ITPro EXPO 2017 ランサムウェアの脅威と対策 2017年10月 独立行政法人情報処理推進機構 技術本部 セキュリティセンター 山﨑 知嗣
Copyright © 2017 独立行政法人情報処理推進機構
ランサムウェアの脅威
ランサムウェアとは
Ransom(身代金)
Software(ソフトウェア)+
Ransomware(ランサムウェア)Ransomware(ランサムウェア)
Copyright © 2017 独立行政法人情報処理推進機構
ランサムウェアの脅威
パソコンの利⽤に制限をかけられる
・MBR*を暗号化され、操作できなくなる
・ファイルを暗号化され、開けなくなる
制限解除のためのメッセージが表⽰される
・派手な脅迫画面を表示する
ランサムウェアに感染すると・・・
ファイル暗号化型
MBR暗号化型
・仮想通貨(Bitcoinなど)を支払うよう要求する
* : Master Boot Recordの略
Copyright © 2017 独立行政法人情報処理推進機構
ランサムウェアの脅威
ランサムウェアの感染経路
メールからの感染・メール本文に記載されたURLからアクセスすることで感染
・メールの添付ファイルを開くことで感染
ウェブサイトからの感染・改ざんされた正規のウェブサイトを閲覧することで感染
・不正広告を閲覧することで感染
・ダウンロードしたファイルを開くことで感染
Copyright © 2017 独立行政法人情報処理推進機構
ランサムウェアの脅威
ランサムウェアの感染経路
メールからの感染
・メールの添付ファイルを開くことで感染
ウェブサイトからの感染・改ざんされた正規のウェブサイトを閲覧することで感染
・不正広告を閲覧することで感染
・ダウンロードしたファイルを開くことで感染
・メール本文に記載されたURLからアクセスすることで感染
Copyright © 2017 独立行政法人情報処理推進機構
ランサムウェアの脅威
ランサムウェアの感染経路
ネットワークからの感染・ネットワークに繋がっているだけで感染
⇒ WannaCryptor, Petya亜種
Copyright © 2017 独立行政法人情報処理推進機構
ランサムウェアの脅威
ランサムウェアの種別例
Locky
・ファイル暗号化型
・メール(添付ファイル)で拡散
・違和感のない⽇本語
・2016年2⽉ごろから国内で拡散
Copyright © 2017 独立行政法人情報処理推進機構
ランサムウェアの脅威
ランサムウェアの種別例
WannaCryptor
・ファイル暗号化型
・2017年5⽉中旬に世界中で被害が拡散
・今まで⾒られなかった「⾃⼰増殖型」
・⽇本語を含めた多⾔語に対応
Copyright © 2017 独立行政法人情報処理推進機構
ランサムウェアの脅威
ランサムウェアの種別例
WannaCryptor
・Windows Updateができていなかった。
・メール(添付ファイル含めて)を開いていない。怪しいサイトに接続していない。
・パソコンはモデムに直結していた。携帯電話回線を利⽤したパソコンだった。
IPAに寄せられた相談で確認できたこと
・安心相談窓口だより「 WannaCryptorの相談事例から学ぶ一般利用者が注意すべきセキュリティ環境」
https://www.ipa.go.jp/security/anshin/mgdayori20170713.html
Copyright © 2017 独立行政法人情報処理推進機構
ランサムウェアの脅威
ランサムウェアの種別例
Petya亜種
・端末ロック型
・WannaCryptorの⼿⼝を模倣+ PsExecやWMIC*といった正規のWindowsツールも利⽤
・2017年6⽉下旬に、欧州各国を中⼼に感染被害を確認
* : Windows Management Information Command-lineの略
Copyright © 2017 独立行政法人情報処理推進機構
ランサムウェアの脅威
・2017年1月、ワシントン警察の防犯カメラのストレージ内データが暗号化され、システムが使えなくなった
・市内全域で、ストレージデバイスの約70%が感染
・公共の場に設置された187台のうち、123台が記録できず
・Washington Post https://www.washingtonpost.com/local/public-safety/hackers-hit-dc-police-closed-circuit-camera-network-city-officials-disclose/2017/01/27/d285a4a4-e4f5-11e6-ba11-63c4b4fb5a63_story.html
ランサムウェア感染事例
Copyright © 2017 独立行政法人情報処理推進機構
ランサムウェアの脅威
・2016年7月〜8月
・神戸大学の業務用PC2台とNAS内ファイルが暗号化
・外部サーバとの不正な通信が行われているという指摘より判明
・拡張子は「zepto」に書き換えられていた
ランサムウェア感染事例
・Security NEXT 複数端末がマルウェア感染、ランサムウェア被害も - 神戸大
http://www.security-next.com/073677
Copyright © 2017 独立行政法人情報処理推進機構
ランサムウェアの脅威
ランサムウェアの感染デモ(動画)
・動画はこちら
⇒ 安心相談窓口だより「IPAに寄せられているランサムウェアの相談について」
https://www.ipa.go.jp/security/anshin/mgdayori20170515.html
Copyright © 2017 独立行政法人情報処理推進機構
ランサムウェアの対策
ランサムウェア感染による被害を防ぐため
1.セキュリティソフトを導入する
2.OSおよび利用ソフトウェアを最新の状態にする
3.メールの添付ファイル、本文中のURLに注意する
4.重要なファイルを定期的にバックアップする
⼀般的なウイルス対策が有効!
Copyright © 2017 独立行政法人情報処理推進機構
ランサムウェアの対策
暗号化されたファイルを元通りにすることは⾮常に困難
復号ツールが提供されていないケースが多い…
暗号を解く鍵は攻撃者が持っている…?
Copyright © 2017 独立行政法人情報処理推進機構
ランサムウェアの対策
1.バックアップに使用する装置・媒体は、バックアップ時のみパソコンと接続する。
2.バックアップに使用する装置・媒体は複数用意し、バックアップする。
3.バックアップから正常に復元できることを定期的に確認する
通常時はランサムウェアの暗号化対象にならないように、パソコンと接続しないこと。
バックアップファイルが暗号化される危険性や、失敗する可能性も考慮し、複数バックアップを取得すること。
バックアップから復元できなければ意味がない。バックアップデータに問題ないことを、常に意識すること。
バックアップにおける留意事項
Copyright © 2017 独立行政法人情報処理推進機構
ランサムウェアの対策
NoMoreRansom プロジェクト
・ランサムウェア対策特設ページhttps://www.ipa.go.jp/security/anshin/ransom_tokusetsu.html
・ランサムウェアで暗号化されたファイルを復号するツールの調べ⽅https://www.ipa.go.jp/security/anshin/tips/nmr_toolnavi.html
Copyright © 2017 独立行政法人情報処理推進機構
情報セキュリティマネジメント試験
◆試験実施⽇◆
・個⼈情報を扱う全ての⽅・業務部⾨・管理部⾨で情報管理を担当する全ての⽅
◆受験をお勧めする⽅◆
IT利⽤部⾨の情報セキュリティ管理の向上に役⽴つ国家試験あらゆる部⾨で必要な、情報セキュリティ管理の知識を体系的に習得できます。
年2回実施(春期・秋期)春期: 4⽉第三⽇曜⽇秋期:10⽉第三⽇曜⽇
パソコンを利⽤して受験するCBT⽅式なので、都合の良いときに受験可能!お申込みはiパスWebサイトで常時受付中!
(
うえみね
あい)
すべての社会⼈・学⽣「iパス」は、ITを利活⽤する
が備えておくべきITに関する基礎的な知識が証明できる国家試験です。
試験の主なメリット
仕事に役⽴つ セキュリティに強くなる 就職に役⽴つ
戦略、財務等幅広い出題
セキュリティを積極出題
エントリーシート等活⽤
公式キャラクター
上峰
亜衣
Copyright © 2017 独立行政法人情報処理推進機構
ご参考
ランサムウェアに関するその他公開情報
2015年6⽉の呼びかけ「 パソコン内のファイルを⼈質にとるランサムウェアに注意! 」
http://www.ipa.go.jp/security/txt/2015/06outline.html
2016年1⽉の呼びかけ「 ランサムウェア感染被害に備えて定期的なバックアップを 」
http://www.ipa.go.jp/security/txt/2016/01outline.html
http://www.ipa.go.jp/security/topics/alert280413.html
【注意喚起】 ※2016年4⽉「 ランサムウェア感染を狙った攻撃に注意 」
Copyright © 2017 独立行政法人情報処理推進機構
ご参考
ランサムウェアに関するその他公開情報
2017年1⽉ テクニカルウォッチ「ランサムウェアの脅威と対策」
https://www.ipa.go.jp/security/technicalwatch/20170123.html
Copyright © 2017 独立行政法人情報処理推進機構
ランサムウェアの脅威
・Itmediaランサムウェアに感染した病院、身代金要求に応じる
http://www.itmedia.co.jp/enterprise/articles/1602/19/news063.html
ランサムウェア感染事例
・米ロサンゼルスの病院内システムがランサムウェアに感染してダウン
・病院側はやむなく要求に応じて、身代金40ビットコイン(1万7000ドル相当)を支払う。
・幸い、患者の診療には影響がなかった
Copyright © 2017 独立行政法人情報処理推進機構
ランサムウェアの脅威
31
・サンフランシスコ市交通局(SFMTA)が運営する「サンフランシスコ市営鉄道(Muni)」の公共システムが暗号化
・券売機が稼動せず、乗客のため改札を無料で開放
・7万3000ドル(約810万円)の身代金を要求してきた
・The San Francisco Examinerhttp://www.sfexaminer.com/alleged-muni-hacker-demands-73000-ransom-computers-stations-restored/
ランサムウェア感染事例