2016年3月は、多くの日本企業は決算月となっていますが、攻撃も相変わらず熾烈をきわめている感じがします。今回は、今月はまた「ランサムウェア関連の話題」に触れていきます。
やっぱり増えていたランサムウェア被害~2014年と2015年では明らかに傾向が異なる
ここ最近は、以前と比較して、ランサム祭りが多く勃発しているような印象を持っていましたが、2016年3月にMcAfeeからリリースされたレポートで、それが事実ということが客観的に示されました。
- インテル セキュリティ、 2015年第4四半期の脅威レポートを発表
- http://www.mcafee.com/jp/about/news/2016/q1/0330-01.aspx
ランサムウェア関連の内容は、「McAfee Labs脅威レポート2016年3月」のP.39に記載されています。非常に簡潔ではありますが、その記述は現状を的確に表現しています。
上記レポートのグラフを見ると、2014年度の間に発見された新たなランサムウェアの数と、2015年度第一四半期に発見された新たなランサムウェアの数が、おおよそ同じくらい(80万程度)になります。
ランサムウェアはお金になるのか?多分Yes、それだけにタチが悪い
ランサムウェアは、とくに金銭目的のサイバー犯罪者にとって、非常に魅力的なソリューションです。
最近では、個別のランサムウェア開発等に手間をかけることなく、RaaS(Ransomware-as-a-Service)と呼ばれるサービスを利用することで、本来自分たちが展開したいビジネス(=攻撃)を実行することが可能となっています。
- Encryptor RaaS: また新たなRansomware-as-a-Serviceが登場
- http://www.fortinet.co.jp/security_blog/150729-encryptor-raas.html
サービスを企画する人、提供する人、利用する人の間に共通する点は「お金を稼ぎたい」ということであり、サービスの品質も上がっていると言われています。この場合の「品質」は、主に以下の2つを確実に実現できる度合を想定しています。
- 確実に攻撃できそうな経路を複数利用できる
- 条件を満たせば暗号化データを確実に復号できる
前者は確実に顧客を捕まえる(確実に感染させる)ために、後者はビジネスを成立させる(ちゃんとお金を払ってもらえるように暗号化・復号を行う)ために必要です。
2016年3月の記事でも、このあたりの話に触れましたが、一度感染して対応したあとに、感染経路の特定をはじめとした再発防止の話を進めることが、被害を拡大させないためには必要です。単にお金を払って復号するのみで感染経路等について特定できないと、同じ組織で再び同じような被害が発生する可能性があります。こういうことを避けるためにも「再発防止はきちんと検討・実施」ということは忘れないでください。
ランサム祭りはまだしばらく続く…自衛&感染時の被害局所化を!
攻撃者からしたら、「こんなおいしい商売はない」というレベルで稼ぎ出せるのがランサムウェアです。人質にするのは感染した端末上のデータであり、これを攻撃者に握られると、かなり弱い立場に追い込まれます。
このため、攻撃者は「確実に感染させる」もしくは「広域にバラまき、感染数を増やす」という傾向にシフトしがちです。
しかし、多くのユーザはそんなのにいちいち付き合う義理は「まったくない」ので、先月も述べたような形で自衛&感染時の局所化を検討・実施してみてください。