データバックアップやHDDの復旧作業を手掛けるAOSデータは、プレス向けに、最新の技術動向や状況分析などを発表するプレスツアーを開催している。本稿では、ランサムウェアの挙動の実際を紹介しよう。

国内企業にも影響をもたらした「WannaCry」

2017年5月12日よりランサムウェアのWannaCryを悪用した大規模なサイバー攻撃が発生した。世界的に大きな被害となった。日立製作所では5月13日に対策チームを立ち上げ、状況の把握や対策準備をしていたが、週明けの15日以降社内システムに具合が生じ、メールの送受信に影響が発生、対策を行っている。プレスリリースによれば、その後迅速な対応を図り、情報漏洩などを含む被害が無かったことも公表している。

ほかにも国内では、JR東日本、ホンダなどの企業が感染したことも報じられているが、規模の大きい企業では端末数も多く当然、感染リスクは高まる。6月22日、警視庁@policeの定点観測(PDF)では、445/TCPポート宛てのアクセスが増加し続けており、亜種などの感染活動が続いており、引き続き警戒を怠ることができない。

また、6月10日には、韓国のホスティングサービス企業のNAYANAが、Erebus系のランサムウェアに感染したがこちらは大きな被害が出ている。153台のLinuxサーバーに感染し、データベースや画像データが暗号化された。同社では、最終的に13億ウォン(約1億5千万円)を支払い、約90%のデータを復旧させた。同社では当初、その資金がなく、他社からの出資を得ることで身代金を捻出。データは救うことができたが、同社に大きなダメージを与えていることも報じられている。身代金という実質的な被害が大規模に起きてしまったケースだと言える。

ランサムウェアの実態をデモ

ランサムウェアは、重要なデータを暗号化することでその制御を奪い身代金を要求するマルウェアの一種だが、データのバックアップを着実に行うことも対策の大きな柱となる。AOSデータでは、ランサムウェア対策ソリューションとして、ランサムディフェンダーを2017年4月より提供している。その仕組みなどについては、こちらの記事を参照してほしい。ランサムディフェンダーでは、以下の4つのステップで保護する。

Step 1:マルウェアデータベース検査
Step 2:おとりファイル診断
Step 3:ふるまい検知
Step 4:フォルダ保護

この他にも、自動バックアップ機能があり、ランサムウェアの挙動を検知すると、自動的に元のファイルをバックアップする。今回のデモでは、ランサムウェアの挙動を見るために、マルウェアデータベース検査とフォルダ保護を無効にして行った(販売版には、この機能はない)。

図1 ランサムウェアを起動

右下のウィンドウのハイライトされたファイルが、ランサムウェアである。起動すると、ランサムウェアを検知し、ブロックされる。

図2 ランサムウェアをブロック

多くの場合、暗号化されることなく、この段階で被害を止めることができる。しかし、未知や新種の場合、このステップすらすり抜ける可能性もある。そのデモが以下である。

図3 ランサムウェア起動前

ランサムウェアが起動すると、アイコンが白紙に変わっていく。

図4 暗号化がスタート

すると、壁紙も変化し、脅迫文が現れ始める。

図5 デスクトップの脅迫文

最終的には、図6のような脅迫文が表示される。

図6 脅迫文が表示

タイマーもある。日本語も、それほど変ではない。この状態になると、データの復旧はかなり困難である。ランサムディフェンダーは、図6の暗号化が始まると自動バックアップが行われる。改ざんされたファイルを表示し、復元を[開始]すると、バックアップから復元を行う。

図7 復元中

アイコンが、元の状態に戻っていく。ランサムディフェンダーは多重な対策により、ランサムウェアによって被害を受けても復旧することができる。一般的なセキュリティ対策ソフトとの併用も可能である。

日々業務で利用するPCには、当然に仕事で必要なデータがストックしてある。経験が無いとバックアップの重要性はわからないかもしれないが、故障などでも起動不能になるとちょっとしたデータの欠如で仕事が大きく遅延してしまうケースや場合によっては継続不能、いちからやり直さなければならないケースも出てくる。データが重宝される時代、ランサムウェアに限らずバックアップの重要性は常日頃から心がけたいものだ。