- 2017/01/25
- ランサムウェア
ランサムウェアが共有ドライブやバックアップもターゲットに
Post by : Yoel Eilat
共有ネットワークドライブもランサムウェアのターゲットに
バックアップファイルは失われたデータを復元するために重要です。従来からの伝統的方法ですが、企業は常にファイルをバックアップする必要があります。しかし、ランサムウェアの普及により、企業はバックアップの方法を再度考え直す必要がでてきました。いくつかのランサムウェアは進化を遂げており、ローカルドライブだけでなく、共有ネットワークドライブもターゲットにしています。例えば、Mac OSを対象とした“KeRanger”というランサムウェアは、暗号化されたTime Machineでのバックアップも無効化する機能も含まれています。※Time MachineはMac OS Xに含まれているバックアップソフトウェアで、外付けハードドライブと連携します。
共有ネットワークドライブを狙ったランサムウェア“Jackpot”
ランサムウェアは、コンピュータのハードドライブやマッピングされたドライブにのみ対象ではなくなりました。 共有ネットワークドライブも同様に対象です。“Locky”などの新しい種類のランサムウェアは、感染時にコンピュータに接続されたファイルサーバーやリムーバブルドライブなどの共有ネットワークドライブを暗号化するように設計されています。 共有ファイルの暗号化は、組織の最悪のシナリオです。ネットワーク上の一人の従業員がランサムウェアを実行するだけで、会社全体に影響を及ぼすのことになります。
クラウドバックアップサービスもランサムウェアの対象になります
クラウドバックアップサービスは、ランサムウェアの対象から免れられる分けではありません。 攻撃者は、組織がクラウドを使用してデータを保存し、クラウドに保管されているファイルにランサムウェアを感染させることができることを知っています。“Virlock”の含むいくつかのランサムウェアの種類は、一般的なクラウドサービスのデスクトップ同期クライアントを使用して、クラウドに格納されたファイルにアクセスして暗号化します。 例えば、ローカルで作業しているGoogleドキュメントが暗号化されている場合、暗号化されたファイルはGoogleドライブと同期されます。
古いバージョンのファイルがドライブに保存されていれば、手動でダウンロードすることができます。 ドライブにはドライブ全体を自動的に復元する機能がないため、手動で各ファイルをダウンロードする必要があります。 組織が数ギガバイトのデータをダウンロードする場合、このプロセスは非常に時間がかかります。
すべてをバックアップすることは実現可能ではありません
ランサムウェアは、数多くのファイルを対象としています。それには、Word文書、PowerPointプレゼンテーション、写真、Excelスプレッドシートなどの明確なものから、css、java、js、mp3、msg、pdb、php、png、ppt 、ps、sav、tif、tiff、wavファイルまで含まれます。しかし、一部の組織では、重要なファイルのみを定期的にバックアップするだけです。バックアップ非対象のデータは、それほど重要度が高くない可能性があります。これは、重要度が高くないと判断されたデータが、ランサムウェアで暗号化されていると失われる可能性があることを意味します。
より多くのファイルをバックアップすることは、より多くの貯蓄、つまりより多くのお金につながります。 IT予算にはサーバーを追加するほどの余裕はなく、クラウドストレージは安いものの、無料ではありません。どのファイルをバックアップするかを把握することで、セキュリティ部門は、ランサムウェアが暗号化するファイルを推測させます。このアプローチは、悪意のある人がそれらを暗号化する前に、どんなファイルをバックアップするかを決定しようとする善良な人たちと、ランサムウェアの作成者とセキュリティ専門家に一定の距離を保っています。
バックアップ頻度を増やすことは可能ですが、欠点があります。プロセスでCPUとストレージコンポーネントを使用する必要があるため、頻繁なバックアップはコンピュータのパフォーマンスに影響を与える可能性があります。頻繁なバックアップでもストレージリソースを消費する可能性があります。データをバックアップする一般的なアプローチは、ファイルのいくつかの以前のバージョンを使用可能にすることです。
つまり、データを頻繁にバックアップする組織では、格納する必要がある複数のバージョンがあり、より多くのストレージが必要になります。さらに、ランサムウェアの攻撃後では、暗号化されたファイルの古いバージョンを復元することは可能ですが、バックアップが完了する前にファイルに行った変更は失われます。
ホワイトペーパー「ランサムウェアとは何か」
ランサムウェアによる攻撃は、ほかの攻撃手法にくらべ手間がかからず、その一方で攻撃者は、ずっと大きな利益を手に入れています。スパム型の攻撃はその効果がほぼ薄れており、また、クレジットカードや銀行口座の情報を盗む手口は、盗んだ情報を使って実際に金を盗み取るために、一定の犯罪基盤を必要とします。
では、ランサムウェアは、他のマルウェアとは何が違うのか?
本書から3つの特徴を学ぶことができます。
https://www.cybereason.co.jp/product-documents/white-paper/1171/
