Proofpointのリサーチャーが世界規模のWannaCryランサムウェア攻撃の拡散を抑止

May 13, 2017
Ryan Kalember

99ヵ国以上に影響を与えた先日のWannaCryランサムウェア攻撃。しかし、2人のProofpointのリサーチャーと、Malwaretechにブログを寄稿しているイギリスのサイバーセキュリティリサーチャーの素早い行動が無ければ、被害はもっと拡大していたでしょう。この攻撃では、Microsoftを狙った強力なエクスプロイトがやっかいなワームに変化しました。彼らは迅速に行動し、マルウェアに埋め込まれたドメイン名を発見して、DNSシンクホール対策を施したのです。かかったコストは$10.69でした。

ドメインをシンクホールすることで、ワームがそれ以上広範囲に拡散することを止めたのです。マルウェアを特定できたのは、最初の攻撃が欧州とアジアを襲った後でした。それにも関わらず、ワームでもあるこの危険なランサムウェアの拡散速度を劇的に低下させることができたのです。マルウェアの作成者は、元々この仕組みをマルウェアの拡散を停止させるための「キルスイッチ」として組み込んだものと考えられます。これにより、いつでも好きなときにランサムウェアの拡散を止めることができるのです。しかし、ドメインを登録することを忘れていました。

Proofpointでは、この種の攻撃はいずれ起こると考えていました。使われたMicrosoftエクスプロイトは、組織のネットワークにマルウェアを拡散させるために作られたものですし、ランサムウェアの収益率の高さはサイバー犯罪者にとって魅力的だからです。

Microsoftはこの脆弱性のためのパッチをリリースしました。この脆弱性については、Shadow Brokersが最近暴露したNSAハッキングツールに詳しく解説されています。しかし、リリースされたパッチは迅速な展開や緊急対応に向かないもので、多くの組織にとって使いにくいものでした。特に、Microsoftが本日特別なパッチを出すまで対応していなかった、古いOSを搭載したシステムを含むレガシーなシステムは、突出して影響を受けています。

危機的な状況は続いています。世界中のあらゆる組織は、システムに最新のパッチを確実に適用し、ランサムウェア攻撃に遭った場合に備えてバックアップをとり、それを確実にリストアできるかどうかのテストを行っておくべきです。Proofpointの研究によると、過去18ヶ月の間、新しいランサムウェアの亜種が2-3日毎に発見されています。2017年Q1には2016年Q1の4倍のランサムウェアの亜種が確認されました。

ランサムウェアの予防、検知と復旧

ランサムウェアに対抗するためには、多方面からのアプローチが必要です。脅威が減ったなどと考えてはいけません。闇サイトでマルウェアを購入することができるようになって以降、この分野に参入することのハードルは、かつてよりも大幅に低くなっています。それに、ランサムウェアを作成すること自体がそれほど難しいことではありません。最も大きな要因のひとつとして、コンシューマがビットコインなどのサイバー通貨を使うようになったこと、その利用が非常に簡単であることがあげられます。いくつかの大手銀行は、ユーザーがこれらの通貨を迅速に入手できるようにするでしょうし、これは法的な通貨ではないため、関連法規違反による訴追の可能性を逃れているのです。

ランサムウェアに備えるための最善の方法は、予防と検知、復旧を組み合わせることです。大部分のランサムウェアは悪意のある電子メールによって拡散するため、組織はこれらの潜在的に有害なメールの配信を止めるソリューションに投資すべきです。その次の対策としては、ランサムウェアが拡散する際に最もよく使われる方法 - ドキュメント内の悪意のあるマクロ - を遮断するためにIT環境を設定することが必要です。ほとんどの組織は、業務プロセスを止めること無く、外部のネットワークから受信したドキュメント内のマクロの起動を阻止することができます。

検知機能も重要です。エンドポイント及びネットワークセキュリティツールによって、ファイルが暗号化されたり、ランサムウェアのC&Cインフラから暗号鍵をダウンロードしたりすることを阻止できます。

最後に、ランサムウェアとの闘いにはプロアクティブな復旧戦略が驚くほど効果的です。確固たるバックアッププロセスを整備している大きな組織では、多くの場合ランサム (身代金) の支払いをしなくて済んでいます。バックアップからデータを復元すれば良いからです。(数時間分のデータは救えないかもしれませんが) このため、最近ではバックアップを先に暗号化してしまおうとするランサムウェアも出てきており、基礎となるバックアップインフラのセキュリティがしっかりしているかどうかが大事です。

ランサムウェアと闘うための詳しい情報について、5月18日木曜日の午後3時 (東部標準時) / 正午 (太平洋標準時) からウェビナー* “Ransomware – The Billion Dollar Thief” を行いますので、是非ご参加下さい。ランサムウェア・サバイバルガイドも下記リンクよりダウンロード頂けます。

https://www.proofpoint.com/jp/resources/white-papers/ransomware-survival-guide

*この英語によるウェビナーはすでに実施され、収録されています。下記リンクより、無償にてウェビナーを視聴いただけます。(登録が必要です)

https://www.brighttalk.com/webcast/13513/255855