 |
図1 AOSデータ代表取締役 春山洋氏 |
AOSデータとラネクシーは、共催でランサムウェア対策セミナーを開催した。この数年で、ランサムウェア被害が拡大している。新種や亜種が多く、従来のパターンファイルでの防御が難しい。そして、最大の特徴が、重要なファイルやデータが暗号化されてしまうことだ。一例では、社内の共有フォルダのデータが暗号化されてしまい、業務に支障をきたしてしまうこともあった。
その結果、高額な身代金を支払ってしまうことも報告されている。これが悪循環となり、さらに被害が拡大している。では、どのように防ぐか。それが、今回のセミナーのテーマである。最初に登壇したのは、AOSデータ代表取締役の春山洋氏である。開会のあいさつを行い、今回のセミナーの概要を説明した。
AOSBOX Businessでクラウドバックアップ
 |
AOSデータパートナー第2営業部 小林敬子氏 |
次いで、登壇したのはAOSデータ パートナー第2営業部の小林敬子氏である。AOSデータのAOSBOX Business(以下、AOSBOXと略記)は、法人向けのクラウドバックアップシステムである。一般的なクラウド上の通常ストレージ以外に、復元には時間がかかるが安価なコールドストレージ、さらにローカルストレージを使ったデュアルバックアップなどを実装する。これらの組合せにより、柔軟で安全・確実なバックアップ体制を構築できる。
クラウドバックアップでは、BCP/防災対策が注目される。震災や大火といった災害でも、クラウド上にバックアップすることでデータを守ることができる。最近では、他拠点バックアップなども注目されている。
それが、なぜランサムウェア対策に有効なのか。その理由はAOSBOXの世代管理機能にある。ランサムウェアの暗号化では、以下のように暗号化される。
| ●元のファイルを暗号化し、「.locky」などの拡張子を付加。元のファイルは削除 |
|---|
 |
AOSBOX Business公式Webサイト |
一般的な同期バックアップでは、最新のファイルのみがバックアップされ、さらに存在しないファイルはクラウド上からも削除される。つまり、暗号化が行われると、クラウド上のバックアップからも元のファイルが削除されてしまう。
AOSBOXでは、無制限の世代管理(デフォルトで10世代)が行われるので、暗号化されるまえの元ファイルもクラウド上に保存される。ここがポイントである。ランサムウェアによって暗号化されても、されるまえのファイルが存在すれば、身代金を払う必要はない。これが、防御策となるのである。AOSBOXは通常ストレージで、100GB(10ユーザー、1年間)を20,000円から提供している。小規模の会社などでも導入しやすいプランが用意されている。詳細は、AOSデータのWebページを参照してほしい。
 |
図3 AOSBOX Businessのデモ |
ラネクシーのMylogStarで、ランサムウェアの暗号化を検知
次に登壇したのは、ラネクシー営業本部ソフトウェアビジネス2部の尾崎裕二氏である。
 |
図4 ラネクシー営業本部ソフトウェアビジネス2部の尾崎裕二氏 |
MylogStarは、ラネクシーが独自開発する操作ログ管理ソフトである。OSのカーネルレベルでログを採取し、ユーザーの操作のほぼすべてをログに保存する。そして、そのログを管理画面でわかりやすく管理できる。
 |
図5 MylogStarの管理画面 |
ランサムウェアの検知であるが、MylogStarの検索機能を使う。
 |
図6 MylogStarの検索機能 |
画面中ほどに「操作内容の指定」と「拡張子の指定」がある。この2つを使い、アラートの設定を以下のように行う。
|
●新規作成+拡張子 ●名前変更+拡張子 |
|---|
 |
MylogStar公式Webサイト |
ランサムウェアの暗号化で使われる拡張子(.crypz、.cryp1、.vvv、.locky、.zcryptなど)とファイル操作を組合せて設定する。こうすることで、ランサムウェアが、ファイルの暗号化を行うとアラートを発し、管理者にメールを送信、ユーザーにはアラート表示を行う。こうして、いち早くランサムウェアの被害を検知するのである。ただし、この方法では既知の拡張子にしか対応しない。新しい拡張子やランダムに作成されるようなケースでは、検知できない。そこで、拡張子が変更されたことを検索することでアラートの設定を行うといったことも可能である。
注意すべきは、あくまでもランサムウェアの検知を行うものである点である。MylogStarには、暗号化されたファイルを復元するといった機能はない。そこは、上述のAOSBOXや以下で紹介するファイナルランサムディフェンダーとの組合せが必要になるだろう。
1台のPCで動作するデスクトップ版から、30,000台のPCを管理するネットワーク版まで、幅広く対応する。また、標的型攻撃対策の設定マニュアルも用意している。
ランサムウェア対策ソリューション:ファイナルランサムディフェンダー
最後に登壇したのは、AOSデータ取締役CTOの志田大輔氏である。
 |
図7 AOSデータ取締役CTOの志田大輔氏 |
まず、ランサムウェアに被害にあってしまった場合、どのような解決策があるかについて紹介した。
身代金や復元ツールもあるが、いずれも決定的な解決策とならない。そして、問題視しているのが、データ復旧サービスである。最近、広告をよく目にするが、高額な料金でしかも復旧できないことも少なくないとのことだ。
 |
図8 被害にあった場合の対処法と問題点 |
フォレンジックやデータ復旧を行うAOSデータでも、特殊な事例以外は復旧はほとんどできないとのことだ(逆にいえば、最新の暗号方式が簡単に破られてしまうことが問題だろう)。志田氏は、現時点でランサムウェアから十分に守る完璧な対策はないと断言する。そこで、ランサムウェア専用の対策ソフトが必要との結論に至った。既存のセキュリティ対策ソフトと併用することで、ランサムウェアから守るソリューションである。以下、その概要を見ていこう。まず、3つの機能から構成される。
 |
図10 ファイナルランサムディフェンダー |
まず、4つのマルチ防御によって、リアルタイムにランサムウェアを検出・遮断する。2つめは自動バックアップである。暗号化などの動作を検知した時点で、バックアップを行う。3つめは、実際に暗号化が行われてしまった場合、速やかにファイルの復元を行う。4つのマルチ防御であるが、以下の4つから構成される。
 |
図11 マルチ防御システム |
|
●マルウェア検査(スキャンエンジンにBitDefenderを採用) ●おとりファイル検出 ●ふるまい検知 ●フォルダ保護 |
|---|
 |
図12 おとりファイル検出 |
おとりのファイルを配置し、そのファイルが暗号化されるかをチェックする。その処理を行ったプログラムをランサムウェアとみなし、遮断する。フォルダ保護は、図13の通りである。
 |
図13 フォルダ保護 |
自動バックアップの手順は、図14の通りである。
 |
図14 自動バックアップ |
ランサムウェアの暗号化は、すべてのファイルを同時に行うのではない。時間をかけ、徐々に暗号化していく。その動きを検知してバックアップを行う。一見すると、ゆっくりとした動きに見えるが、実際にはごく短時間で行われる。
ファイナルランサムディフェンダーは、4月5日よりダウンロード版が販売開始で、1ライセンス/3年版が2,980円(税抜)である。従来のセキュリティ対策ソフトと併用することを前提としているが、価格的にもそれを意識したものとなっている。システム要求などは、特に厳しいものはない。詳細は、AOSデータのWebページ(http://www.aosdata.co.jp/finalransomdefender/)を参照してほしい。
 |
図15 ファイナルランサムディフェンダーのメイン画面 |
非常にシンプルな画面である。ここでリアルタイム保護が有効になっていればよい。当日は、デモも行われた。
 |
図16 ファイナルランサムディフェンダーのデモ、おとりファイルへの変更を検知 |
ファイナルランサムディフェンダーはこれまでにない防御を行う。しかし、完璧ではないだろう。やはり、複数のツールを組合せることで、ランサムウェアから守ることが必要となる。さらに、今回紹介したソリューションの多くは、小規模な会社・組織にも対応しており、導入も進めやすいだろう。そのあたりにも注目したい。
