どうも、sakuです。
2017年5月12日未明、
世界中で"WannaCrypt" と呼ばれる
ランサムウェアに感染した被害騒動が
世界中で報道されました。
以前から、ランサムウェアの脅威について
訴えてきたつもりですが
ここまで世界的に脆弱性を
突かれるとは思いもよりませんでした。
大企業を始めとする、数々の企業では
社内で怪しいメールを開かないよう注意喚起し、
人的被害を防ぐよう努めていることでしょう。
しかし、情報セキュリティ関係に疎いと
なかなか理解し難いワードがズラリと並びます。
このマルウェアとランサムウェアについて
改めて理解を促すとともに、
今回のサイバー攻撃に対する
注意すべきポイント・対策について
記述したいと思います。
日本でさらに被害拡大しないよう
一人でも多く方の参考になればと思います。
- マルウェアとは?
- マルウェアはどのように感染のするのか?
- 感染したのかどうか疑うべきポイント
- ランサムウェアとは?
- ランサムウエアの侵入経路と挙動
- ランサムウェアの被害に合わないための注意すべきポイント
- 暗号化ファイルを復号する方法
- まとめ
マルウェアとは?
(引用:SiteLock)
マルウェアとは、
不正かつ有害な動作を行う意図で作成された悪意のある
ソフトウェアや悪質なプログラムの総称を指します。
このマルウェアの中には、
ウィルスやワーム、トロイの木馬と呼ばれるモノが
一括して含まれています。
以下、マルウェアの代表例を挙げておきます。
ウイルス
(引用:SiteLock)
既存のプログラムに入り込み、
一部のプログラムを書き換えて
改ざんする悪意のあるプログラム。
単体では生存できないため、プログラムを書き換えては
自分と同じプログラムを増殖していきます。
他のプログラムへ感染する機能や
自己増殖する機能があるため
まるで、人から人へ感染するイメージと似ていることから
ウィルスという言葉が用いられております。
ワーム
(引用:SiteLock)
ウィルスと似てい非なる不正プログラム。
有害な作用を及ぼすプログラムであることはもちろん
感染機能、自己拡散機能を持つとった点では同じですが
こいつの厄介な点は、
ワーム単体で生存できるため、
一つ侵入されると次々と既存のプログラムが
不正アクセスされてしまいます。
トロイの木馬
(引用:SiteLock)
簡単にいうと、
自分のPCが乗っ取られるイメージです。
例えば、画像やアプリに化けて内部に侵入し
ユーザの意図しない動作を外部から命令し
秘密裏に自在に操作するといったことができる
悪意のあるプログラム。
自己増殖機能は持たないため、
ウィルスとワームとは少し異なります。
スパイウェア
(引用:SiteLock)
ユーザがインストールしたソフトに
知らぬ間に侵入している
プログラムのことを指します。
スパイウェアは情報収集を目的とし、
ユーザの目に付きにくい所に
存在している点が特徴的です。
感染したPCは端末情報を
外部に勝手に送信されたりと
ユーザに不利益を与える
悪意のあるプログラムです。
キーロガー
(引用:SiteLock)
キーロガーに侵入されると
ユーザが入力したキーボード操作を
そのまま外部に送信してしまう
プログラムのことを指します。
スパイウェアの一種です。
ユーザが感染したとも知らずに
IDやパスワード、氏名、住所を入力してしまった場合
悪用される可能性がある悪質なプログラムです。
ボット
(引用:SiteLock)
由来は「ロボット」からきており
攻撃者からの「指令」により動作を始め、
PC端末への攻撃や、
サーバからのファイルの盗み出しなどと
有害な動作を行うプログラムです。
命令次第でどんな操作も可能だと言われております。
(ゾンビパソコンと呼ばれることもあります。)
マルウェアはどのように感染のするのか?
(引用:Active)
代表的なマルウェアの侵入パターン
メールを介して侵入
従来からある感染経路の代表例。
メールに添付されてるファイルやURLを開いた際に
ウィルスなどに感染してしまうこと。
ネットワークからの侵入
セキュリティ対策が行われていないPC端末
(例えば、ウィルスソフトをインストールしていないPC)
がネットワークに接続するだけで
マルウエアに感染するパターン。
不正なサイトからの侵入
悪意のあるプログラムを仕込ませた
サイト(URL)にアクセスさせることによって
マルウェアが自動でダウンロードされること。
脆弱性を介して侵入
PC端末の更新プログラムを最新に保っておらず
脆弱性がある状態で色々なサイトへ
アクセスしてしまうと侵入される。
(例;Windowsアップデートを最新にしていないなど。)
感染したのかどうか疑うべきポイント
(引用:Active)
- PC・スマホが起動できなくなった
- 端末起動に時間がかかるようになった
- また、いつもより動作が遅くなったり途中で動かなくなった
- 画面上に見知らぬメッセージが出てきた
- あったはずのデータが突然消えた
などです。
動作が遅くなる原因として
悪意のあるプログラムが
裏で動作している可能性が高く
ネットワークトラフィックが
異常に高くなる傾向があります。
タスクマネージャーを開くなどをして
確認してください。
ランサムウェアとは?
(引用:Microsoft)
上記同様、
マルウェアの一種と存在している
悪意のあるプログラム。
別名、『身代金要求型不正プログラム』
っと呼ばれています。
開いたウィルスメールに感染した
PCやスマートフォンをロック(暗号化)し、
使用不能にします。
その後、元の状態を戻す(復号する)ことと引き換えに
「身代金」を要求する不正プログラムの総称
として用いられております。
【サイバー犯罪対策課】ランサムウェア感染に注意。ランサムウェアとは、攻撃者がパソコンデータを暗号化し、データを元に戻すことの見返りに金銭等を要求してくるものです。感染を防ぐには、パソコンのOSを最新のものにするほか、不審なメールを安易に開封しないなどの対策が必要です。
— 警視庁犯罪抑止対策本部 (@MPD_yokushi) 2017年5月15日
今回のサイバー攻撃で用いられた
"WannaCrypt"というランサムウェアは
マルウェア (WannaCrypt, WannaCry, WannaCryptor, Wcry 等とも呼ばれる) の亜種であると考えられております。
"WannaCrypt"は、
ネットワーク内での感染を拡大させるために
更新プログラム“MS17-010”で修正される
脆弱性を悪用することを確認されております。
この脆弱性がランサムウェアの感染に悪用され、
国内を含め世界各国で被害が確認されております。
ランサムウエアの侵入経路と挙動
侵入経路
ランサムウェアの侵入パターンとして
迷惑メールなどに潜んでいる
「添付されたファイルまたはURLを開封」することで
感染することを指します。
手口①:Webサイト閲覧による感染
(引用:NTT東日本)
手口②:メール添付による感染
(引用:NTT東日本)
メール添付についての初動は
標的型攻撃メールと同じパターンです。
1.攻撃者が標的型攻撃メールの中に
ウィルスを仕込み利用者のPCへ送信。
2.利用者がメール本文中にある
添付ファイルやURLを知らずに開いてしまう
↑ここでランサムウェアに感染。
3.ランサムウェアに感染したPCは
操作ができないよう暗号化され、
身代金要求画面が表示される。
といった流れです。
ランサムウェア感染後、感染したPCは
その暗号化を復号することと引き換えに
必ず『金銭要求』をしてきます。
(絶対金銭要求を飲んではいけません!)
今回の一件もそうですが
入院患者のカルテなどこの手法で暗号化し
金銭してきた事例などございます。
ランサムウェアの被害に合わないための注意すべきポイント
未然防止対策
(引用:Active)
身に覚えのないメールやWebサイトは絶対に開かない
ランサムウェアは、
迷惑メール、添付ファイル、Webサイトなどを経由して
感染するパターンがとても多いです。
そのため、
知らないメールの本文中に付いてる
URLや添付ファイルといったモノを
絶対に開いてはいけません。
OSの“修正プログラム”は最新のものを
定期的に行われる、Windows Update
(PCシャットダウン時に表示される「!マーク」)
を速やかに行いましょう。
古いままだと、
ランサムウェアが侵入してくる可能性があります。
脆弱性をつかれないためにも
修正プログラムの適用は必須です!
今回の一件でも促されおりますので
サイトを添付しておきます。
Windows 10 の Windows Update については以下のサイトを参照してください。
- Windows 10、Microsoft Edge、初めての月例セキュリティ リリース ‐ 読み解き
https://blogs.technet.microsoft.com/jpsecurity/2015/08/11/windows-10microsoft-edge-3529/別ウィンドウで開く
Windows 10 以外の Windows Update の利用方法については以下のサイトを参照してください。
- Windows 10 以外の Windows Update 利用の手順
https://www.microsoft.com/ja-jp/safety/pc-security/j_musteps.aspx別ウィンドウで開く
Windows 7 / 8.1に対する月例パッチの利用方法については以下のサイトを参照してください。
- Windows 7 および Windows 8.1 のサービス モデル変更についての追加情報
Windows XP / 8および Windows Server 2003 に対するパッチの利用方法については以下のサイトを参照してください。
- ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス
https://blogs.technet.microsoft.com/jpsecurity/2017/05/14/ransomware-wannacrypt-customer-guidance/別ウィンドウで開く
※Windows XP / 8および Windows Server 2003は既にサポートが終了しています。今回は影響を考慮し例外的にパッチが公開されました。
このパッチの公開は非常に例外的な対応のため、Windows XP / 8および Windows Server 2003を使用している方は早急にサポート中の製品に移行してください。
セキュリティソフトは最新のものを
ランサムウェアみたいなウィルスは、
どんなにウィルスソフトで対策しようが
100%防ぐことはできません。
なぜなら、次々と新種のランサムウェアが
出現するからです。
一つでも多くのウィルスの侵入を防ぐためにも
セキュリティソフトは最新にしておくべきです。
初動対策(※感染した場合の対処法)
(引用:Active)
「身代金」は絶対に払ってはいけない
たとえランサムウェアに感染したとしても、
身代金を渡してはいけません!
なぜなら、
データが戻ってくる保証はどこにもないからです!
逆にドツボにはまる可能性もあるので、
しっかりサポートセンターに連絡して
正しい対処法を行うことが大切です。
(引用:IDC)
データのバックアップをしておく
万が一感染しても、
バックアップを取っておけば
大事を免れることができます。
端末以外のストレージ
(クラウドや外付けハードディスク)に
普段から保存することをおススメします。
相談窓口に電話
IPAとJPCERTが公開相談窓口を開設しています。
適切な対処法を伺いましょう。
IPA 情報セキュリティ安心相談窓口
電話:03-5978-7509
(受付時間は平日10時~12時および13時30分~17時)
Email:anshin@ipa.go.jp
JPCERT コーディネーションセンター
インシデント対応依頼
電話:03-3518-4600
Email:info@jpcert.or.jp
暗号化ファイルを復号する方法
マイクロトレンドから
暗号化されてしまったファイルを
無料で復号してくれるツールがあります。
万が一、ランサムウェアに感染したときは
一度こちらを参考にしてみてもいいかもしれません。
ランサムウェア ファイル復号ツール | サポート Q&A:トレンドマイクロ
まとめ
再度お伝えしますが
こちらの記事↓に
被害件数が年々増加傾向にあることを
数字で記載しております。
これからわかるように
今やランサムウェアは
驚異的に猛威を振るっている
悪質なマルウェアの代表格です。
今回の件で初めて知った方も
多いかもしれません。
しかし、
今後も手を緩めてはいけません。
いつ何時遭遇するかわかりません!
会社のため、自分のために
これを読まれた方は周りの人に
周知願いたいぐらいです。
悪質な罠に絶対に
引っかかってはいけませんよ!
それでは、みなさん
今後も怪しいメールには
十分注意して日々を
お過ごしくださいm(__)m
◯関連記事
↓Amazon詐欺についても紹介しております↓
この記事を読んで参考になった方は
『読者登録』お願いします。