企業がさらされているサイバー脅威の現実...※「cryptowall」の日本語による身代金要求表示例...

企業がさらされているサイバー脅威の現実

上級スレットディフェンスエキスパート

新井悠

Copyright © 2016 Trend Micro Incorporated. All rights reserved. 2

企業を脅かすランサムウェアの脅威

3 Copyright © 2016 Trend Micro Incorporated. All rights reserved.

法人利用者でランサムウェア被害拡大中

• 国内法人利用者での検出台数：2.6倍*¹

• 国内法人での被害報告は前年比16.2倍*²

※1 トレンドマイクロSPNによる

法人ユーザからのランサムウェア被害報告件数推移（日本）※2

※2 2014年1月～2015年12月トレンドマイクロの法人向けサポートセンターへのランサムウェアに関する問い合わせ数。

ランサムウェア検出台数推移（日本）※1

380 1000

7220 5700

0

1000

2000

3000

4000

5000

6000

7000

8000

2014年 2015年

法人個人

40

650

0

100

200

300

400

500

600

700

2014年 2015年


ランサムウェアの種類

• 端末ロック型

– 画面ロックなどの手口で感染端末を操作不能にすることで「感染端末を人質」にするタイプ

– ほとんどの場合、ランサムウェア自体を駆除できれば端末は操作可能になる

– 警察などの法執行機関を詐称するタイプは、特に「ポリスランサム」と呼ばれる

• 暗号化型

– 感染端末内のデータやネットワーク共有上のデータを暗号化し使用不能にすることで、「データを人質」にするタイプ

– ランサムウェア自体を駆除してもデータは暗号化されたまま残るため、被害が深刻化しやすい


端末ロック型「ポリスランサム」事例

※端末ロック型ランサムウェア（ポリスランサム）の身代金要求画面例


暗号化型ランサムウェア事例

• 2013年9月：CryptoLocker

–データ暗号化のためにインターネット経由でC&Cサーバを利用する初のランサムウェア

※暗号化型ランサムウェアの身代金要求画面例


暗号化型ランサムウェア


共有フォルダの暗号化

• 2015年3月前後に登場した「CryptoFortress」の亜種において、ネットワーク内の共有ファイルを探し暗号化する活動を確認

• 企業などのネットワークに侵入した場合、ファイルサーバ上の共有データが暗号化されるなど、被害が深刻化しやすい

CryptoLockerの身代金要求画面例


ランサムウェアの「日本語対応」

• 2014年3月暗号化型ランサムウェア「BitCrypt」の亜種において、日本語表示を初確認

※「BitCrypt」の日本語による身代金要求表示例

※「CryptoWall」の日本語による身代金要求表示例

• 2015年4月暗号化型ランサムウェア「CryptoWall」の亜種でより本格的な日本語表示を確認。

• 以降、ランサムウェアの日本語対応が定番化


破壊的・壊滅的なランサムウェア

• PETYA：マスターブートレコード（MBR)を上書きして起動不能にする暗号化型ランサムウェア

システム領域に感染する暗号化型ランサムウェアの身代金要求画面例


破壊的・壊滅的なランサムウェア

• データをインターネット上に公開すると恐喝する暗号化型ランサムウェア

データの公開を行うと恐喝する暗号化型ランサムウェアの身代金要求画面例


ランサムウェア感染経路－Web経由

• 正規サイト汚染

– インターネット利用者が安全と考えている「正規サイト」にアクセスしただけで被害に遭う攻撃手法

– 「Web改ざん」あるいは「不正広告」を利用

– 脆弱性を攻撃し、見ただけで感染することがある

利用者

OSやソフトウェアに脆弱性が存在

脆弱性攻撃サイト

不正プログラム

• 不正広告、Web改ざんやスパムメールから脆弱性攻撃サイトに誘導

• そこから脆弱性攻撃を受け、ランサムウェアに感染


「正規サイト汚染」の恐怖

• 「不正広告」や「Webサイト改ざん」により、ユーザを脆弱性攻撃サイトに誘導する一連の攻撃

• ユーザは、正規サイトを見ただけで攻撃を受ける

• 2015年日本国内のWeb経由感染の38％がランサムウェア

ランサムウェ

ア

38%

オンライン銀

行詐欺ツー

ル

38%

ダウンロー

ダ型

13%

クリッカー

（広告詐欺）

8%

バックドア・

ボット

3%

正規Webサイト脆弱性攻撃サイト


ランサムウェア感染経路－メール経由

• メール添付型：

– 不正プログラム付き電子メールをインターネット利用者に送信

– メール受信者が添付ファイルを開くことで感染

– 通常は不特定多数への攻撃

利用者

スパムメール + 添付ファイル

攻撃者

※ランサムウェアを拡散するマルウェアスパム画面例


動画デモ：メール経由ならびにWeb経由での感染

メール経由感染デモ（Locky）.mp4

メール経由感染デモ（Locky）.mp4


国内における被害事例

• 2015年：国内製造業

–スパムメールの大量送信でプロバイダ停止

–業務端末とファイルサーバ上のデータがCryptoLockerにより暗号化される

–ランサムウェアに他の端末も感染し、ファイルが復旧不能な状態に


海外における被害事例②

• 2016年2月：アメリカの病院

–ランサムウェアによりネットワークアクセス不能に

–急患対応が不可能になり紙・ペンで診療記録システム復旧に10日間を要す

–全システム復旧のため、要求された40ビットコイン（約17,000ドル、約180万円）の支払いを公表

http://hollywoodpresbyterian.com/default/assets/File/20160217%20Memo%20from%20the%20CEO%20v2.pdf

×


なぜ法人利用者で被害拡大？

• 暗号化型ランサムウェアが巧妙化

–インターネットを利用した暗号化

–暗号化キーを不正サーバから取得、保存する手法が登場

• ネットワーク共有を狙った暗号化型

–ネットワーク共有上のデータも暗号化する活動が本格化

• 攻撃者の狙いが法人へも拡大

–法人の方が身代金を支払いやすい

–法人の方が得られる金額が大きい


手口のまとめ

• 侵入経路は「Web」と「メール」

– Web経由：「正規サイト汚染」から見ただけで感染

– メール経由：なりすましメールの添付ファイル

• C&Cサーバを利用した攻撃

– 標的型：攻撃基盤として必ずC&Cサーバを利用

– ランサムウェア：復号化情報がC&Cサーバにのみあり、自力復号は非常に困難

• 法人で被害が拡大中

– ネットワーク共有上のファイル暗号化により被害が深刻化

– サイバー犯罪者は法人の方が利益を得やすい標的として認識

FreeDigitalPhotos.net


ランサムウェア対策のポイント

サーバクライアント端末

Web経由の感染を抑止

メール経由の感染を抑止

エンドポイントで感染を抑止

ネットワーク早期発見自動化対応

脆弱性攻撃サイト

迷惑メール

メールゲートウェイ

内部ネットワーク監視

ランサムウェアの横展開防止

Webゲートウェイ

インターネット

企業がさらされているサイバー脅威の現実...※「cryptowall」の日本語による身代金要求表示例...

Documents