ランサムウェアが再燃中

おはようございます。こんにちは。こんばんは。
ミッド（＠mid_v_lab）です

ニュースを見ていたら、やたらとランサムウェアの文字が目につきました。

最近はEmotetさんが台頭していたはずですが、Emotetのサーバが殺されたのでランサムウェアに切り替わったのでしょうか。

アメリカのインフラ企業で、ランサム被害があったらしく、「Darkside」というカッコいい名前のランサムウェアが流行っているようです。

本日は「ランサムウェアって何？」「感染経路は？」「身代金支払った方が良い？」という3点を解説します。

ランサムウェアとは

ランサムウェア（Ransomware）は、「身代金（Ransom）」と「ソフトウェア（Software）」から作られた『造語』で、コンピュータウイルスの1種です。

ランサムウェアに感染すると、パソコンのなかのデータを片っ端から「勝手に」暗号化し始め、デスクトップに暗号化を解除したければ、この宛先にBitcoinを送付してね！って表示まで出してくれる安心設計です。

パソコンのデータを人質に、身代金を要求するソフトウェアなので、ランサムウェアという訳です。

相手もプロなので、身代金を払うと暗号化を解く復号化手順をきちんと送ってくれるという噂です。（支払ったことないので、知らないですけど。）

昨今はSNSなどで圧倒言う間に情報が拡散されるので、お金払ったのに復号化できなかったとなれば、身代金を払うユーザがいなくなるので、おそらく「仕事」としてきちんと復号化キーを渡していると思われます。

ランサムウェアの感染経路

ランサムウェアというか、ウイルスの感染経路は大きく3つ。

1. メールの添付ファイルに付与
2. メール本文に偽装したリンク先を設置
3. 既存のWEBサイトを改ざんしてウイルスを配置

①、②は古くからある手法で、企業はあらゆる手段で不審メールを撲滅しようとしていますが100%検知できないので、いたちごっこです。（攻撃者は数うちゃ当たるの精神です）

また、メールの添付ファイルや本文のリンクなどは、企業でもセキュリティを高めていますが、既存のWEBサイトで脆弱性の残っているものは、知らない内にウイルスを置かれている場合があります。

既存のWEBサイトはセキュリティ意識の低い企業で管理されている場合、重大な脆弱性が放置されていて容易に改ざんおよび、ファイルのアップロードが可能です。

既存のWEBサイトは、新規でインスタントに作成されたWEBサイトと比較すると、URLフィルタなどのセキュリティも通過しやすい傾向にあるので、企業としても結構困ります。

身代金支払ったほうが良い？

基本的には支払わない方が良いです。

理由は、この企業は身代金払ったという情報が攻撃者の中で横連携されて、さらなる攻撃の対象になる恐れがあるからです。

ランサムウェアの身代金相場を確認したところ、なんと「117万ドル（約1億2300万円）」とのこと。

しかも、被害企業の3割が身代金を支払ったとのこと。結構驚きの数値です。

1億円もらえるなら、ランサムウェア配りたい！←駄目絶対

このように、ランサムウェアはビックビジネスなので、攻撃者はこぞって企業にウイルス付きメールを送り付けたり、セキュリティの甘いWEBサイトを探しだして、改ざんするわけです。

一時期、WordPressの脆弱性を使ってかなりのサイトが改ざんされて、ウイルスを置かれていたことがありました。

アクセスログみて、またWordPressか・・・と、嘆いた時期もありましたが、最近はWordPressの脆弱性もおとなしいです。

しかし。きちんとバージョンアップしていかないと脆弱性を利用されて、いつ自分のブログやサイトにウイルス置かれるか分かりません。

話がずれましたが、ランサムウェアの身代金は支払わない方が良いです。

しかし、ファイルサーバや基幹システムなど、業務上不可欠なものでどうしても復号化したいものは、1億円払う価値やその後攻撃が増えることを鑑みて、支払うのも企業の考えだと思います。

---

ウイルス対策ソフトの定義を更新する、不審なメールの添付やリンクは開かない、変なエラーメッセージは許可しないなど、割と単純なことでランサムウェアを防げますが、

数千人・数万人社員がいると、なかなか徹底は難しいという・・・

ではでは