カスペルスキー 代表取締役社長 川合林太郎氏

アクロニス・ジャパンが5月27日に開催した「ランサムウェア その脅威と対策 ~万全のセキュリティ対策と有効なバックアップ&データ保護~」では、カスペルスキー 代表取締役社長である川合林太郎氏が「ランサムウェアにみる脅威の変遷と対策」と題した講演を行った。

エンドポイントセキュリティを提供する企業として、昨年末から急増していると言われるランサムウェアについて、カスペルスキーが把握しているものは全体で1万5000種に及ぶという。2016年第1四半期だけでも9ファミリー、2900種が増えており、これは前四半期から14%増にあたる。被害総数は37万人を超えており、前四半期と比較して30%増、企業への攻撃はそのうち17%となっている。

2016 1Qで9ファミリーのランサムウェアが登場

企業対象を含めて攻撃数は急増中

マルウェアの活動期間は、一気に広がった後で対策が行われて一旦落ち着くものの、対策が追い付いていない端末に再拡大されるが、約1週間程度で収束してしまうという。全体の攻撃件数に国ごとのばらつきはほとんどないようだが、2月から3月にかけて流行したマルウェアに関しては特に日本が多く攻撃されている傾向があったという。

「この数字はカスペルスキーをインストールしているマシンが攻撃された件数であり、感染の件数ではない。残念ながら日本ではカスペルスキーのシェアが低い中、非常に日本が多く攻撃されている傾向が出ている」と日本が現在ターゲットにされている状況であることを川合氏は強調した。

ランサムウェアの動きは1つあたり1週間程度でおさまる

2016年2-3月は特に日本を攻撃するマルウェアが多く登場した

効率が良すぎるだけに2016年最大のトピックスになる可能性もあり

「ざっくりといって、被害者のうち40%くらいが身代金を払っている。1件あたりの単価が300ドルくらいと言われていることを考えると、前述の件数から計算して5600万ドルの被害を防いでいることになる」とカスペルスキー導入の威力を語るとともに、ランサムウェアによる攻撃がいかに効率的なビジネスであるのかも紹介された。

ビットコインを利用して回収された身代金は、追跡できた分だけで3億USドルにのぼるという。法人相手の場合は大幅に金額が跳ね上がり、現在のところ最大で3億4000万ドルという巨額が請求された例があるという。これはハリウッドの病院の事例だ。

「最初は払わないと粘ってアナログな対応をしていたが、1週間ほど頑張ったようだが、人命に関わるということで結局支払った。ただし、実際に支払ったのは1700ドルだということで、ディスカウントも利くようだ」と川合氏は笑いを誘いつつも、企業にとって深刻な被害が出るものであることを語った。

ランサムウェアの攻撃はサイトへのリダイレクトやメールへの添付ファイル等を利用してダウンローダーを配布し、攻撃キットを送り込み、データを暗号化するというものだが、これを実現するツールはアンダーグラウンドなサイトで手軽に取引されている。講演の中では実際のサイトを見せながら、攻撃成功によって得られた報酬をマルウェアの購入者と配布者でどう分配するのかという割合がアフィリエイトのように明文化されている様子や、販売したマルウェアがセキュリティソフトに検知された場合には無料でアップデートを行うなどアフターケアもうたっていることを紹介。非常に手軽かつ確実に収益の出る攻撃になってしまっていることが語られた。

「ランサムウェアは専門知識がまったくいらず、手間もかからない。ターゲットに侵入する必要も何かを盗む必要もない。換金もいらない。ただばらまけばビットコインが入ってくる。これほど簡単なものはない。サイバー犯罪もビジネスであるため、より少ない投資で多くを得るという方向へシフトしている。収束の気配はなく、2016年最大のトピックスはランサムウェアになるだろう」と川合氏は語った。

手軽で効率がよいためにランサムウェアは急拡大している

ランサムウェアにもエンドポイントセキュリティは有効!

非常に数が多く、1件ごとの活動期間が短いことから、従来のエンドポイントセキュリティではランサムウェアに対抗できないのではないかという説がある。そうしたことが語られる時、槍玉にあげられるのはパターンマッチング式のアンチウイルスだが、川合氏はこれは誤解だという。

そもそも、事前に用意したデータベースと照らし合わせてウイルスかどうかを判別するパターンマッチング式の動きだけをとっているエンドポイントセキュリティ製品など、現代には存在しない。挙動や振る舞いを監視して対応するという技術も、今ではどの製品にも搭載されているものだ。

「パターンマッチングだけの製品など20年前のもの。挙動監視が新しかったのも15年前の話。そして100%の対応力がないからといって予防をしないというのはおかしい。現代はDBマッチングに、挙動やマルウェアの一部が合致するかどうかを判別するヒューリスティック、ファミリー単位で捉えることのできるジェネリック、世の中のどのくらいのマシン上でどの程度使われているのかから判別するレピテーションといった機能が全てエンドポイントセキュリティに含まれている。それ以外にも多くの手法が盛り込まれている」と、川合氏はランサムウェアをはじめとする新種の攻撃にもエンドポイントセキュリティは有用であり、導入すべきであることを強調した。

現代のエンドポイントセキュリティは多くの機能を含んでいる

ランサムウェアに対応する具体的な手法としては、暗号化しようとする動きを検知して暗号化されようとしているファイルのバックアップをとり、不正な書き換えであることがわかると正しいデータに復元するという「システムウォッチャー」が挙げられた。またアプリケーションの起動時に不正なものでないかどうかを検知し、不正なアプリケーションの起動を防止するという機能もある。

この他にサーバ向けの機能として、共有サーバ上のファイルの暗号化を止める「アンチクリプター」や、SMB/CIFSプロトコルからIPアドレスを特定する「UT Host Blocker」といったものを用意しているという。

ランサムウェアに対応する多層防御機能

サーバ向けにもランサムウェア対応機能を用意

「バックアップなしでランサムウェアにやられたら、もう戻せない。昨今のツールは精度が高く、やられてしまったらなすすべが無い。油断大敵である。最低限の対策としてエンドポイント対策、バックアップ、パッチの適用。守りたい情報があるのも、マルウェアが動くのもエンドポイントなのだから、免疫力を高めるという意識でエンドポイントセキュリティは必要。セキュリティはいたちごっこでどこまでやればよいかわからないと言われるが、まずどこまでというレベルで取り組んでいないはず。最低限のことはしっかりやって欲しい。これは事業継続性を維持するための投資。そして、どれだけ備えても何かがおこることはある。インシデント対応のフローと予行演習を事前に確立しておくべきだろう」と川合氏。ランサムウェアに対しても従来型のセキュリティの意識の延長で、しっかりと対応することが重要なのだということが語られた。