「ランサムウェア」に備えるヒントとアドバイス

「ランサムウェア(Ransomware)」とは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせたマルウェア、不正プログラムの種類を表す造語です。
その感染により、自身のシステムに対するアクセスが制限されます。例えば、感染したパソコンやスマートフォン(端末)の操作をロックしたり、端末のファイルを暗号化し、その復旧と引き換えに金銭の要求が行われます。
あたかも利用者の端末やファイルが身代金を要求するための人質の様であることからランサムウェアと呼ばれています。
一見すると新しい脅威に思われるかもしれません。しかし、その備えは従来型の脅威と大きく換わるものではありません。最初のステップは「STOP. THINK. CONNECT.」(立ち止まる | 考える | 楽しむ)です。

利用者へ推奨する対策

大切なデータを保護するための対策:

  • [対策の複雑さ:中] [有効性:高] [利便性の影響:低]
    「いくつのバックアップファイルを保管すべきなのか?」、「バックアップファイルはどこに保管すべきなのか?」といった疑問は「3-2-1 ルール」を意識することで解消することができます。また、バックアップだけでなく、そのリストアの方法についても予め確認しておくことが重要です。

    バックアップの3-2-1 ルール
    • 少なくとも3つのデータのコピーを作成する
    • 最低でも2つの異なるメディアにコピーを保存しておく
    • 1つのバックアップコピーはオフサイト(クラウドなど)に保存しておく


  • 参考情報:Microsoft Windows「ファイルをバックアップから復元する

MyJVN が提供するセキュリティチェック機能で診断・対策を施す:

  • [対策の複雑さ:低] [有効性:高] [利便性の影響:低]
    ランサムウェアの感染経路は様々です。しかしながら、セキュリティ対策ソフトウェア、ウェブブラウザー及び、OSを最新に保つことが、ウイルスやマルウェア(不正プログラム)などのオンライン上の脅威から守る上での最善の策であることに変わりありません。定期的にインストールされたソフトウェア製品やシステムの設定が、危険な状態になっていないかを確認しておくことが重要です。



Office ドキュメントのマクロを無効にする:

  • [対策の複雑さ:中] [有効性:高] [利便性の影響:中]
    マクロは、繰り返しの作業を自動化するための一連のコマンドです。サイバー犯罪者が不正活動を実行するためにマクロの機能を悪用したときに、問題は起こります。予め意図せぬマクロの実行を避ける設定をしておくことが重要です。

    1. インターネットからダウンロードされたすべてのファイルについて、[保護されたビュー]で開くようにしておく
    2. インターネットからダウンロードされたすべてのファイルについて、マクロの実行をブロックする


  • 参考情報:Microsoft「Office ドキュメントのマクロを有効または無効にする

スクリプトファイルを無効化する:

  • [対策の複雑さ:高] [有効性:高] [利便性の影響:中]
    スクリプトファイルは、マクロと同様に、手動で実行されるタスクを自動化する目的で使用されます。

  • 参考情報:Microsoft「Disabling Windows Script Host


組織の管理者へ推奨する対策

メールゲートウェイにおける添付ファイルの拡張子別フィルタリング:

  • レベル1[対策の複雑さ:低] [有効性:中] [利便性の影響:低]
    ランサムウェア感染に至った経路として、迷惑メールに添付されたファイル経由であったことが報告されています。ランサムウェアの感染手段として使われている次の拡張子を含む添付ファイルを利用者の元に到達する前に仕分ける(フィルタリングする)対策を検討することができます。

    拡張子:.exe, .bat, .ps1, .js, .jse, .scr, .com, .ocx, .jar, .vb, .vbs, .vbe, .bas, .ws, .wsf, .shs, .pif, .hta, .lnk"

  • レベル2[対策の複雑さ:低] [有効性:高] [利便性の影響:高]
    より強固な対策として、レベル1の対策に加えて次の拡張子を含む添付ファイルを仕分ける対策を検討することができます。ただし、これらの拡張子を含む添付ファイルは正規ファイルとして流量の多いものです。このため、利便性を十分に考慮し、あらかじめフィルタリングの実施期間を定めておくなど、一時的な処置として対策の実行を検討することが必要です。

    拡張子:.doc, .xls, .rtf

グループポリシーを使い「%LocalAppData%」と「%AppData%」でのプログラムの実行を禁止する:

ファイルの拡張子を表示する:

  • [対策の複雑さ:低] [有効性:低] [利便性の影響:低]
    サイバー犯罪者はWindows OSの拡張子機能を使ったトリックによって、利用者を混乱させる手口が知られています(例えば、二重拡張子、多数の空白(スペース)挿入、Unicode 制御文字(RLO: Right-to-Left Override)の挿入など)。
    こうしたトリックから身を守るためにファイル名拡張子を表示する設定への変更を検討することが必要です。


  • 参考情報:Microsoft 「ファイル名拡張子を表示するまたは表示しない

「ユーザー アカウント制御 (UAC)」メッセージの動作を変更する:

  • [対策の複雑さ:低] [有効性:中] [利便性の影響:中]
    ソフトウェアのインストールなど高い権限を必要とするアクションを実行する場合には、[管理者]権限を有する利用者に限定する強制の設定について変更を検討することが必要です。
    こうしたトリックから身を守るためにファイル名拡張子を表示する設定への変更を検討することが必要です。

  • 参考情報:Microsoft 「UAC グループ ポリシーの設定とレジストリ キーの設定

不必要な[管理者]権限を取り除く:

  • [対策の複雑さ:中] [有効性:中] [利便性の影響:中]
    マルウェアの感染によって変更が行われるのはその利用者の[書き込み]または[読み込み]権限を有するファイルです。可能な限り[管理者]権限の利用をせずに、現在[管理者]権限を有する利用者アカウントについても、取り外した運用を行うことができないか検討することが必要です。

もしもに備えて知っておく

症状を判断し対応を検討する:

  • 身代金要求文」(身代金や支払いの情報を表示するファイル)や「暗号化されたファイル」(暗号化されてしまい開けないファイル)を保存しておく
    ランサムウェアの種類によっては暗号化されたファイルを復号によって元に戻すことができる場合があります。このため、あなたが感染したランサムウェアの症状を判断するために、これらのファイルを保存しておくことが重要です。
    感染症状の自己判断を手助けするオンラインサービスがあります。これらの活用を検討することも重要です。

  • 参考情報:「ID Ransomware」(ランサムウェアの種類を特定するサービス)

症状にあわせた復号ツールを利用する:

サイバー犯罪捜査にみんなで協力を:

  • 金融資産および個人情報が盗まれた可能性がある場合やその他のサイバー犯罪に巻き込まれた疑いがあるときは、そのサービスを提供するプロバイダーに報告・相談し、「最寄りの都道府県警察本部のサイバー犯罪相談窓口」に報告するなど、その問題に適当な組織に連絡を行うことが重要です。

  • 参考情報:「都道府県警察本部のサイバー犯罪相談窓口一覧」 > http://www.npa.go.jp/cyber/soudan.htm#sthash.cEzYpF0I.dpuf