Cryptoランサムウェア(暗号化型ランサムウェア)に狙われる医療機関の報道が最近、複数報告されています。トレンドマイクロでは、この脅威に関して多くの問い合わせを受けています。暗号化型ランサムウェアを含むランサムウェアは、特に新しい脅威でなく、かつての「偽セキュリティソフト(FAKEAV)」から進化したものです。サイバー犯罪者にとっては利用しやすい攻撃であるため、現在では広くまん延しています。加えて、ファイルの暗号化機能により 暗号化型ランサムウェアは特に厄介な脅威へと変貌することになりました。
弊社では暗号化型ランサムウェアの増加を確認しています。実際、この脅威が 2016年に急増することを弊社の最高技術責任者である Raimund Genes は予測しており、2016年に入り 2カ月目にしてその予測は実証されつつあるようです。この脅威の増大の原因は以下にあると考えられます。
- サイバー犯罪者にとって収益できる可能性が極めて高いこと
- ソーシャルエンジニアリング手法が向上したために感染率が増大したこと
- 攻撃が巧妙で、十分な活動資金を持つサイバー犯罪者が、世界的に分散して存在していること
- 医療機関は絶対にオフラインにできないという致命的なシステムを持つこと
ここ数カ月でランサムウェア関連の攻撃が増加している理由は、こうした要因すべての組み合わせだと考えられます。弊社の「Smart Protection Network™(SPN)」により、暗号化型ランサムウェアの脅威状況が確認されています。2013年以降に検出された従来のランサムウェアと暗号化型ランサムウェアの比率は、80 対 20 から 20 対 80 へと、現在急激に上昇しています。
図1:ランサムウェアと暗号化型ランサムウェアの比率の推移
サイバー犯罪者は、各PC や共有ドライブ内に存在する重要なファイルを暗号化することで、各組織から「人質」をとり、身代金の支払いを要求します。医療機関は、患者の個人情報のような非常に貴重な情報を保有し、また、重要なシステムを保持するため、医療機関内システムを中断するようなことになれば、その影響は計り知れません。それゆえサイバー犯罪者は、医療機関であれば通常の相場以上の身代金を要求できることに気付いており、これは最近の米国の医療センター「Hollywood hospital」や英国の「UK healthcare」への攻撃事例からも明らかです。こうした状況は、各医療機関に暗号化型ランサムウェアの攻撃に対する注意喚起を促すものであり、これは攻撃対象になった、あるいは攻撃の一部に巻き込まれたかどうかは関係ありません。もし暗号化によってシステムが停止すれば、組織にとって非常に深刻な問題を抱えざるをえなくなります。
この警告の一環として、医療機関が暗号化型ランサムウェアを検出し、その攻撃を防ぐため、多面的な対策を取っておくことをお勧めします。
- 従業員に対し、不審な Eメール(フィッシングメール)を見分ける教育を実施します。このような Eメールの多くは、ソーシャルエンジニアリングを巧みに利用してきます。Eメールには、サイバー犯罪者の手口として、危険なファイルが添付されているか、リンクが埋め込まれており、説得力のある文面でユーザにファイルを開けさせるか、リンクをクリックさせるように作られています。
- 専門技術によりフィッシングメールの検出が強化された最新のメールセキュリティ対策を導入します。サンドボックス装置を導入したメールセキュリティ対策製品によって、危険な添付ファイルを検知することができます。
- 暗号化プロセスを検知しブロックできるふるまい検知のような、特定の暗号化型ランサムウェア防止技術を持つエンドポイントセキュリティ対策製品を導入します。
- 侵入検知システム(IDS)や侵入防止システム(IPS)、ファイアウォール、侵害検知システム(Breach Detection Systems)のようなネットワーク型セキュリティ対策製品を導入します。これらは、コマンド&コントロール(C&C)サーバとの通信を検知します。
- 確実なバックアップ対策を導入します。定期的にバックアップを実施しシステムを迅速に復旧できる組織は、迅速に運営を回復させることができます。
- 共有ドライブの方針を見直し、ユーザ認証によるアクセス制限を義務付けます。
ファイル復号のための身代金を支払えば、サイバー犯罪者をつけあがらせるだけです。そうした理由から、暗号化型ランサムウェアが効果的に検出されブロックされるようになるまで、そして同時にサイバー犯罪者の逮捕および起訴が増えるまでの間は、暗号化型ランサムウェアは引き続き利用されることでしょう。それまで弊社は、迅速に脅威を検出対応し、システムを復旧する製品を提供し続けることにより、ユーザをサポートする役割を務めていきます。
参考記事:
- 「Crypto-ransomware, A Growing Threat to Healthcare」
by Jon Clay (Blobal Threat Communications)
翻訳:室賀 美和(Core Technology Marketing, TrendLabs)