Comments
Description
Transcript
【Ksisnetだより】第6号(データの定期的なバックアップを)
ランサムウェア※1とは、Ransom(身代金)とSoftware(ソフ トウェア)を組み合わせた造語です。 感染すると、ファイルやソフトウェアが暗号化され使用できな くなり、悪意の第三者からファイルの復元と引き換えに金銭を要 求されるものです。 ● 犯人の特定が極めて困難です ● 金銭を支払っても復元の保証はありません 被害は ● 暗号化されてしまったファイルの復元は困難です ● 業務遂行に多大な影響を与えます 対策は ● 心当たりのないメールに注意する ● セキュリティソフトを最新の状態にする ● データを定期的にバックアップする 感染原因 受信した メールから ウェブサイト から 添付された ●URLにアクセス ●ファイルを開く ●広告などの閲覧 ●ファイルをダウ ンロード 少しの油断でウイルスに感染してしまう危険性がありますので、 データの定期的な バックアップに努めて下さい。 バックアップに使用する外部記録媒体は バックアップするときのみパソコンと接続するほか、複数用意を! これまでのランサムウェアによる被害においては、 ●パソコンに接続していた外付けHDDのファイルも暗号化された ●ネットワーク上のファイルサーバに保存していたファイルも暗号化された という事例が確認されています。 <留意事項> ★バックアップするときは、パソコンをインターネットから隔離する ★バックアップするとき以外は、外部記録媒体をパソコンと接続しない ★複数の外部記録媒体でバックアップする(いずれかが感染しても別の外部記録媒体でデータを復元する) 外部記録媒体は各々特徴 があり、対象となるファ イルに応じて使い分ける ことが大切です!! IPA ※2の資料を参考にし ましょう。 別紙 ※1 ランサムウェア 「 ランサムウェアとは、 「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語です。」 パソコンに保存されている特定のファイル(オフィスドキュメントや圧縮ファイル、音楽、画像など)に勝手 に暗号化処理を行い、読みとれない状態にしてしまう不正プログラムで、ファイルを暗号化した後にその ファイルの復元と引き換えに金銭を要求するような文面が表示されます。この現象が、あたかもファイルが 身代金を要求するための人質のようであることからランサムウェアと呼ばれます。 ※2 平成28年1月5日付のIPA(独立行政法人情報処理推進機構)が発表した「今月の呼びかけ」 「ランサムウェア感染被害に備えて定期的なバックアップを」 https://www.ipa.go.jp/security/txt/2016/01outline.html 第 16-01-345 号 2016 年 1 月 5 日 独立行政法人情報処理推進機構 今月の呼びかけ 「 ランサムウェア感染被害に備えて定期的なバックアップを 」 ~ 組織における感染は組織全体に被害を及ぼす可能性も ~ IPA では、2015 年 4 月に日本語で表示されるランサムウェアの相談が増えたことから、その後 の被害増加を懸念し、同年 6 月の呼びかけ※1において注意を促しました。6 月、7 月に安心相談 窓口に寄せられた相談は 20 件前後ありましたが、その後しばらく沈静化していました。 しかし 10 月最終週以降、再び相談件数が増加傾向にあります(図 1)。この相談増加の要因に は、10 月に確認されたウイルス感染を目的としたウェブサイトの改ざん※2や、12 月に確認され たランサムウェア感染を目的としたメールのばら撒き※3があると考えられます。 図 1:ランサムウェアに関する相談件数の推移 寄せられた相談によると、感染経路や感染後に暗号化されるファイルの特徴に違いはあります が、ファイルが開けなくなってしまうという被害は共通でした。特に、組織内の端末が感染してし まった場合は、被害が感染した端末のみではなく組織全体に及ぶ懸念があり、業務遂行に大きな影 響を与える可能性があります。個人、組織を問わず、ランサムウェアの対策として、定期的なバッ クアップ取得は必須と言えます。 今月の呼びかけでは IPA に寄せられたランサムウェアに関する相談事例を基に、その感染経路と 対策について紹介します。 1 2 3 2015 年 6 月の呼びかけ「 パソコン内のファイルを人質にとるランサムウェアに注意! 」 https://www.ipa.go.jp/security/txt/2015/06outline.html トレンドマイクロ:ランサムウェア拡散を狙う Web 改ざん、国内サイト 70 件以上で被害を確認 http://blog.trendmicro.co.jp/archives/12434 日本 IBM:ランサムウェア CryptoWall への感染を狙った攻撃を 11 月下旬から連日確認 https://www-304.ibm.com/connections/blogs/tokyo-soc/entry/ransomware_20151208 -1- (1) ランサムウェアの感染経路 ランサムウェアの感染経路は一般的なウイルスと同様、主にメールからの感染とウェブサイトか らの感染があり、以下のようなケースが考えられます。 ■メールからの感染 ・メール本文中の URL にアクセスすることで感染 メール本文中に記載されている URL のウェブサイトが、ランサムウェアに感染するよう に細工されていて、ソフトウェアに脆弱性がある状態でこの URL にアクセスしてしまうこ とで、ドライブ・バイ・ダウンロード攻撃によってランサムウェアに感染する。 ・メールの添付ファイルを開くことで感染 メールにランサムウェアに感染するように細工されたファイルが添付されていて、ソフト ウェアの脆弱性有無に関わらず、このファイルを開いてしまうことで感染する。 IPA で確認したランサムウェアの感染を狙ったメールは、請求書の確認を促すような英語の文 面で、zip ファイルが添付されていました。この zip ファイルには、ランサムウェアをダウンロ ードするように細工されたファイルが含まれていて、この細工されたファイルを開いてしまうと ランサムウェアに感染するというものでした。 ■ウェブサイトからの感染 ・改ざんされた正規のウェブサイトや細工された不正広告を閲覧することで感染 ソフトウェアに脆弱性がある状態で、ランサムウェアに感染するように改ざんされた正規 のウェブサイトや細工された不正広告を閲覧してしまうことで、ドライブ・バイ・ダウンロ ード攻撃によってランサムウェアに感染する。 ・ウェブサイトからダウンロードしたファイルを開くことで感染 ダウンロードしたファイルがランサムウェアに感染するように細工されていて、ソフトウ ェアの脆弱性有無に関わらず、このファイルを開いてしまうことで感染する。 IPA に寄せられた相談にも、正規のウェブサイトにアクセスしただけでランサムウェアに感染 したという事例がありました。確認したところ、当該ウェブサイトが改ざんされていたことがわ かりました。 (2) ランサムウェアへの対策 ランサムウェアの被害は、ファイルが暗号化され開けなくなってしまうことです。暗号化されて しまったファイルの復元は困難なことから、重要なファイルについては暗号化されてしまった場合 でも復元できるよう、定期的にバックアップを取得してください。 -2- 図 2.重要なデータは定期的にバックアップを ■バックアップに使用する装置・媒体 バックアップに使用する装置・媒体は各々特徴がありますので、バックアップ対象となるフ ァイルに応じて使い分けることをお奨めします。例を以下に示します。 表 1. バックアップするファイル別の保存先例 No. バックアップするファイル バックアップに使用する装置・媒体 基本的に加工や編集が発生しないファイル 1 例・写真ファイル ・音楽ファイル 2 光学メディア(DVD-R、BD-R など) など 基本的に加工や編集が発生するファイル 例・ドキュメントファイル など USB メモリ、メモリーカード、 外付け HDD ■バックアップにおける留意事項 ・バックアップに使用する装置・媒体は、バックアップ時のみパソコンと接続する ・バックアップに使用する装置・媒体は複数用意し、バックアップする ・バックアップから正常に復元できることを定期的に確認する IPA に寄せられた相談に、「パソコンに接続していた外付け HDD のファイルも暗号化され た」、「ネットワーク上のファイルサーバに保存していたファイルも暗号化された」という 事例がありました。ランサムウェアに感染したパソコンと接続したままになっていたこと で、パソコン以外に保存されていたファイルも暗号化されてしまったためと考えられます。 このため、バックアップに使用する装置・媒体は、バックアップ時のみパソコンと接続するこ とが重要です。 また、パソコンに接続している時にバックアップに使用する装置・媒体が暗号化されてし まう可能性もあります。複数の装置・媒体でバックアップしておくことで、万が一どれかが 暗号化されても、それ以外のものを使って復元することができます。なお、バックアップに 使用する複数の装置・媒体は、パソコンに同時に接続しないことが重要です。 バックアップの取得以外では、以下の対策を実施してください。ランサムウェア以外のウイルス 対策としても有効です。 ■OS およびソフトウェアを常に最新の状態に保つ OS およびソフトウェアのバージョンを常に最新の状態に保ち、脆弱性を解消することで感 染リスクを低減します。 -3- IPA ではパソコンにインストールされているソフトウェアが最新の状態であるか、どのよう にアップデートを行えば良いのかが確認できるツール「MyJVN バージョンチェッカ※4」を提 供しています。これを活用して使用しているソフトウェアのバージョン管理の実施を推奨しま す。 ■セキュリティソフトを導入し、定義ファイルを常に最新の状態に保つ セキュリティソフトを導入し、定義ファイルを常に最新の状態に保つことで、ランサムウェ アへの感染リスクを低減します。 ■メールや SNS のファイルや URL に注意する メールや SNS の添付ファイルを開くことや、本文中の URL をクリックすることでランサム ウェアに感染する可能性があります。 受信したメールは送信者、添付ファイル、文面等に十分に注意を払い、心当たりのないメー ルや英文など文面の意味が分からないメールの添付ファイルは安易に開かないほうが賢明です。 ■お問い合わせ先 情報セキュリティ安心相談窓口 Tel: 03-5978-7509 Fax: 03-5978-7518 E-mail: [email protected] 技術本部セキュリティセンター 加賀谷/野澤 4 MyJVN 一般利用者の方へ MyJVN バージョンチェッカ http://jvndb.jvn.jp/apis/myjvn/personal.html -4-