ランサムウェアウイルス

ランサムウェアとは

ランサムウェアウイルスはドキュメントを破壊して使用できなくする種類のマルウェアですが、ユーザーは引き続きコンピュータにアクセスできます。 ランサムウェア攻撃は具体的に指定された支払い方法で被害者に身代金を支払うよう強要するものであり、ユーザーは支払い後にデータへのアクセスが可能になる場合もあります。 残念なことに、駆除ツールでランサムウェアを復号することはできません。

ランサムウェアは、コンピュータをロックすることでユーザーがデバイスやデータにアクセスできないよう制限するマルウェアの一種です。 被害者は、逮捕を回避してコンピュータを解除するために「罰金」を支払うよう要求する、地域の法執行機関を装ったメッセージを受け取ります。

ランサムウェアの種類

以下に、すべてではありませんが、有名なランサムウェアウイルスの種類をいくつかご紹介します。

Petya

Petya は、侵害先のコンピュータのファイルを暗号化するトロイの木馬型ランサムウェアです。  WannaCry と同様、Petya も自身を拡散する手段の 1 つとして EternalBlue エクスプロイトを利用します。ただし、Petya は従来の SMB ネットワーク拡散手法も利用するため、EternalBlue へのパッチを適用済みでも企業内で拡散できます。

詳細はこちら

WannaCry

WannaCry は Windows コンピュータの重大な脆弱性を悪用して企業のネットワーク内に自身を拡散する機能があるため、他の一般的なランサムウェアよりもはるかに危険です。この脆弱性には 2017 年 3 月に Microsoft 社からパッチが配布されました(MS17-010)。「EternalBlue」と呼ばれるこのエクスプロイトは、 Shadow Brokers と呼ばれるグループによる最近の一連のリークの中で 4 月にオンラインで公開されました。Shadow Brokers はこのデータをサイバースパイグループ Equation から盗んだと主張しています。

WannaCry は、176 種類のファイルを検索して暗号化し、ファイル名の最後に .WCRY と追加します。 その後 300 米ドルの身代金をビットコインで支払うように要求します。 身代金要求メッセージには、3 日経過すると身代金額が倍になると記載されています。 また、7 日経っても支払われない場合には、暗号化されたファイルが削除されるとも書かれています。 ただし、シマンテックの調査では、このランサムウェア内にファイルを削除するコードは見つかっていません。

詳細はこちら

シマンテックがランサムウェアからお客様を守る方法

ランサムウェアを防ぐには、すべての制御ポイントで多層的な防御が必要です

電子メール

Symantec Email Security.cloud、Symantec Messaging Gateway

  • ファイル内またはドキュメント内の悪意の兆候を静的に分析
  • 悪質な可能性のあるスクリプトをメールが配信される前にサンドボックス内でデトネーションし、悪質なふるまいの兆候が明らかであればブロック
  • メールが配信される前にリアルタイムリンク追跡機能で悪質なリンクをブロックし、配信後のクリック時にリンクを分析

Web

Symantec Secure Web Gateway ソリューション1

  • コマンドアンドコントロールや暗号化サーバーを含む悪質なサイトをブロック
  • 多層的なライブ脅威フィードを使用して、ファイルに未知の URL による疑わしい動作やランサムウェアによる活動がないかを分析
  • マルウェア分析はランサムウェア特有の動作を探し、未知のファイルを配信する前にサンドボックス内でデトネーション

エンドポイント

Symantec Endpoint Protection 142、ATP: Endpoint(EDR)

  • 高度な機械学習でポリモーフィック型のマルウェアを検出
  • エミュレータが回避型のマルウェアを圧縮解除し、ふるまい分析がランサムウェアの活動を検出
  • IPS が暗号化キーをダウンロードしようとするランサムウェアをブロック
  • ランサムウェアが検出されたらエンドポイントを隔離して水平移動を阻止
  • すべてのエンドポイントでランサムウェアの IoC を捜索

ワークロード

Symantec Data Center Security: Server Advanced

  • 「すぐに使える」IPS ルールでランサムウェアの実行可能ファイルがシステム上に投下または実行されるのを防止
  • 包括的な IPS 保護を使用していないお客様でも、ポリシーを配備して特定のマルウェアの実行可能ファイルをブロック可能
  • 追加のルールを適用して、インバウンドとアウトバウンドのすべての SMB トラフィックをブロック
  • 実行可能ファイルのハッシュをグローバルな実行対象外リストに追加することで、ランサムウェアもブロック可能

詳細はこちら

『2018 年インターネットセキュリティ脅威レポート』

ランサムウェアがコモディティ化し、身代金の金額が減少している一方で亜種は 46% 増加している。

レポートを読む

ブログ

WannaCry ランサムウェア: Lazarus グループとの関係が濃厚に

コードとインフラの類似性が、Sony Pictures 社とバングラデシュ銀行への攻撃に関与しているグループとの緊密なつながりを示しています。

An Integrated Defense Strategy to Fight Ransomware at Every Attack Point(統合された防御戦略により、すべての攻撃ポイントでランサムウェアと戦う)

シマンテックの高度なランサムウェア保護ソリューションは、すべての制御ポイントに統合された防御を提供します。

Data Center Security Server Advanced は WannaCry も遮断

シマンテックが WannaCry ランサムウェアへの保護をどのように提供するかを詳しく説明します。

WannaCry Ransomware: Top 10 Ways Symantec Incident Response Can Help(WannaCry ランサムウェア: Symantec Incident Response が役立つ方法トップ 10)

IR が今後のランサムウェア攻撃をどのように検出し、修復し、保護するかをご紹介します。

WannaCry Ransomware: 6 Implications for the Insurance Industry(WannaCry ランサムウェア: 保険業界における 6 つの影響)

この記事では、保険業界が直面しているサイバー攻撃の新たなリスクについて説明しています。

Can files locked by WannaCry be decrypted: A technical analysis(WannaCry でロックされたファイルは復号できるか: 技術分析)

WannaCry ランサムウェアワームは、拡散が始まって以来世界のニュースを独占しています。

WannaCry ランサムウェアに関する注意事項

このランサムウェア攻撃の発生状況と、同様の攻撃からネットワークを保護する方法についてご説明します。

シマンテックは多層型の防御により、複数の製品ライン全体でランサムウェアからお客様を保護し、電子メール、Web、エンドポイント、データセンターサーバーなどの複数の攻撃ベクトルとターゲットを守ります。 また、SONAR の動作検出テクノロジによって、感染がプロアクティブに阻止されています。

エンドポイント: Symantec Endpoint Protection とノートン
Symantec Endpoint Protection (SEP)と ノートン は、WannaCry が最初に姿を見せる前の 4 月 24 日から、さまざまな技術を組み合わせて WannaCry によるあらゆる脆弱性の悪用をブロックしています。実際、SEP に含まれる高度な機械学習機能は、パッチが配布される前のすべての WannaCry 感染を、更新を行うことなく単独でプロアクティブにブロックしました。 SEP 14、SEP Cloud、SEP Small Business Edition を含む SEP のすべてのバージョンには、WannaCry に対して利用できるこれらの自動保護が搭載されています。 詳しくは、下の詳細と推奨事項のセクションをご覧ください。

電子メール: Symantec Email Security.cloud と Symantec Messaging Gateway
Symantec Email Security.cloud  と Symantec Messaging Gateway  製品は、WannaCry のメールベース攻撃に対する自動保護を提供します。

Web: Symantec Secure Web Gateway
Symantec Secure Web Gateway (SWG)は、ランサムウェアが含まれている可能性のある悪質な Web サイトへのアクセスとダウンロードをブロックします。SWG ソリューションには、ProxySG、WSS、GIN、コンテンツ分析とマルウェア分析、セキュリティ分析、SSLV が含まれています。

ワークロード: Symantec Data Center Security: Server Advanced
Symantec Data Center Security: Server Advanced  の「すぐに使える」侵入防止ポリシーは、WannaCry をブロックします。Symantec DCS:SA ポリシーの 3 つのレベルである Windows 6.0(およびそれ以降)のベーシック、ハードニング、ホワイトリストはすべて、WannaCry ランサムウェア攻撃によってシステムに悪質な実行可能ファイルが投下されるのをブロックします。 包括的な侵入防止機能を配備していないお客様でも、標的型の侵入防止ポリシーを適用してランサムウェアの実行をブロックできます。

注: 詳細と手順については、 Data Center Security Server  のランサムウェアに関するブログをご覧ください。

エンドポイント: Symantec IT Management Suite
Symantec IT Management Suite (ITMS)は、エンドポイントとデータセンターサーバーに脆弱性パッチと更新を提供します。Microsoft Windows SMB Server のセキュリティ更新(4013389)のパッチ(WannaCry への保護を提供)は 3 月に Microsoft 社から公開され、ITMS は 同日からこのパッチに対応しています。

注: ITMS 7.5 は Windows 7/8.1 システムにパッチを適用しますが、ITMS 7.6 以降は Windows 10 システムにパッチを適用する必要があります。

サイバーセキュリティサービス: お客様はシマンテックの Managed Security Services を利用して WannaCry のアラートを監視し、企業内に拡散したランサムウェアを検出できます。また、シマンテックは WannaCry 被害者への準備、捜索、レスポンスなどのサービスを含むインシデントレスポンスサービスも提供できます。

シマンテック製品が Wannacry やその他のランサムウェアからお客様をどのように守るかについての 詳細な概要 をご覧ください。

Symantec Endpoint Protection およびノートンをお使いのお客様への詳細と推奨事項

包括的でプロアクティブな保護の実現のために、シマンテックはお客様が以下のテクノロジを有効にすることをお勧めします。

  • 侵入防止
  • SONAR の動作検出テクノロジ
  • 高度な機械学習

注: Symantec Endpoint Protection のお客様は、高度な機械学習によるプロアクティブな保護を活用するために、SEP 14 に移行することをお勧めします。