優秀なITセキュリティマネージャであれば、ここから教訓を得ることができるでしょう。つまり、このような事件を建設的に捉え、もしも再び同じような攻撃に遭った場合に備えて適切な対策を講じるはずです。では、この夏に発生したランサムウェアから、どのような教訓を得ることができるでしょうか。

2つのゲームチェンジャー

WannaCryNotPetyaには共通点がありますが、その違いを理解することが重要です。5月12日に発生したWannaCryは、わずか1日あまりで世界150ヵ国で20万を超えるマシンに感染したと報告されています。なぜそれほどまでに急激にまん延したのでしょうか。その理由は、脆弱なシステムを探し出し、認知度の低いWindows Server Message Block(SMB)プロトコルを悪用することにより、ワームのような方法で感染を広げたからです。SMBには、Microsoftが2ヵ月前に修正を発表したバグが存在しました。WannaCryの感染拡大の原因になったEternalBlueとDoublePulsarの脅威を流出させた点では、NSAに大きな責任があります。MalwareTechのリサーチャがキルスイッチドメインを発見して登録しなければ、感染はさらに広がっていたはずです。また、この攻撃を北朝鮮と結びつけているリサーチャもいます。

NotPetyaは同じSMB脆弱性であるEternalBlueを悪用してマシンに感染しますが、合法的な管理ユーティリティであるPsExecやWMICなど、幅広い経路で感染を拡大しました。ただし、WannaCryとの相違点は、その目的です。NotPetyaは、ウクライナの憲法記念日(6月28日)の前に、ウクライナ企業の業務停止をターゲットにした偽装行為だったと考えられています。リサーチャの報告によれば、悪意のあるコードによって被害に遭ったマシンは完全に復旧不能となり、復号キーが提供されることもありません。ロシア政府の工作員が背後に存在し、ウクライナ国内の多国籍VPNを介して世界規模で感染が拡大したと言われています。

重要なポイント

では、この2つの攻撃から何を学ぶことができるでしょうか。

パッチ、パッチ、とにかくパッチ。攻撃では、すでに修正がリリースされているにもかかわらず、多くの企業がパッチを適用していない重要なWindows脆弱性が悪用されています。実際、先週出現したWannaCryの亜種は、韓国にあるパッチが適用されていないLGセルフサービスキオスクだと考えられています。脅威が報道されなくなったからといって、感染を停止しているとは限りません。

ランサムウェアは膨大な損害を及ぼす。マルウェア攻撃に遭った企業は、身代金を支払うとは限りません。というのは、復号キーが手に入る保証はないからです。金銭的な被害以外にも、業務やサービスが停止に陥り、企業イメージの低下や資金調達が困難になるといった問題につながる可能性があります。

デンマークの海運大手であるMaerskは、NotPetyaの感染が原因で3億ドルの損害を被っていますし、ドイツの製薬メーカーであるMerckは8月の最初の時点で一部の製造施設の復旧が完了していません。ニューロフェンやデュレックスのメーカーであるReckitt Benckiserは、当初予測されていた3%の売上増を2%に修正したことを発表しており、損害額は1億ポンドと予測されています。

大手企業も標的になる。このようにグローバルな大手企業もランサムウェアの被害者になっているのですから、SMBも攻撃の対象になることは明らかであり、リスク軽減への投資を行うべきです。

問題は、巻き添え被害。ランサムウェアは、ワームのような機能によって急激に感染を拡大します。今回は標的にならなかった企業も、今後標的になる可能性があります。NHS(英国の国民保険サービス)も、WannaCryで身代金の支払を余儀なくされました。

罰金が適用される見込み。今後、ランサムウェア感染への対策を講じていない企業には、罰金が科せられる可能性があります。GDPRでは、ランサムウェア感染でデータを復旧できなかった場合、それはデータ流出であり、重要なインフラプロバイダに新たに適用されるNIS指令の違反であるとみなされます。いずれも違反した場合には、最高で1,700万ポンドまたは年間売上の4%(いずれか高い方)が罰金として科せられます。

継続的なセキュリティ保護

ランサムウェアには万能な対策は存在しません。ただし、社内への侵入経路を考えれば、階層型のアプローチとネットワーク境界保護(次世代ファイアウォールやメールゲートウェイセキュリティなど)を組み合わせることをお勧めします。また、巧妙な脅威に対しては、行動分析はサンドボックスも重要です。

さらに、すでに侵入した脅威については、ランサムウェアの感染拡大を阻止する上でネットワークのセグメント化が重要な役割を果たします。エンドユーザ教育を実施し、不審なリンクのクリックや、ランサムウェアが仕込まれた添付ファイルを開かないように指導する必要もあります。このような対策に、自動パッチ管理、アプリケーション脆弱性の定期スキャンを組み合わせるとさらに効果的です。また、バックアップも非常に重要です。バックアップコピーを少なくとも1つはオフラインに保管し、感染の危険を排除しましょう。

適切な戦略とツールがあれば、ほとんどのランサムウェアを回避し、損害を被る心配もなくなります。


フィル・マンキャスター(Phil Muncaster)氏は、Computing、The Register、V3、MIT Technology Reviewをはじめとする著名なニュースサイトにおいて、テクノロジ分野のライター/エディタとして12年を超える実績を積んでいます。香港で2年以上過ごしたフィルは、アジアのテクノロジ業界に精通しています。現在はロンドンを拠点に、情報セキュリティを中心に活動を続けています。

ツイッターはこちら、LinkedInはこちらです。


*本内容はBarracuda Product Blog 2017年 8月29日 What Can We Learn from a Summer of Ransomware? を翻訳したものです。


コラム(バラクーダブログ)一覧へ

お役立ち情報満載の資料ダウンロード|機能詳細、導入構成、モデル一覧などお役立ち情報が満載です。

お問い合わせはこちら

03-5436-6235 受付時間 平日9:00〜17:00

Webからのお問い合わせはこちら