ランサムウェアの被害が広がっています。ランサムウェアは、不正送金を行うバンキングトロージャン等と異なり、被害者が利用するシステムや、オンラインサービス利用状況にかかわらず、マルウエア感染をマネタイズ(現金化)します。サイバー犯罪の視点で考えると、このような特性を持ったランサムウェアの被害は、これからも拡大していくものと考えられます。
ランサムウェアに感染した際の対処を考えると、なによりもデータ保護が優先課題となります。本稿はこのような視点から、一般的になったクラウドストレージの利用も考慮し、ランサムウェアに感染した際の対応の手順を考察しました。
ここでご紹介する方法では対処できないケースもあると思いますが、ウィルスを駆除するという対処方法ではなく、データの保護を最優先に対処することで、データを救えるケースが増えると考えています。
#1 まず、ネットワークを遮断する(特にクラウドストレージを使っている場合)
クラウドストレージを利用している場合、PC 上のローカルファイルとクラウドストレージを同期させる利用方法が一般的です。この場合、ローカルのファイルが暗号化されたとしても、クラウド側のファイルが無事であればデータ復旧は容易です。
つまり、クラウドストレージを使っている場合の最優先事項は、クラウドストレージの汚染を最小限にとどめることにあります。このためには、ネットワークを遮断することが最も確実で効果的な方法だと考えられます。この対処は、イントラネットのファイルサーバーを利用しているにも同様の効果が期待できます。
また、クラウドストレージが汚染されしまった可能性を考えた場合、クラウドストレージを共有する PC やデバイスをネットワークから遮断することも重要となります。オフライン(電源断を含む)の PC やデバイスは、クラウドストレージとの同期を行っていないので、最も信頼できる状態にあると考えられます。
なお、OneDrive for business では、デフォルトでファイルの履歴管理を行うので、ランサムウェアに汚染されたファイルも復旧できる可能性があります。削除されたファイルも、OneDrive for Business のごみ箱に入っていれば復旧可能です。OneDrive では、Office ファイルに対しては履歴管理を行っていますが、他のファイルについては履歴管理が行われません。
OneDrive for Business で以前のバージョンのドキュメントを復元する
#2「フルスキャン」ではなく「PC を初期状態に戻す」を利用する
ランサムウェアに感染したということは、アンチウィルス等のセキュリティソフトのシグニチャが対応していない状況です。この状況でディスクのフルスキャンを実施しても、ランサムウェアを検出できる可能性はほとんどありません。結果を待っている間に、ファイルの汚染が進む可能性があるので、フルスキャンは有効な対策とは言えません。
ランサムウェアを確実に消し去るためには、システムのクリーンインストールが最も確実ですが、クリーンインストールでは PC 上の重要なデータを救うことができません。Windows 8 から導入された「PC を初期状態に戻す」は、データを消さずにシステムを初期状態に戻すもので、システム、ドライバー、デスクトップアプリが初期化され、ランサムウェアも消えることになります。ただし、ユーザー領域に何らかの攻撃が残っている可能性があるので、これが再感染の糸口にならないように注意する必要があります。例えば、ホームページのレジストリに攻撃サイトの URL が残っている場合、ブラウザを立ち上げただけで再感染する可能性があります。
このような再感染を防ぐためには、システムが復旧してもネットワークに接続せず、まずは重要なデータをバックアップし、その後でクリーンインストールを実施するのが良いと考えます。ライセンスやアカウントの認証でインターネット接続が避けられない場合は、ブラウザを立ち上げないように注意します。
また、クラウドストレージを使っている場合は、ローカルのファイルを捨て、クラウドから全てのファイルをダウンロードします。ローカルファイルが汚染されていたり、マルウエアが追加されていた場合、これらがクラウド上にアップロードされ、クラウドストレージや他のデバイスが汚染されることを防ぐためです。
#3 クラウドベースのソフトウェア
Office 365 等のクラウドベースのソフトウェアは、インストール用のメディアが必要ないので、「PC を初期状態に戻す」を実行し、必要なソフトウェアが消えた場合でも、容易に再インストールが可能です。例えば、出張中のようにインストールメディアが手元にない場合でも、クラウドからインストールができるため、クリーンインストールや「PC を初期状態に戻す」を使った対処が容易になります。
インストールをせずに、オンライン版が利用できる場合は、デスクトップアプリのインストールを待つ間でも、オンライン版を使って作業を継続できる可能性があります。
#4 UEFI Secure Boot を有効にしておく
Windows 8 から導入された UEFI Secure Boot を有効にしておくことで、rootkit 等への懸念を(現実的なレベルで)排除することができます。ハードウェアによっては、対応していない場合もありますが、利用できる場合は、UEFI Secure Boot を有効にしておくことで、事後対処が楽になります。
#5 Outlook on the web(OWA)の利用
メールクライアントに Outlook 等のデスクトップアプリを使っている場合、メールクライアントを再インストールすると、メールボックスの同期が必要になります。この際に、同期が済むまでは最新のメールが見られない等の問題が発生します。このような場合に、Outlook on the web(旧 OWA: Outlook Web Access)が便利です。
Outlook on the web は、ブラウザを使ってメールサーバーにアクセスします。すべてオンラインで処理されるので、常に最新のメールボックスで操作することができます。インタフェースも使いやすいので、様々なケースで使っていただけると思います。
むすび
ランサムウェアに限らず、まずはマルウエアには感染しないことが大切です。そのためには、OS(Windows)やアプリケーション、セキュリティソフトを最新の状態に保つことが重要となります。一方で、適切な対策をしている場合でも、ゼロディ攻撃やソーシャルエンジニアリング等などにより、攻撃の被害にあうことも想定する必要があります。
マイクロソフトでは、Protect – Detect – Respnond という考え方を提唱しています。PreBreach(侵入前の対処)にあたる Protect(防御)をより確実なものに維持・向上させるとともに、PostBreach(侵入後の対処)とし侵入を Detect(検知)し、Respond(対応・対処)を迅速に実施できることが重要になっています。
この Detect – Respond については、ATA(Advanced Threat Analytics)に続いて、Windows Defender ATP がリリースされました。これらのシステムは、早期に侵入を発見し、確実な対処を行う上で、重要な情報を提供することができます。ランサムウェアの対応が済んだ後に、関連するマルウエアなどの侵入が残っていないことを確認をする上でも、重要なツールになるものと考えています。
Windows Defender Advanced Threat Protection (ATP)
本稿でご紹介をした内容も、Response を考える上での参考になればと考えています。