Comments
Description
Transcript
ランサムウェア バックアップでの対策
ランサムウェア バックアップでの対策 ランサムウェア バックアップでの対策 Blueshift K.K. KATO Bldg. 6F, 2-11-3 Iwamotocho, Chiyoda-ku, Tokyo, Japan, 101-0032 www.dataprotection.co.jp 1 ランサムウェア:バックアップでの対策 Blueshift [email protected] Copyright © 2016 Blueshift Dataprotection. All rights reserved. ランサムウェア:バックアップでの対策 ...................................................................................................... 3 ランサムウェアが及ぼす影響 .......................................................................................................................... 3 感染経路 .............................................................................................................................................................. 3 フィッシング攻撃 .............................................................................................................................................. 3 ランサムウェアの感染を防ぐには .................................................................................................................. 5 バックアップが最後の望み .............................................................................................................................. 7 終わりに ............................................................................................................................................................ 10 Blueshift K.K. KATO Bldg. 6F, 2-11-3 Iwamotocho, Chiyoda-ku, Tokyo, Japan, 101-0032 www.dataprotection.co.jp ランサムウェア:バックアップでの対策 ニュースでも取り上げられるようになったランサムウェア、どのように影響を及ぼしてい るのか? 実際にマルウェアに感染があった人ならわかることですが、感染してしまうと データの紛失や OS の再インストール等を行い復旧する必要があります。 Windows の場 合は Rescue Disk を使いある程度データを保存することも可能な場合がありますが、バッ クアップを行っていない場合はデータがすべてなくなるという覚悟が必要です。 ランサムウェアとはこれまでのマルウェアと決定的に違うのは、データの破壊を目的とす るのではなく、データの使用を制限して、制限を解除するために金銭の交換が行われる、 詐欺目的にあるという点だ。 言い方を変えるとデータを人質にとり身代金(Ransom) を要求することだ。 銀行や郵便で送ると足がつくが、少額を要求し匿名性の高い BitCoin で支払をすることで犯人の特定が難しい。 ランサムウェアが及ぼす影響 ランサムウェアは感染したコンピュータのファイルを暗号して、ユーザが解読のキーを買 うまで使えない状態で保管されます。 この時、マルウェアはそのコンピュータにあるデ ィスクをすべてスキャンし、暗号をします。 DAS(コンピュータのハードディスク)、 USB、ネットワークドライブ等、コンピュータから見えるディスクに存在するファイルは すべて暗号の対象になります。 次のリストは、実際に暗号の対象になるファイルをマルウェアから抽出したものです。 .mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .A RC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, . psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, . pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dot m, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .cr t, .key, wallet.dat 通常のドキュメントや画像ファイルに加えて、sql 関連のファイルが暗号されてしまいま す。 このマルウェアがサーバまで到達すると、ダメージも大きくなり、最悪の場合は事 業継続にも影響を及ぼします。 身代金を支払っても暗号鍵が手元に届くのは約 48 時間 と長く、その間はファイルには一切アクセスできません。 感染経路 感染経路はほとんどがフィッシングによって行われています。 以前は USB 感染の亜種 もありましたが、今ではこの感染経路の可能性は少なくなっています。 フィッシング攻撃 Blueshift K.K. KATO Bldg. 6F, 2-11-3 Iwamotocho, Chiyoda-ku, Tokyo, Japan, 101-0032 www.dataprotection.co.jp 最近のフィッシングメールはデザインや文言が本物のメールにそっくりになり、ボタンを クリックしたくなるものが増えてきました。 たとえば、「アマゾンズ」というメールア ドレスからこのようなメールが来たら誰でも立ち止まり、思わずリンクをクリックするか もしれません。 このメールのリンクはあらゆる場所へのリンクですが、「Click Here」をクリックするこ とで、マルウェアがダウンロードされて、コンピュータで実行されてしまうというとても 厄介なメールです。 違う経路としては、あらゆるサイトで使用されるようになってきた iFrame を狙ったクリ ックジャックという攻撃もがあります。 特に、アフィリエイトのため等に、自分のサイ トを間貸しし、そこで広告を表示させる設定なんですが、その iFrame という部分にマル ウェアを忍ばせて感染に持ち込むケースも増えています。 安心して閲覧できるサイトだ と思っていても、落とし穴がありますからね。 Blueshift K.K. KATO Bldg. 6F, 2-11-3 Iwamotocho, Chiyoda-ku, Tokyo, Japan, 101-0032 www.dataprotection.co.jp IPA: IPA テクニカルウォッチ 知らぬ間にプライバシー情報の非公開設定を公開設定に変更されてしまうなどの『クリックジャッキン グ』に関するレポート(https://www.ipa.go.jp/about/technicalwatch/20130326.html) より IPA(情報処理推進機構)からも警戒を促す情報が発信されていますが、まだまだ課題は 残っています。 ランサムウェアの感染を防ぐには ランサムウェアを防ぐ方法として一番大切なのは「よく見る」という事です。 現時点で は感染経路はユーザが開始したセッションから起こります。 上記の Email をクリックす るのはユーザです。 リンク先がおかしい、メールアドレスがおかしい等少しでも疑いが あるようであれば、クリックする前に確認するしか方法はありません。 またクリックジ ャックにしても、マウスをリンクの上に置くと URL が表示されるので、そのリンク先を 確認することが大切です。 感染してしまったらどうするか 気を付けて Email やウェブを閲覧していても、感染してしまう事があります。 後は、コンピュータをつけるとこんな画面とご対面です。 Blueshift K.K. KATO Bldg. 6F, 2-11-3 Iwamotocho, Chiyoda-ku, Tokyo, Japan, 101-0032 www.dataprotection.co.jp 感染した このように、ランサムウェアに感染したというメッセージが表示され、デスクトップのバ ックグラウンド画像も変更されてしまいます。 (CryptoLocker の場合) Blueshift K.K. KATO Bldg. 6F, 2-11-3 Iwamotocho, Chiyoda-ku, Tokyo, Japan, 101-0032 www.dataprotection.co.jp ここまで来ると、すでにファイルは暗号化され、身代金を払うか、諦めるかの選択しかあ りません。 バックアップが最後の望み ランサムウェアに感染してしまったデータは AES 暗号を使い、.magic や.locky 等の拡張子 に変更しファイルを保管します。 暗号されているファイルへは、攻撃者が使ったパスワ ードが無ければアクセスできないようになります。 また、VSS のシャドーコピーも削除 されてしまうので、Windows OS のロールバック機能も使用できません。 ファイルを再現するには、攻撃者に身代金を払い、パスワードを開示させる方法しかあり ません。もちろん、パスワードをクラックするソフトもありますが、時間と労力がかかっ てしまい、身代金を支払った方が安く済む場合が多いでしょう。 しかし、バックアップを定期的に実施することで、身代金やパスワードクラックも必要な く、データを再現することができます。 Blueshift DataProtect/Vario VDP の画面を使い、 データのリカバリの方法を記述します。 A. 通常バックアップ 通常のバックアップが行われている時には、データの量が著しく変わることはありま せん。 ファイルのバックアップですから、新たに足したものや変更はあったとして も、日々のバックアップは次の図のように緩やかな曲線、もしくは平らな直線を描き ます Blueshift K.K. KATO Bldg. 6F, 2-11-3 Iwamotocho, Chiyoda-ku, Tokyo, Japan, 101-0032 www.dataprotection.co.jp B. 暗号されてしまうと、ファイルの拡張子が変わるだけではなく、新しいファイルと認 識され、フルバックアップとして扱われます。 グラブにも大きな違いが現れます。 Blueshift K.K. KATO Bldg. 6F, 2-11-3 Iwamotocho, Chiyoda-ku, Tokyo, Japan, 101-0032 www.dataprotection.co.jp C. バックアップされているファイルの比較をして、暗号がされていないファイルを判断 し、リストアします。 暗号されたファイル Blueshift K.K. KATO Bldg. 6F, 2-11-3 Iwamotocho, Chiyoda-ku, Tokyo, Japan, 101-0032 www.dataprotection.co.jp 正常ファイル この例の場合は、.axx という拡張子が無いファイルをリストアすることで、暗号される前 のファイルが使用できます。 また、日々変わっていく大量のファイルがある場合にも最後の二つファイル拡張子を確認 するだけで、必要なファイルがどれかが一目でわかります。 終わりに このような脅威は増えていく一方です。 セキュリティ対策は必要不可欠ですが、データ の保護もセキュリティポリシーの一環として徹底的に行う事でより強固な「データセキュ リティ運営」と障害対応や事業継続ポリシーにつながります。 Blueshift K.K. KATO Bldg. 6F, 2-11-3 Iwamotocho, Chiyoda-ku, Tokyo, Japan, 101-0032 www.dataprotection.co.jp