ここから本文です

ランサムウェアが日本でブレークした理由と感染対策をふりかえる

ITmedia エンタープライズ 8月12日(金)8時9分配信

 2015年後半から2016年前半の国内のマルウェア動向を振り返ると、コンピュータのデータを人質に金銭を要求する「ランサムウェア」が話題を集めました。ランサムウェア自体は、海外では何年も前から存在する脅威でしたが、日本で急速に感染や被害が広がったのはなぜでしょうか。その理由と感染対策のポイントを追ってみました。

【その他の画像】

 典型的なランサムウェアの手口をおさらいすると、まず攻撃者はコンピュータのユーザーを巧妙にだましてランサムウェアに感染させます。感染したランサムウェアは、ファイルを暗号化するなどの方法でコンピュータの機能やデータそのものを使えない状態に陥れ、これに慌てたユーザーに対し、「元に戻してほしければ金を支払え」と脅迫します。金銭を支払う方法には、ビットコインなど仮想通貨を指定するケースが多くみられます。

 機密情報を盗み出すことが目的のマルウェアに比べて、ランサムウェアはその目的(金銭の支払い)を達成するために、ユーザーに自身の存在を示すことから分かりやすい脅威です。逆に機密情報を盗むマルウェアは、その存在が分かってしまうと目的を達成しにくくなるため自身の存在を隠します。この違いからランサムウェアの脅威を初めて目の当たりにしたというユーザーは多く、日本で一躍注目されるようになりました。

●メール経由でマルウェア感染を狙う

 マルウェアの感染経路は、Webサイトやメール、USBメモリなどさまざまですが、ランサムウェアに関してはメールを使うケースが多いようです。セキュリティソフト「ESET」を国内で展開するキヤノンITソリューションズのマルウェアラボ推進課長、石川堤一氏は「2016年2月以降はメールに添付されるダウンローダが大量に出回ったことで、ランサムウェア感染が急増したとみています」と指摘しています。

 一般的にマルウェア感染攻撃では、攻撃者はいきなりマルウェア本体を相手に送り付けることはなく、先にマルウェアを送り込むためのダウンローダを使います。ダウンローダはファイルを外部から入手してコンピュータ上で実行するなどの機能しか持ちません。正規のアプリケーションの配布といった手段でよく利用されますが、攻撃者はマルウェアの配布にダウンローダを悪用します。攻撃ではユーザーがダウンローダを実行してしまうと、ダウンローダがマルウェア本体を攻撃者の用意するサーバなどから入手し、感染させるというステップを踏みます。

 キヤノンITソリューションズが観測では、ランサムウェアを呼び込むダウンローダのタイプとして、主にVBA型とScript型の2つが使われました。

 VBA型のダウンローダは、WordやExcel形式になりすましてファイルがメールに添付され、配信されます。メールの文中などには、ユーザーにOfficeのマクロ機能を有効にするよう求めるメッセージが記載されるケースもあります。ユーザーが攻撃と気付かないままマクロ機能を有効にしてしまうと、VBA型のダウンローダが実行され、マルウェアの本体がダウンロードされてしまいます。

 一方、Script型のダウンローダでは、特にJavaScript(.js)が使われますが、中にはWindows Script File(.wsf)などOSに関連するファイルを使うケースも確認されました。メールに添付して送り付けるのはVBA型と同じですが、添付ファイルはzip形式やrar形式などの圧縮ファイルになっている場合が多いようです。これもユーザーが安易に圧縮ファイルを開いて中身のScriptを実行してしまうと、マルウェア本体がダウンロードされます。

 なお、メールを使う以外の感染手法としては、改ざんされたWebサイトを使うケースもあります。この場合は、攻撃者がWebサイト内に不正なコードを予め埋め込むなどして改ざんし、そのWebサイトをユーザーが閲覧すると、不正コードがコンピュータに存在する脆弱性を突く形で実行され、ダウンローダやいきなりマルウェア本体が送り込まれます。

●メール攻撃が増える背景とは?

 ランサムウェアの感染にメールが使われる背景には、さまざまな要因が関係していると考えられます。シマンテックでセキュリティレスポンス シニアマネージャを務める浜田譲治氏は、その1つとして、2011年~2014年頃に国内で被害が多発した不正ログイン事件の影響を疑います。

 同社の観測によると、国内では2015年秋からスパムメールの流通が異様に増え、現在ではスパム流通量で世界上位の米国をはるかに超えています。これは過去にみられない状況で、国内の通信事業者などが提供しているアドレスも多数確認しているといいます。

 不正ログイン事件は、ポータルサイトやオンラインサービスに対する不正アクセスが相次ぎ、大量のユーザー情報(メールアドレスやパスワード、個人情報など)が盗み取られた可能性のある事件でした。

 浜田氏は、一連の事件から膨大な数の日本に関するユーザーの情報が闇市場に流出し、その情報がランサムウェアの拡散に悪用された可能性を指摘します。

 というのも、攻撃者は感染メールをばらまくために実在の有無に関わらずアドレスを機械的に大量生成してメールを配信します。通常なら生成されるアドレスはランダムですが、上述のように国内に実在するアドレスが多数使われていることから、機械的にランダムに生成されたとは考えにくいとのこと。メールアドレスは1件あたり1円にもならない金額で売買されるため、ランサムウェアの感染を広げたい攻撃者は、大量の日本のユーザー情報を安価に入手したのかもしれません。

 浜田氏によれば、流通するスパムメールのアドレスは国内のものだけでなく、海外のアドレスも大量に確認されています。

 加えて、メールを受け取った相手にファイルを開かせる内容も巧妙になりました。以前は英文ばかりで普段見慣れないメールに警戒するユーザーが多かったものの、日本語メールが出現し、警戒心が次第に低下したと考えられます。攻撃者側は、どこかのタイミングで「日本人はメールの内容を信頼しがちだ」と理解したのかもしれません。

 当初は日本語としての言葉のつながり方などに不自然さがみられましたが、短期間で洗練され、直近では日本郵政やヤマト運輸の正規の配送通知メールの内容をほぼ丸ごとコピーしたものが見つかるなど、相手に違和感を与えないよう工夫しています。また、実在企業になりすまさない場合では、「確認依頼」「入金先」といった件名や短い本文を用いるケースもあります。攻撃者側は、短い文章なら相手に不自然さ与えないほどに日本語を使いこなすようになってきた可能性があります。

 これらの点の多くは状況証拠の域にとどまるかもしれませんが、いずれにしても過去のサイバー攻撃事件の影響や攻撃者側のテクニックの高度化といった要因が重なり、日本がランサムウェア攻撃に狙われやすい状況につながったとみられます。

●既存の対策で減らせる感染リスク

 企業や組織では、さまざまなセキュリティ対策が既に講じられています。それにも関わらずランサムウェアの感染や感染による被害(身代金の支払いや復旧作業費、業務停止などの収益機会の損失など)が多発しています。

 その原因は、前項までに挙げたユーザーを巧妙にだますテクニックによるところが大きいとみられますが、キヤノンITソリューションズの石川氏やシマンテックの浜田氏は、企業や組織が導入済みのセキュリティ対策を効果的に活用することで、感染リスクを減らすことができるとアドバイスします。

 石川氏は、まず基本策の徹底によってランサムウェア感染を狙う大量のメール(「ばらまき型メール」と呼ばれます)にまず対処することを推奨しています。

 ばらまき型メールに対して、例えば、メールのゲートウェイで圧縮ファイルにスクリプト型ダウンローダが疑われる形式のファイル(.jsや.wsfなど)が含まれるものについては、これを取り除くルールを適用します。これで大量感染のきっかけとなるメールの多くを水際でブロックできる効果が見込まれます。

 ただし、この方法はファイルの拡張子だけを手掛かりにしているため、拡張子を細工(例えば、「請求書.doc.exe」など)しているなどの手口には通用しません。あくまで、拡張子などをあまり細工していない初歩的な手口を用いる大量のメールを効率的に食い止める方法ですので、石川氏もセキュリティソフトを利用して、ファイルの中身を検査して駆除するといった方法が必要になるとアドバイスしています。

 海外との取引が全く無いのであれば、スパムフィルタの設定で英文メールを除外する方法も多少は有効とのこと。こちらも日本語を使う攻撃メールには通用しませんので、英文による大量の攻撃メールを水際で効率的にブロックする方法の1つです。

 また浜田氏は、ランサムウェアを含むマルウェアの影響を食い止める方法として、PCなどにインストールされているセキュリティソフトの定義ファイルによる検知と、IPS(不正侵入防御システム)機能の併用を推奨しています。

 定義ファイルによる検知は、セキュリティソフト会社が確認したマルウェアにしか対応できませんが、IPSではマルウェアの可能性があるプログラムの動きなどを検知してその動きを止めたり、PCと攻撃者のサーバとの通信を遮断したりします。特に世の中に出始めたばかりの新種マルウェアに対しては有効な機能です。

 個人向け・法人向けを問わず最近のセキュリティソフトの多くは、IPSを含むさまざまな検知・防御機能を備えます(製品によっては値段によって機能の有無に違いもあります)。しかしユーザーの中には、これらのセキュリティ機能を有効にするとPCの動作が鈍くなるといった理由で使わないケースがあり、浜田氏はなるべく有効にしてほしいと言います。

 セキュリティ機能が目立ってコンピュータの動作に影響するは、個人ユーザーの場合ならオンラインゲームやグラフィカルゲームなど、企業や組織では設計や研究開発などで画像や動画、大量の解析データの処理といったケースが多いでしょう。

 使用中のPCが5年以上前に製造された性能の低い機種といった特別な事情でなければ、Web閲覧や文書作成など一般的な使い方ではセキュリティ機能がPCの動作に与える影響はあまりないと考えられるだけに、万一の感染リスクを考慮するならば、できる限りセキュリティ機能を有効すべきです。

●セキュリティ対策でやっぱり大事なこと

 ここまでランサムウェアの脅威が急拡大する背景や対策を見てきました。感染攻撃では相手の意識や感覚の裏側を突く巧妙な手口が使われます。また、万全ではないにしても感染リスクを低減できる技術的な対策方法は既に存在し、それをどう活用するかはユーザーの理解と考え方次第です。

 ランサムウェアに限らずいまのサイバー攻撃は、人間をだますテクニックや新種マルウェアといった技術手段を幾つも組み合わせた複雑な形で実行されます。守る側も、同じように人と技術の両面で対策が求められるでしょう。

 人の面では、例えば、ニュースや研修、教育など通じて脅威の最新動向や内容を理解し、常に脅威に対する危機意識を持てるようにします。技術の面では、予算や運用能力などに照らしてさまざまな対策手法の中からユーザーにとって最も現実的かつ効果的な手法を選択し、日々適切に機能するように運用します。セキュリティ対策に「これなら安心」という特効薬はありません。

 特に近年のサイバー攻撃対策は、機密情報を搾取するような標的型攻撃の脅威が注目されるものの、実際には目には見えないために守る側の対応が難しいばかりか、「うちは狙われないから大丈夫!」と事実無き根拠から対応すらしないところもあります。誤解を恐れずに言えば、わざわざ自身の存在をアピールしてくれるランサムウェアの台頭は、守る側にサイバー攻撃の脅威を理解して対策の実行をうながす契機になりました。

 なお、米国では病院を集中的に狙って金銭を巻き上げるランサムウェア攻撃が発生しています。また浜田氏によれば、海外では攻撃者が狙った企業でわざとランサムウェアの騒動を引き起こし、その混乱の隙に乗じて金銭では無く機密情報を盗み取る高度な標的型攻撃の発生も確認されています。

 こうした実態にも関わらず、セキュリティ業界に詳しい宮田健氏がコラムで指摘しているような感覚でセキュリティ対策を実践しないことは、状況の誤認識といっても過言ではないでしょう。大事な情報やデータ、金銭を脅威から守るのであれば、「うちは大丈夫」という認識を捨て去るのは当然のこと、セキュリティ対策を「やった」つもりにもせず、常に効果を確認しながら実践すべきです。

最終更新:8月12日(金)8時9分

ITmedia エンタープライズ