2018年も引き続き脅威が継続する「ランサムウェア」

サイバーリーズンは先日、2017年のサイバーセキュリティ動向の振り返りと、2018年の予測を記したレポート「THE YEAR OF THE DEFFENDER ～2018年のサイバーセキュリティに関する5つの予測～」を公開しました。この中では、2018年に深刻化するであろう幾つかのセキュリティ脅威について論じています。前回はその中から「サプライチェーン攻撃」を取り上げましたが、もう1つ同レポートの中で警鐘を鳴らしているのが「ランサムウェア」の脅威です。

ランサムウェアとは？

ランサムウェアについては、2017年5月に「WannaCry」が世界中で猛威を奮ったニュースが広く報じられ、多くの人が知るところとなりました。しかし「ランサムウェア」というキーワードは知っていても、その実態についてはよく知らないという方も多いかもしれません。ランサムウェアは、英語では”Ransomware”と記します。”Ransom”とは「身代金」を指す言葉ですから、ランサムウェアは「身代金を要求するマルウェア」という意味になります。

では、ランサムウェアは何を人質にして身代金を要求するのでしょうか？　それは、PCの中の「データ」です。データを誘拐して、「返してほしければ、身代金を支払え」と脅してくるのです。とはいえ、データを物理的にPCの中から引っこ抜いて誘拐するわけにはいきません。実際には、PCに侵入したランサムウェアは、PC内のファイルを片っ端から暗号化して、ユーザーが読み出せなくしてしまいます。そして、それを復号して元通りの形にしてほしければ、ビットコインで身代金を払えと脅迫してくるわけです。

「手軽に稼げる手立て」であるランサムウェア

前述のレポートでは、このランサムウェアが世界中で猛威を奮った2017年の被害状況を振り返るとともに、引き続き2018年もその脅威が継続するだろうと予測しています。近年のランサムウェアは、自身のコードを変更してシグネチャベースのアンチウイルス製品のチェックをすり抜ける機能を備えています。また「ドライブ・バイ・ダウンロード」や、前回ご紹介した「サプライチェーン攻撃」といった、新たな感染経路を辿って感染するケースも増えており、あの手この手を使って既存のセキュリティ対策をくぐり抜けてきます。

また攻撃者の立場から見ると、ランサムウェアは他の手口と比べ「手軽に稼げる手立て」ととらえられているふしがあります。近年の標的型攻撃は手口が巧妙化・高度化し、中にはいったん侵入を果たした後も長期間に渡り内部に潜伏し、攻撃ターゲットの動向を注意深く観察してから巧妙なソーシャルエンジニアリングを仕掛けてくるものもあります。

大胆でシンプルなランサムウェアの手口

しかし、ランサムウェアの手口は、こうした高度な攻撃と比べると”粗雑”と言っていいほど大胆でシンプルです。ユーザーの端末に侵入するやいなや、あっという間にファイルを暗号化して身代金を要求するメッセージを表示します。長期間に渡る潜伏活動も、情報収集活動も必要ありません。そのため、侵入したマルウェアのふるまいを基に脅威を検知するタイプのセキュリティ製品でも、そのようなランサムウェアの挙動をなかなか検知できないのが実情です。

ランサムウェア検知に特化した機能を備えるサイバーリーズン製品

ちなみに、サイバーリーズンが提供するセキュリティソリューション「Cybereason EDR」およびNGAV（次世代アンチウイルス）機能を搭載した「Cybereason Complete Endpoint Protection」は、このやっかいなランサムウェアの脅威からユーザーを守るための機能を備えています。

両製品とも、エンドポイント（端末）上におけるマルウェアの不審なふるまいや挙動を検知するEDR（Endpoint Detedtion and Responce）の機能を備えますが、その一環としてランサムウェアを検知する機能も提供しているのです。

先ほど述べたように、ランサムウェアは一般的なマルウェアと違い、感染してから被害が顕在化するまでの期間が短いため、通常のふるまい検知技術では「検知したときには既に手遅れ」になる可能性が高いといえます。そこでサイバーリーズンの製品では、手遅れになる前に活動を検知できるよう、ランサムウェア特有の挙動パターンをいち早く検知できる専用の仕組みを備えています。具体的には、ランサムウェアがコンピューターやネットワークドライブの暗号化を始めると、複数の検知技術を組み合わせて即座にそれを検知し、強制的に暗号化処理を停止します。

共有ドライブ上のファイルに対してもランサムウェア対策

またサイバーリーズンの製品は、コンピューターのローカルドライブ上のファイルだけでなく、ネットワーク上の共有ドライブに置かれたファイルに対してもランサムウェア対策を適用できます。一般的に、企業内のファイルサーバー上に置かれたファイルは重要度が高いため、共有ドライブ上のファイルをランサムウェアの脅威から守れるか否かは、企業にとっては極めて重要な関心事だといえます。

さらには、近年被害が拡大している「ファイルレス」のランサムウェアの挙動も、効果的に検知できるようになっています。ファイルレスとは、PowerShellやJavaScriptのような、OSやブラウザが備える正規のスクリプトツールを使い、あたかも正規の挙動を装った攻撃を仕掛ける手法です。一般的なふるまい検知型のセキュリティ製品では検知しにくいこうした攻撃も、弊社の製品なら検知することができます。

このほかにも「Cybereason EDR」および「Cybereason Complete Endpoint Protection」には、ランサムウェア対策に役立つ数多くの機能が備わっています。製品ページにさらに詳しい情報が載っていますので、興味をお持ちの方はぜひご参照ください。

ホワイトペーパー「ランサムウェアとは何か」

ランサムウェアによる攻撃は、ほかの攻撃手法にくらべ手間がかからず、その一方で攻撃者は、ずっと大きな利益を手に入れています。スパム型の攻撃はその効果がほぼ薄れており、また、クレジットカードや銀行口座の情報を盗む手口は、盗んだ情報を使って実際に金を盗み取るために、一定の犯罪基盤を必要とします。

では、ランサムウェアは、他のマルウェアとは何が違うのか？本書から3つの特徴を学ぶことができます。
https://www.cybereason.co.jp/product-documents/white-paper/1171/