US-CERT(米国コンピューター緊急対策チーム)がランサムウェアに対する警告を発表
2016 年 4 月 6 日 MARC LALIBERTE 著
このブログをよくご覧頂いている方は、添付ファイル付きのスパムメールを大量に送りつける Locky ランサムウェアに関する Jonas Spieckermann の記事を覚えていらっしゃるのではないでしょうか。Samas や SamSam といった名前のランサムウェアの亜種も見つかっていますが、先日は、メリーランド州で医療関連サービスを提供している団体で、ネットワークが数日間にわたって部分的にダウンするという事件が発生しました。この事件では、Web サーバーを感染させて悪意あるデータを送り込むなどといった、高度な標的型攻撃の方法が使われました。
米国の国土安全保障省(DHS)とカナダのサイバー事件対応センター(CCIRC)が先週末、ランサムウェア脅威に関する警告を共同で発表しましたが、その中で、Locky と Samas にも言及しています。発表された警告では、ランサムウェアの歴史として、ユーザーを脅迫して偽のウィルス対策ソフトウェアをダウンロードさせ、「不正行為」を働いたとして罰金の支払を要求する、初期の Scareware に始まり、ユーザーのファイルを暗号化して、身代金を支払って復号鍵を入手しないとファイルにアクセスできないと脅迫する、最近の暗号化ランサムウェアまでを紹介しています。
米国コンピューター緊急対策チーム(US-CERT)は、いかなる身代金の要求にも応じるべきではなく、支払に応じたとしても、金銭を失うだけで、ファイルを本当に復元できる保証はないとしています。私自身も、この意見に全面的に賛成です。支払に応じることは、犯罪者を助長させるだけでなく、新たなマルウェアの資金源にもなるためです。US-CERT は、支払に応じる代わりに、管理者による対策を実施するべきであると呼びかけており、感染の防止に加えて、感染した場合の緩和策も講じるよう推奨しています。
- 定期的なオフラインのバックアップの実行とテストによって、実際に感染した場合の影響を軽減し、迅速に復元プロセスを実行できるようになります。
- アプリケーションのホワイトリストを活用して、ネットワーク環境のシステムでは指定されたプログラムだけを実行できるようにすれば、悪意のあるソフトウェアが実行されないようにできます。
- すべてのオペレーティングシステムとソフトウェアに最新のセキュリティパッチを適用することで、マルウェアの攻撃ベクターを少なくしておきます。
- ダウンロードしたソフトウェアはすべて、最新のウィルス対策ソフトウェアでスキャンしてから実行します。
- 可能であれば、信頼できない提供者から受け取った文書ではマクロを無効にします。Microsoft Office 2016 の場合は、グループ ポリシーで無効にできるようになりました。
- そして最後に、フィッシングに注意して、電子メールに記載された、覚えのない Web リンクをクリックしないようにします。
ウォッチガードの Firebox をご利用いただいている場合であれば、Locky や Samas のようなランサムウェアの対策に役立ついくつもの機能が提供されています。Locky は主としてメールスパムを使って送りつけられるため、Firebox の SMTP プロキシを spamBlocker、Gateway AntiVirus、APT Blocker を使って構成することで、悪意あるメッセージや添付ファイルを社内のユーザーが受け取るのを防止できます。Samas の場合は、悪意ある Web サイトや感染させた Web サイトが使われることが多いため、HTTP と HTTPS のプロキシを Gateway AntiVirus、APT Blocker、Application Control、WebBlocker を使って正しくペアで構成して、ダウンロードしたファイルがスキャンされるようにし、悪意があるとされている Web サイトにアクセスしないようにすることで、感染の防止が可能になります。
ウォッチガードのナレッジベースの記事には、これらの Firebox でのランサムウェア対策のヒントがたくさん掲載されています。Firebox による対策方法の詳細については、前述の Jonas が推薦している「How to prevent ransomware and other malicious malware with your Firebox(ランサムウェアや悪意のあるマルウェアを Firebox で防止する方法)」(Marc Laliberte 著)をお読みになることを私もお勧めします。