日本IBMは12月22日、11月より確認しているランサムウェアへの感染を狙った攻撃が、12月に入ってからも行われていると同社のセキュリティブログで解説した。

Tokyo SOCが2015年12月中に検知した、不正なメール経由でのランサムウェア「TeslaCrypt」の転送件数の推移(Tokyo SOC 調べ:2015年12月1日~12月18日)

ドライブ・バイ・ダウンロード攻撃による攻撃サーバーへの誘導件数と、ランサムウェア「CryptoWall」が転送された件数(Tokyo SOC調べ:2015年12月14日~12月18日)

ランサムウェアの動向は、IBMの東京セキュリティー・オペレーション・センター(東京SOC)が確認したもの。

攻撃経路の主流は、Web経由でのドライブ・バイ・ダウンロード攻撃と不正なファイルが添付されたメールを使ったものの2つ。メールによる攻撃は、添付された不正なJavaScriptを実行するもので、Wordファイル内に組み込まれた不正なマクロを実行すると、外部からマルウェアがダウンロードされる。

一方のドライブ・バイ・ダウンロード攻撃は、Angler Exploit Kitを利用してAdobe Flash Playerの脆弱性を悪用するものであった。12月を週ごとに区切ると、12月7日の週は攻撃の発生件数が数件程度だったが、12月14日週は発生件数が増加している。

攻撃サーバーへの誘導手法は、Webサイトが改ざんされ、ユーザーがページを閲覧すると不正なスクリプトが読み込まれ、バックグラウンドで攻撃サーバーに誘導されるものであった。改ざんに用いられた攻撃手法や脆弱性はわかっていないが、改ざんされたWebサイトはいずれもWordPressを使用しているサイトであった。そのため、Tokyo SOCではWordPress本体やプラグインの脆弱性を悪用して改ざんが行われている可能性が高いと推測している。

ランサムウェア攻撃を防ぐためには以下の対策を推奨している。

  • バックアップの定期的な取得

  • アンチウィルスソフトの導入と、最新の定義ファイルへの更新

  • 心当たりのない不審なメールのリンクをクリックしない、添付ファイルを開かない

  • ブラウザのプラグイン無効化や、Click-to-Play機能の有効化

  • OSやブラウザ、Microsoft Office、Adobe Flash Player、Adobe Reader、Java Runtime Environmentなどの修正プログラム(パッチ)適用

Adobe Flash Playerの脆弱性への攻撃は今後も続くと予想されることから、Flashコンテンツの表示が必要でない環境ではAdobe Flash Playerのプラグイン無効化にするよう呼びかけている。一方でFlashコンテンツを表示させる必要のある環境では、リスクの緩和策としてFlashコンテンツの再生にユーザーのクリックが必要となるClick-to-Play機能を利用するように推奨している。

万が一ランサムウェアへ感染した場合は、組織内のファイルサーバーが暗号化され、事業継続に影響を与える恐れがある。そのため、クライアントPC内のファイルのバックアップ先を常時接続されたファイルサーバーにしないなど、マルウェア感染を想定した対策が必要だという。

また、感染時にネットワークドライブや外付けストレージのファイルまで暗号化されることを防ぐためには、該当のクライアントPCをネットワークから切り離したり、外付けストレージを取り外しておくことが有効だという。