WannaCryはランサムウェア攻撃終焉の始まりかComputer Weekly

大きな被害をもたらしたWannaCryは、実はお粗末なものだった。さらに、WannaCryの犯人は重大なミスを犯した。これが、ランサムウェア攻撃にとって分岐点となるかもしれない。

» 2017年07月19日 10時00分 公開
[Warwick AshfordComputer Weekly]
Computer Weekly

 ランサムウェアは一般的なサイバー攻撃の1つになったが、「WannaCry」の出現によって今後変わるかもしれない。ソフトウェアセキュリティ企業Trend Microのリック・ファーガソン氏は、ユーロポール(欧州刑事警察機構)のセキュリティアドバイザーとして、専門家の立場からそうコメントした。

Computer Weekly日本語版 7月19日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版 7月19日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。

ボタンボタン

 サイバーセキュリティ関連のカンファレンス「Infosecurity Europe 2017」(英ロンドン、2017年6月)で、同氏は「WannaCryは、非常に完成度の高い武器を悪用しようと試みていたが、手口はいかにも素人くさいものだった」と指摘した。

 「コーディング、暗号化、復号方式はぞんざいだし、鍵の管理や復号のプロセスの設計もお粗末だった」

ランサムウェアの知名度向上

 WannaCryには2つの肯定的な面があるという。1つ目は、各種メディアがこの攻撃に関心を寄せたために、ランサムウェアのプロファイルを強化できたことだとファーガソン氏は話す。

 「今回のことで、脆弱(ぜいじゃく)性管理、パッチ管理、バックアップ管理に注意を払う個人や団体が増えることが期待される。従って、WannaCryには良いことも決して少なくない」と同氏は指摘する。

 ファーガソン氏によると、2016年から2017年前半にかけて新種のランサムウェアが急増していたが、2017年後半には頭打ちになり、減少に向かう可能性すらあるという。

 「ランサムウェアの拡大と投資の比率の増大は、長くは続かないだろう。特に身代金の支払いを拒否する個人や組織が増えているから」とファーガソン氏は予測する。ただし、攻撃の方法としてランサムウェアが使われる件数そのものは減少に向かうかもしれないが、攻撃者は金もうけができる別の方法を考えようとするだけだと、同氏は警告する。

ランサムウェアの「信頼性」の破壊

 米NSA(国家安全保障局)によって開発されたといわれ、「Shadow Brokers」を名乗るハッカー集団が暴露したエクスプロイトを利用する貧弱な試みは、ランサムウェアが依存している信頼性を損ねた。

 「WannaCryの最大の問題は、ランサムウェアが前提としている信頼のモデルが崩れたことだ。つまり、身代金を支払えばデータが復元されるという事実によって初めて成り立つ攻撃なのに、その前提が崩れた」とファーガソン氏は説明する。

 「だから、身代金を支払ってもデータを取り戻せるとは限らないということが明らかになるほど、被害者が金を払う可能性が下がる」と同氏は続ける。

 ファーガソン氏によると、これが150カ国で20万台以上のコンピュータに被害をもたらした2017年5月中旬のWannaCry攻撃がもたらした最もポジティブな結果だという。

 「信頼モデルを崩壊させることは、犯罪者にとっては金の卵を産むガチョウを自ら殺すようなものだ。なぜなら、身代金を払ってもデータが取り戻せる保証はないことに被害者が気付くからだ。すると人々は、別の方法で被害を軽減させたりデータを回復させたりできないかと考えざるを得なくなる」と同氏は語る。

データのバックアップとアクセス制御

 ランサムウェアの脅威が世間に広く知られるようになったことで、「No More Ransom」イニシアチブなど、業種の壁を越えたコラボレーションが幾つか見られるようになったとファーガソン氏は話す。これはランサムウェア被害者の救済を目的としたオンラインポータルで、被害者が身代金を支払わずにデータを回復するのを支援する。

 このポータルは、オランダ警察、ユーロポール、Intel Security(現「McAfee」)、Kaspersky Labが協力して設立したもので、一般の人々に広くランサムウェアの危険性を伝えることもその使命としている。その後、他のパートナーもサイトの運営に加わった。

 ファーガソン氏は、定期的にデータをバックアップし、そのバックアップをオフラインに保存することを保証すれば、身代金を払ったりデータを失ったりする可能性を下げられると提言する。

 「バックアップ体制を見直し、バックアップのメカニズムをオフラインで少なくとも1つは常に配備していることを確認しておけば、データ復旧の可能性が高まる」と同氏は説明する。

 ファーガソン氏はまた、データへのアクセス制御の体制を見直し、アクセス権が必要な従業員だけに与えられていることを確認するように勧告している。「最小権限の原則に従い、ファイルを参照できれば十分な人には読み取り専用のアクセス権を与えることだ」と同氏は付け加える。

 結局のところ、最新のパッチを常に適用していることを確認すると同時に、従業員全員に、最新の脅威に対応する方法の伝達を徹底する必要があると同氏は語る。

 全てのシステムとソフトウェアを常に最新のパッチを適用した状態に保つことが不可能なことはファーガソン氏も認めている。それでも、最も脆弱な部分にはパッチを適用しなければならないと同氏は話す。

 「われわれはパッチ管理に注目し過ぎている。脆弱性管理にもっと目を向けなければならない。次の2つを確認することが大切だ。1つは、組織内にどのような脆弱性が存在するのか。もう1つは、その脆弱性を突いた攻撃の被害を軽減するために可能な対策は何かということだ」と、同氏は締めくくった。

別冊Computer Weekly イレージャーコーディングのススメ(転載フリー版)(転載フリー版)も公開中!

今や、“RAIDはリスク”の時代だ。RAIDはデータ保護手法として必ずしも最適ではないばかりか、トラブル要因となる。RAIDに翻弄されたFacebookの事例から、HDDおよびフラッシュストレージにおけるRAIDの問題を紹介する。

※本PDFは、TechTargetジャパン会員でなくても無料でダウンロードできます。


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ