【2017】ランサムウェア感染の予防まとめ
お久しぶりです。今回はランサムウェアの感染予防について書いてみたいと思います。実際に感染させて検証したわけではないのでご注意下さい。
目次
ランサムウェアって?
定義は Wikipedia を参考にしました。感染したPCの全ファイルを暗号化して身代金 (ransom) を要求してくるソフトウェアのことです。通常のスパイウェアと違って外部C&Cサーバと通信する機能は持っていないため、どこが本拠地なのか割り出せないのが特徴です。
感染経路
割りと単純ですが、シンプルイズベストなので感染例が多いのかと思います。
- 脆弱性を突かれて外からインストールされる
- 不正なWebページを 見るだけ でインストールされる
- メールの添付ファイルを開くとインストールされる
ひとつひとつ解説していきます。企業側でもなるべく低コストで実現できるような方法を考えてみました。
- 脆弱性を突かれて外からインストールされる
普通に考えればセキュリティアップデートをすればいいのですが、サービス停止を許容できない、準備やら検証やらの時間/費用を出せないという理由で放置されるパターンが多いのはないでしょうか。このような状況下の情報資産はランサムウェアに限らず、全てのマルウェアの感染対象となります。体制を見直して月1回30分枠でもサービス停止の時間を設けるべきだと考えます。
- 不正なWebページを 見るだけ でインストールされる
これは内部プロキシサーバにフィルタリング機能を乗せれば危険なサイトはブロックできると思います。またGoogleChromeやFirefoxなどのアップデートが頻繁なWebブラウザを使用し、広告ブロックの導入、Flash・Javaのアンインストールは最低限設定すべきです。Webからダウンロードしたファイルはウイルス感染していないかチェックする習慣も付けたほうがいいです。ただ、どの方法も新しいマルウェアには効果がありません。ですが、なるべく無防備な時間を短くできるように日々続けていくことしかありません。
- メールの添付ファイルを開くとインストールされる
一番感染例が多いと聞きます。ですが、自分で気を付ける他ありません。対策を挙げるとすれば、
添付ファイルを一度デスクトップにコピーしてウイルス感染していないかチェックする。
ただ、これはウイルス対策ソフトの性能に左右されるので効果が不安定です。添付ファイル付きメールを受信したら「やばいよ!」みたいな自動音声を流すくらいの仕訳ルールを設定するものいいかもしれません。差出人を特定するのは無駄なので (相手は間違いなくフェイクアドレスです) やめておいたほうがいいです。
感染した場合の対処
実は感染すると2通りしか復旧方法がないことに気が付きました。
・身代金を支払って復旧してもらう
・バックアップ(※)から復旧する
※保存先がネットワーク上であること。感染PC内にバックアップを保存している場合はバックアップもランサムウェアの餌食になり復旧不可と思われます。
バックアップからの復元を試して、上手く復元できないようであれば身代金を支払うしかありませんね。自力で暗号化を解除するのは不可能なので感染してからではもう手遅れです。そうならないために3つ感染経路からの感染を防ぐことを習慣づけることが大事だと思います。