再び脚光を浴びるランサムウェア

ここ数か月にわたり、ランサムウェアの活動の着実な増勢が確認されています。金銭搾取を目的とするハッカーたちの間で最も重宝されているマルウェアと言えば、6か月前までは金融機関を狙うトロイの木馬でしたが、今やその地位を引き継いでいるのはランサムウェアです。本記事では、ランサムウェアが突如息を吹き返した理由を簡単に探るとともに、推奨されるセキュリティ対策についてご紹介します。

ランサムウェアが再浮上に至った要因としては、脅威そのものの技術的な進化が挙げられます。かつて、マシンに感染したマルウェアは、ファイルの暗号化に使用する鍵の受け渡しを行うため、指令サーバと通信する必要がありました。しかし、今日の脅威はこのようなアウトバウンド接続を必要としません。目的のホストに到達した後は、すぐに暗号化を開始できます。標的組織のネットワーク内を移動できるため、ネットワーク上の共有ファイルに加え、USBキーやネットワーク接続ストレージなど、ネットワークに接続されているドライブはすべて暗号化されます。

この事実は、深刻に受け止める必要があります。もはや指令サーバとの通信用のチャネルを開いて鍵の受け渡しを行う必要がないわけですから、検出重視のソリューションでは十分と言えないのです。ビーコンの活用状況を監視してネットワークに潜む脅威を検出する保護機能では、この新世代のランサムウェアを見逃してしまいます。また、ネットワーク接続されているドライブや共有ファイルに感染する能力を備えているため、脅威がネットワーク全体に拡散するスピードが速すぎて追いつけないと、セキュリティ担当者が不安視するのも理解できます。現在、セキュリティ業界は、防御技術の導入は「望ましい」レベルを超えてもはや「不可欠」であるとし、方針転換を急ピッチで進めています。

大半の組織は従来型のソリューションに依存し続けており、今日の脅威からも保護されると期待しています。定義上、検出重視のソリューションの場合、セキュリティ侵害が発生してから、その侵害の証拠が発見されるまでのタイムラグが存在します。つまり脅威が検出された時点で、すでにファイルが暗号化されている可能性があるのです。この場合、前述の組織は、バックアップを取った時点の状態に戻す(バックアップ態勢がある場合)、感染マシンにおいてイメージの再作成を行う、あるいは大人しく身代金を払う、という選択を求められます。最近では、米国カリフォルニア州ハリウッドの病院が同様の攻撃を受け、同病院の最高経営責任者は「最善策」であるとして身代金の支払いに応じました。もちろん、より適切な対応が求められたのは言うまでもありません。

Ponemon Instituteが2015年に実施した調査からは、セキュリティ侵害の検出に至る時間が容認できないほど長いという実態が浮き彫りになりました。調査結果によると、侵害の検出には平均して206日、復旧にはさらに69日を要しています。脅威がネットワークに滞在する時間が長くなるほど、復旧までの時間やコストも膨れ上がります。これは特に、時間的制約が厳しいランサムウェアの場合に当てはまります。

ここ数年、ファイルに脅威が含まれているかどうかの評価と不正な活動の特定に役立つツールとして利用されているのがサンドボックス技術です。大多数のケースでは効果的に機能しますが、処理に時間がかかります。データをダウンロードする際、サンドボックスが原因でそのデータへのアクセスが遅れることを望まないユーザのために組織は通常、エミュレーションをバックグラウンドで実行し、その一方でユーザがダウンロードしたコンテンツに即座にアクセスできるようにしています。そのため、ランサムウェアにしてみれば、エンドポイント上で検出される以前の侵害の実行が期待できます。検出された時点ですでに、社内の機密ファイルが暗号化されているかもしれません。

このような課題をクリアするために、革新的なソリューションが求められているのです。多くの脅威は、一般的なアプリケーションに潜む脆弱性を悪用する文書ファイルを経由して拡散します。この脆弱性を突く攻撃は、文書自体に埋め込まれたスクリプトやリンクなどのアクティブ・コンテンツを介して行われます。チェック・ポイントは、元の文書ファイルからこのようなアクティブ・コンテンツを抽出し、残りのテキストや画像などの安全なコンテンツだけで文書を再構成する予防的なソリューションを提供しています。ユーザには無害化された文書ファイルが転送されることになります。もしユーザが元の文書ファイルにアクセスする必要が発生したとしても、脅威エミュレーションを実施して安全であると判断された場合にのみ許可します。文書ファイルを無害化し、潜在的に不正なコンテンツを削除するこの機能は「Threat Extraction」と呼ばれ、処理は数秒で完了します。Forresterは最近、マルウェアの自動分析に焦点を当てた評価レポート「Forrester Wave」を公開し、その中で「今回の評価対象で最も優れていた機能はThreat Extractionと言えるだろう」と述べています。

大部分の組織は、業界のベンチマークに照らして自社のセキュリティ慣行をチェックしています。現行のソリューションを評価する際は、前述した特にリスクが高い脅威を適用するべきです。これまでは問題がなかったとしても、今日の脅威に対しても有効かどうかはだれもわからないのです。自社ネットワークの安全性確保のために万全の措置が講じられているか定期的に確認し、改善の余地があれば対処しましょう。このような取り組みが前提の上で判断すれば、攻撃者の要求に屈することが「最善策」ではなくなるはずです。