全世界に猛威を振るったランサムウェア WannaCry出現
2017年5月12日 の世界的な大規模なランサムウェア攻撃により、漠然としていたマルウェアの脅威が、驚くべきニュースとともに企業のTopをも巻き込み緊急のセキュリティ懸念事項に変わりました。アメリカ国家安全保障局(NSA)から盗まれた不正行為で武装したいわゆるランサムウェアの「WannaCry」が、99カ国で猛威を振るいました。イギリスの病院やスペインの通信会社では大規模なシステムダウンが発生しています。 今、あなたはランサムウェアの脅威に遭遇していなくとも、明日はあなたを襲ってくる かもしれません。早急な備えが必要です。 Acronis製品でランサムウェア「WannaCry」に備えよ!! Acronisは、WannaCryを含む、ランサムウェア攻撃に対する防御を可能にする製品を提供しています。 Active Protection™は、ランサムウェアの攻撃が確認されると直ちに自動的に駆除します。またランサムウェアによって自動的に壊れたデータを復元します。 現在Active Protection™ は、個人向け製品Acronis True Image 2017 New Generationに搭載されていますが、今後企業向け製品Acronis Backup 12にも搭載される予定です。 ランサムウェアWannacryはどのように攻撃してくるのか 一般的な手口は、電子メールの本文に記載されたURLや電子メールに添付されたファイルを不用意に開いてしまい、ランサムウェアに感染してしまうという手口です。これらの行為によって、パソコンだけではなく、モバイルデバイスやサーバー など次々に感染してしまいます。 これらのランサムウェアの被害者の主な特徴は、ファイルを暗号化せずにロックだけし、身代金を要求したメモを表示します。そのメモには、ファイルを取り戻すための身代金の金額(数万円から場合によっては数十万円)と支払い方法がこのように書かれています。「このオンラインアカウントにビットコインでお支払いください。お金を支払わなければ、あなたのファイルは暗号化されたままか、もしくは削除されます。」 さらに、改良されたランサムウェアの亜種には、他のPCやサーバーに感染を広げるワーム機能が搭載されており、感染したマシンが幾つもの新しいターゲットに対して攻撃を開始してしまい被害がさらに拡大してしまいます。 今回発見されたランサムウェア「WannaCry」の手口は、最近発見されたばかり のWindowsのSMB(Server Message Block/Microsoftのファイル共有プロトコル)の脆弱性を悪用している点が特徴です。当然のことながら多くの企業がまだパッチを当てていなかったことから被害が拡大しました。 この脆弱性は、NSA(National Security Agency アメリカ国家安全保障局)から盗み出されたエクスプロイト*が組み込まれているとされ、最近のShadowBrokersと呼ばれるハッカー集団によって漏洩にさらされた武器グレードのワームと組み合わされ、ランサムウェア「WannaCry」は24時間以内に世界中の破壊の道を切り開いて驚異的なスピードで増殖し広がりました。 (*プログラムのセキュリティ上の脆弱性を攻撃するために作られたプログラム) ランサムウェア「WannaCry」の影響を受ける発券機。出典: @GossiTheDog なぜデータ保護が必要なのか ランサムウェアからデータを守るために、Acronisはデータ保護ソリューションの重要性を長年主張してきました。ストレージメディアやクラウドストレージなど、保存場所の多様化をしてファイルをバックアップしておくことにより、万が 一ランサムウェアでデータが暗号化された場合、コンピュータを感染前の状態にすばやく復元させることができるからです。もし復元させることができれば、バックアップを取ってから被害に会うまでの数時間または数日間の仕事データは失うかもしれませんが、身代金を支払う程の必要性はないでしょう。 ランサムウェアは、アックアップファルをも攻撃しようとする Acronisは、バックアップしたファイルのコピーを自己保護します。ランサムウェアは、データ修復作業を妨害するために、バックアップファイルそのものをターゲットにし攻撃して来ます。その対策として今年2月(日本)Acronisは、Active Protectionを導入したデータ保護ソリューション「Acronis True Image 2017 New Generation」を発表し重要な一歩を踏み出しました。 この独自の特許技術は、ヒューリスティック分析と機械学習を使用して、ランサムウェア攻撃をインテリジェントに検出・ブロックし、暗号化されたデータを直ちに復元します。その方法は、すべてのランサムウェア攻撃に共通する“疑わしいファイル活動”を特定し、問題のプロセスをただちに終了させます。ローカルキャッシングにより、攻撃が検出され消滅する前に暗号化された少数のファイルを復元させます。ここで大切なことは、Acronis Active Protectio™は、ウイルス対策のようなシグネチャベースの防御を回避するゼロデイ攻撃(存在がほとんど分かっていない脆弱性)に基づいて攻撃を検出して無効にしたということです。 Acronisアクティブプロテクションテクノロジは、ランサムウェアをブロックし、暗号化されたファイルを回復します。 お金を払ってもデータが戻る保証はない ランサムウェア「WannaCry」は、今回いきなり一般に知られるものになりましたが、これは数年前から広がっているランサムウェアが変種した最新のものに過ぎません。ランサムウェアの被害は、昨年一年間で1000億円以上にもなりま す。そして全世界の企業のうち47%が、少なくとも1件以上のランサムウェアの攻撃を受けています。身代金を支払えばデータが戻ってくると考えがちですが、被害にあった5人の犠牲者のうちの1人は、お金を支払った後も“約束の救済”を受けることはありませんでした。そして支払いは、それ以上の攻撃を阻止するものでは決してありません。ランサムウェアを使った犯罪は、犯罪者を奨励し、新たなランサムウェアの開発資金を提供するだけなのです。これらの攻撃に 対して対策を講じるか、さもなくば繰り返し犠牲になってしまうのか、選択肢はあなたの手の中にあります。 ランサムウェア「WannaCry」から学ぶべきことは、ランサムウェアを使った犯 罪者たちは、絶えずゲームをしているような状態であるということです。マルウェアコーダーは、ランサムウェア犯罪の初心者向けのサービスで、あたかも合法 的なソフトウェアサービスのように、ransomware-as-a-service(RaaS)として販売されています。こういった犯罪を助長するサービスが、この急速に拡大するランサムウェア脅威を洗練し、脅威の到達範囲を拡大させているのです。 問われる企業の対策 今回猛烈な被害をもたらしたランサムウェアの大災害は、ランサムウェア対策を講じていなかった企業にも大きな影響をもたらしたと言えるでしょう。今回のランサムウェアの脅威を機に、ランサムウェアへの対策を強化していくでしょう。 ITセキュリティ専門家は、以下のような多層的な防御対策を推奨しています。 • 厳密なバックアップ計画を維持する。 • オペレーティングシステムやアプリケーションの既知の脆弱性に対し、徹底的にパッチを当てる。 • アンチウイルスのようなエンドポイントのセキュリティ対策を展開し、シグネチャデータベースを最新の状態の維持。 • ワームの伝播を防ぐためのファイアウォールとVLANを備えたセグメント型ネットワーク • 迷惑な電子メールリンクや添付ファイル、ウイルスに感染したWebサイト、悪意のあるオンライン広告、感染したUSBドライブなどの侵入経路に注意を促す ための社内教育 そして、今回猛威を振るったランサムウェア「WannaCry」などの様々ランサム ウェアの攻撃からビジネスを守る効果的な方法は、 • トランズウェア(ゼロデイ攻撃を使用している変種を含む)でのランサムウェアの即時停止 • ランサムウェアで破損したファイルの自動修復 • バックアップコピーの破壊からの保護 • 緊密に統合されたアクティブ/パッシブデータ保護 以上の対応が必要です。 その唯一の鍵は、Acronis Active Protection™に対応したAcronis Backup 12 Advancedです。(近日発表予定)
