亜種が多く、早期の検知や防御が困難なランサムウエア
PCなどに侵入し、ファイルを暗号化するなどして使用不能にした後、元に戻すことと引き換えに「身代金」を要求する「ランサムウエア」の被害が拡大している。
企業内で利用しているPCが感染してしまうと、当然そのユーザーの業務は完全に停止する。また、感染したPCを即座にネットワークから切り離さなければ、他のマシンへ感染が広がる恐れもある。
さらにファイル暗号化などの被害が及ぶのは、感染PCの内蔵ディスクだけではない。PCに接続されたUSBメモリーや外付けディスク、ネットワーク経由でアクセスできるファイルサーバーの共有フォルダやネットワークドライブにまで拡大することが確認されており、組織全体が業務停止に陥る可能性もある(図1)。海外ではPCだけでなく、業務サーバーまで感染するケースも確認されている。
防御が難しいのもランサムウエアの特徴である。
ランサムウエアは、多くの場合、社員が外部のWebサイトにアクセスする、なりすましメールの添付ファイルやURLを開くといった操作によって感染している。感染へ誘導する手口は巧妙化しており、利用者は常にリスクと直面しているという側面がある。
加えて、種類が多いのもランサムウエアの特徴だ。そのため、シグネチャベースの対策では、新たに出現する亜種を早期に検出することが難しいという事情もある。
これらのことを考えると、ランサムウエアは、既存のセキュリティ対策だけで100%防ぐことは難しい。とはいえ、当然そのまま放置しておくわけにもいかない──。
そこで、考えたいのが、ランサムウエアによる業務への影響を最小限に抑えるために、感染によって暗号化されてしまったデータを復旧できる体制の整備だ。次ページからは、そのための具体的なアプローチを考えよう。
図1●ランサムウエアによって使用不能となる可能性のあるデータ
[画像のクリックで拡大表示]
ファイルを暗号化するなどして使用不能に陥らせるランサムウエア。感染マシンの内蔵ディスクだけではなく、外部メディアやネットワークドライブ等にも被害が拡大する可能性がある。