新年度あけましておめでとうございます
4月1日は、全く余裕がなかった…
新手のランサムウェア…ですか
トレンドマイクロさんのblogや、MicrosoftさんのThreat Research & Response Blogに、またも頭を抱える事例が…。
その名もSamas。
何が新しいのか?〜内容はほとんど自爆テロだけど、何かがおかしい
記事をざっと読んで「うわこれヒドイ」と思った点は大きく2つ。
- 標的型攻撃の手法に類似した方法で感染拡大を試みる
- 通常のデータファイルだけではなく、バックアップファイルの破壊も試みる
で…記事をもとに、ざっと図を書き起こしてみた。
- 図中(1)で感染したPCは、(2)のスキャンを行う
- (2)のスキャンの結果、スキャン先に使える脆弱性がある場合には、(3)でマルウエアをリモート実行
- 最終的に(4)のフェーズになると、vssadminなどでボリュームシャドウコピーにある「バックアップ」を削除し放題
という感じか。
標的型攻撃との相違をいろいろと考えてみたけど、「標的型攻撃」というのはあくまで攻撃の仕方や対象の絞り方で攻撃を分類した時の呼称であり、ランサムウェアは明らかに「データの身代金を取る」という目的思考の呼称なので、あまり筋はよろしくない。むしろこのような説明の仕方は、「ランサムウェアの手法を取り入れた標的型攻撃」が登場した際に、変な先入観(ランサムウェア is not used in 標的型攻撃)を植え付けかねないので、正直嫌。
でも、「バックアップファイルの破壊も試みる」は実は、最初の「標的型攻撃の手法に類似した方法で感染拡大を試みる」という特徴を備えた時点でほぼ自動的に実現されるのではないか、と考えている。
また、よく読むと「ボリュームシャドウコピーを削除」なので、(確かにバックアップファイルではあるけど)あまねくバックアップファイルをターゲットとしているわけではない。もちろん、リモートバックアップを行ったところでも、ランサムウェアがターゲットとしているファイル名がそのまま残存してると、そのバックアップ先にランサムウェアが感染した時に「アウチ」となるわけだが。
対策の考え方はいいんだけど、例がまずい
トレンドマイクロさんのblogでは、対策も書かれている。考え方は悪くないけど、例がまずい。
以下、対策の引用。強調と着色部分は筆者による。
- 定期的なバックアップと「3-2-1のルール」の実践
ファイルを定期的に取ることで重要な情報を保護することができます。バックアップする際、「3-2-1のルール」をぜひ実践してください。自身のファイルのコピーを 3つ取り、それぞれ異なる端末に保存します。次に、それぞれ端末に保存する際、 2つの異なる種類の端末に保存します(例:ハードドライブおよびUSB)。最後に、3つのコピーの内 1つのコピーは他の 2つとは異なる場所に保存します(例:自宅とオフィス)。
- 頻繁に訪問する Webサイトはブックマークを活用
頻繁に訪れる Webサイトは、ブックマークしておくことを推奨します。ブックマークを活用することで、アドレスバーに直接入力する際、誤ってタイプミスをして不正なURLに誘導される事態を避ける事ができます。
- メールの添付ファイルを開封する際は細心の注意を
身元が不明もしくは証明されていない送信者からの添付ファイルは決して開封しないでください。一方、知人友人からのメールの添付ファイルであっても開封する際には、送信者のメールアドレスを必ず確認して、細心の注意を払ってください。
- PC にインストールされているソフトウェアの更新を怠らない
Cryptoランサムウェアの感染経路の1つは、上述のとおりソフトウェアの脆弱性を突くエクスプロイトキットです。ユーザは、セキュリティ情報の更新を怠らず、自身の PCにインストールされているソフトウェアを常に最新の状態にしてください。
- セキュリティ対策製品の導入は必須
最新の脅威から PC や情報を守るためには、セキュリティ対策製品の導入は必須です。定期的なスキャンを実施してください。
この中で一番まずいのは、「定期的なバックアップと3-2-1ルール」の中にある「異なる場所の例」と「細心の注意」のやり方。
- 「異なる場所」として「自宅とオフィス」を挙げているが、「自宅」は(多くのビジネスシーンを考えると)全く推奨できない。昨今多くの企業では、オフィスからの情報持ち出しを禁止しており、「自宅に保存」を実践された場合には他のリスクを招きかねない
- 「細心の注意」の例に、「送信者のメールアドレスを必ず確認して」とあるが、送信者のメールアドレス自体は簡単に偽装されうる上に、何をどう確認して細心の注意を払えばいいのかわからない
代案を挙げるとしたら、以下のような感じか。少しわかりにくくなるけど、自席とかメールアドレスを確認するという文言を用いて誤解を招いたりするよりは遥かにマシ(と考えてたり)。
- 「異なる場所」は、「勤務先の机」と「机以外に自分が管理する場所(ロッカー)」くらいか
- 「送信者のメールアドレスを必ず確認して」は、「表示されている送信者に(可能であればメール以外の手段で)必ず確認をして」くらいか