Cerberring

近年、ランサムウェアの攻撃が急増し、セキュリティ・ブログや技術系Webサイト、あるいはニュースなどのいたるところで報告されています。残念なことに、これらの攻撃の勢いが鈍化する気配はなく、むしろ状況はますます悪化の一途を辿っています。

最初に有名になったランサムウェア「Cryptolocker」は、2013年にユーザ環境でその存在が確認されました。それから2015年半ばまでに、活動が確認されたランサムウェアの亜種はわずかしかなく、これらの感染方法は限られていました。これらの亜種の一部は、身代金を支払わなくてもファイルを解読できるほどに粗末なものでした。

それ以降も、相当な数の亜種が作成されたものの、その多くは効果的に感染することも目立った活動をすることもないものでした。その好例がTeslaCryptです。この悪名高いランサムウェアの作者はマスター・キーをリリースし、誰でも使えるようにしました。その他の事例には、新種のランサムウェアとして、広く配布されニュースにも頻繁に取り上げられるものの、早々に暗号化実行時のバグが発見されるものもあります。最近、解読用ツールが公開されたランサムウェア「Jigsaw」などはこの一例です。これらの欠陥は新しいバージョンで修正されることもあれば、そのランサムウェア自体が放棄されることもあります。

ランサムウェアの中でも、常に複数のキャンペーンを活発に実施している主要グループと、新しく現れては消える一過性の亜種との間には、かなり大きな違いがあるようです。当社レポート「ランサムウェア:押さえておくべきポイント」では、進化し続けるランサムウェアの概要を、きわめて広く拡散しているランサムウェア・ファミリー間の違いに特に着目して紹介しています。また、小規模ながらも他に類のないランサムウェアもいくつか紹介しています。また、保護と被害の軽減に関する方法もいくつかご提案しています。

ランサムウェアの時系列図

[クリックすると別ウィンドウで画像が表示されます]

被害を防ぐには

次のような手段を講じることで、ランサムウェアの被害から身を守る、またはその影響を軽減することができます。

  • 最重要ファイルのバックアップを取る– ファイルのオフライン・コピーを外部デバイスとオンラインのクラウド・ストレージ上に作成します。
    注:外部デバイスはバックアップ専用として使用し、バックアップ終了後すぐに接続を切る必要があります。
  • 油断大敵:身に覚えのない電子メールを開封してはいけません。また、Officeファイル上でマクロの実行を要求されても、絶対に従ってはいけません。マクロは、そのマクロがどのように機能するかを正確に理解している場合のみ実行するべきですが、そのようなケースはあまりないのが実情です。また、最新の主要なマルウェア・キャンペーンを常に把握することで、新種のフィッシング技法に引っかかったり、悪意のあるアプリのダウンロードをするリスクを軽減します。
  • 最新の包括的なセキュリティ・ソリューションを保有する – 高品質のセキュリティ・ソリューションや製品は多種多様なマルウェアと攻撃からユーザを保護します。チェック・ポイントのSandblast Zero-Day Protectionはランサムウェア・サンプルを効率的に検出してブロックし、スパムやフィッシング・キャンペーン経由で配布されたファイルから悪意のあるコンテンツを抽出します。