11月1日(水) 日経NETWORKより
今までの常識が通用しない新しいランサムウエアが登場している
(1)メールで届くだけではない、と分かってきた
2015年に発見されたランサムウエアは
・攻撃者が送り付けたメールに添付されたJavaScriptやWordファイルをユーザーが開くことで感染した
・改ざんされたWebサーバーにアクセスしたユーザーが、
パソコンで動くソフトウエアの脆弱性を悪用されて感染した
ランサムウエア自身に感染させる能力がないため、
メールなどに添付された別のプログラムやスクリプトを使って感染させていた
対策としては「不審なメールを開かないように」という注意喚起が多かった
※上記のような対策だけだと、今後リスクは高くなる
|
|
2017年に発見されたランサムウエアは
ネットワーク経由で感染を広げる能力が備わってきている
社外で感染したパソコンを企業ネットワークに接続すれば、感染が一気に広がる
|
|
(2)ファイルを暗号化するだけではない、と分かってきた
データを「使用不能」にし、それを元に戻すための“身代金”として金銭を要求するのがランサムウエア
使用不能にする方法として、当初は暗号化が目立った
初期の段階では、ハードディスクのシステム領域にあるMBRやファイルテーブルを書き換えて、
ディスク全体を読めなくしてしまうが、ファイルそのものは暗号化しない
金銭の要求に応じなくても、ハードディスクのシステム領域を修復すれば復旧できる場合があった
最近では、感染すると、ランサムウエアによくある警告画面を表示するが、ファイルは暗号化されない
ただ要求された金銭を支払わないと、警告画面が閉じられないため、
データでなくパソコンが「使用不能」になる
|
|
(3)金銭を支払えば元に戻る、ことはないと分かってきた
反社会的立場の攻撃者に対して金銭を支払うべきではないのは確かだが
・バックアップを取っていても、バックアップごとデータが暗号化されてしまう
分離してバックアップデータを保管していなければ、同じように暗号化されてしまう恐れがある
データだけのバックアップでは、復旧までに多くの時間を要することがある
※システム全体のバックアップとなるとかなり大変になる
・金銭を支払っても、元通りになるケースが減ってきている
感染した時点でOSの起動に必要なファイルの一部を削除してしまうので
たとえ金銭を支払って暗号化を解除するための鍵を手に入れても、システムは元に戻らない
コメントを残す