図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

図解サイバーセキュリティ用語

Wanna Cryptorで見るランサムウェアの仕組み

投稿日:

2017年5月12日に世界中で大規模なサイバー攻撃が発生しました。多くのコンピュータがWanna Cryptorと言うランサムウェアに感染し、感染したコンピュータのファイルを暗号化されてシステムやサービスがダウンするといった事象が発生しています。ランサムウェアはここ数年頻繁に発生しており、企業もある程度十分な対策をとっていたはずですが、今回のランサムウェアも防ぐ事ができない企業が多いようです。Wanna CryptorはMS17-010のMicrosoft Windows SMB サーバーの脆弱性に対する修正プログラム(KB4013389)が適用されていないコンピュータに侵入して、他のランサムウェアと同様にある特定の拡張子を持つファイルのみ暗号化します。

ランサムウェアの仕組み

他のランサムウェアと違って注目されているところは、このランサムウェアが悪用している脆弱性を攻撃するコードの1つであるEternalBlueとリモートから実行する任意のコードのDoublepulsarが米国家安全保障局(NSA)から流出したという事です。NSAからこれらのコードを盗んだハッカー集団であるShadow Brokersが、これらのコードが闇市場で売れなかったためにインターネット上で公開したと言われており、公開された情報を基に誰かがWanna Cryptorを作成したと考えられています。

感染経路

多くの感染経路はメールの添付ファイルです。業務に関連したメールを装ってユーザに添付ファイルを開かせようとします。添付ファイルがexeなどの実行ファイルの場合、多くのメールシステムやセキュリティシステムが添付ファイル自体をブロックするルールを実装していますので、最近ではjava scriptやPDFの脆弱性を悪用するために.pdfや.jsなどの拡張子のファイルが多いです(とは言いつつも、添付されているファイルはランサムウェアによって違ってきます)。また、悪意のあるマクロを組み込んだWordやExcelが添付されている場合もあります。

通常であればメールシステムと連携しているウィルス対策ソフトが添付ファイルをスキャンしてトロイの木馬などのマルウェアであれば削除してくれますが、最新の攻撃手法であったり、java scriptやマクロなどのプログラムが難読化(Obfuscation)されている場合はウィルス対策ソフトではランサムウェアを検知する事が出来ない場合が多いです。

被害

ランサムウェアに感染すると、特定の拡張子のファイルが暗号化されます。暗号化されるという事はそのファイルを復号しなければユーザは利用する事ができません。例えば、業務で必要なPowerPointの資料やExcelの資料などが暗号化されて利用できなくなってしまいます。一方で、ランサムウェアはWindows OSを正常に起動させて、ユーザにビットコインを要求する画面とその指示を表示する必要があります。ですので、Windows OSを起動させるために必要なファイルは暗号化しません。

対策

対策に関しては感染前の対策と感染後の対策(対応)を説明します。まず感染しないための対策として以下の点が挙げられます。

  • 不審なメールは開かない。特に添付ファイルは開かない。
  • 最新のWindowsパッチを適用して、脆弱性の対策を行う。(Wanna Cryptorの場合はMS17-010、KB4013389を適用)
  • JavaやAdobeを最新のバージョンに更新する。
  • ウィルス対策ソフトの定義ファイルやエンジンを最新のものに更新する。

例えば、Wanna Cryptorが悪用している脆弱性はマイクロソフトのMS17-010(KB4013389)というセキュリティパッチを適用していれば、多くの条件でWanna Cryptorに感染する事はありません。MS17-010(KB4013389)は3月にリリースされたMicrosoft Server Message Block 1.0 (SMBv1) の脆弱性を解決するためのセキュリティパッチで、通常の企業であれば、その月の間に定期的なパッチ配信で適用されるはずですが、今回の被害状況を見ると、MS17-010(KB4013389)を適用していない会社は多いようです。

万が一ランサムウェアに感染して、ファイルが暗号化された場合の唯一の対策は以下の通りです。

  1. ウィルス対策ソフトでランサムウェア(トロイの木馬)を削除する。
  2. Windows、Java、Adobeなどのパッチを適用して最新の状態にする。
  3. 暗号化されたファイルを削除して、ファイルをバックアップから復元する(バックアップソフトが自動的に復元出来る場合は自動的に復元)。

ではバックアップを取っていない端末であればどうすれば良いのでしょうか?答えは1つしかありません。それはあきらめる事です。もしかすると、ランサムウェアの攻撃者にビットコインを払って、復号ソフトとキーを取得して暗号化されたファイルを復号できる場合があります。しかし復号できるかは補償できません。それよりも大切な事として、サイバー攻撃者にビットコインを支払う事は多くの場合コンプライアンス違反となります。これは反社会的団体との金銭のやり取りが禁止されているからです。ビットコインを支払う事は反社会的団体に対して資金を提供する事になります。ですので、いくら大切なデータが暗号化されたとしても、復号するためにビットコインを支払ってはいけません。

広告

広告

-図解サイバーセキュリティ用語

関連記事

脅威・脆弱性・情報資産そしてリスク 図解サイバーセキュリティ用語

リスク分析を行う際によるあるのが、リスクと脅威・脆弱性をごっちゃ混ぜにして考えてしまい、それぞれの定義を勘違いしてしまうことです。ここでは、リスクとは何か?そしてリスクを構成する要因(脅威・脆弱性・情 …

UTM(Unified Threat Managemen)とは 図解サイバーセキュリティ用語

UTMとは複数のセキュリティ対策を1つのアプライアンスに集約することで、総合的にかつ統合的にセキュリティ対策を行うコンセプトの事を言います。もしくはそのようなアプライアンスの事を指します。 UTMに集 …

ICMP Flood攻撃、Ping Flood攻撃 図解サイバーセキュリティ用語

ICMP Flood攻撃はDoS攻撃の中のFlood系の攻撃の一種です。Ping flood攻撃とも言われます。DoS攻撃の中でも簡単な仕組みの攻撃です。どのような攻撃かと言いますと、まずあらかじめ大 …

CISO(最高情報セキュリティ責任者)とは?

CISOとはChief Information Security Officerの略で、最高情報セキュリティ責任者の事を言います。CISOは一般的に執行役員レベルのポジションで企業の情報セキュリティに …

二要素認証 図解サイバーセキュリティ用語

二要素認証とは以下の特徴を持つ要素(情報)の中から2つの要素を利用した認証方法です。 ユーザが知っている情報(Something you know) ユーザが持っている情報(Something you …