【Sophos Intercept X】 身代金要求型ウィルス(ランサムウェア)とは。その対策ツールについて


SimonaR / Pixabay
身代金要求型ウィルス」と聞いて、知らない人が聞いたら、なんのことかイメージも付かないですよね。

私も初めて聞いたときは、そのひとりでした。

今回は、その「身代金要求型ウィルス」(ランサムウェア)について、特集します。

身代金要求型ウィルス(ランサムウェア)とは

身代金要求型ウィルス」の別名を、「ランサムウェア」と言います。

単語を2つに分けて、直訳すると、なんとなく意味が分かってきます。

「ランサム」<=>「身代金」+「ウェア」<=>「ソフトウェア」

「ランサム」は、「身代金」の意味で、「ウェア」は、「ソフトウェア」のことです。

その名のとおり、ある手法により、「身代金」を要求する悪意のある「ソフトウェア」であり、IT業界でいう、「ウィルス」や「マルウェア」です。

セキュリティ関係のITベンダーが、恐怖を煽るようなマーケティングをもしかしたら、ご覧になった方がいるかもしれませんが、私自身が、様々なイベントやセミナーに出て、リサーチした結論としては、本当に危ないやつです^^;

何が危ない?

何が危ないかというと、「ランサムウェア」を用いた、悪意を持った、攻撃者は、完全にビジネスとして、お金稼ぎのために、この「ランサムウェア」を活用しているのです。

「ビジネス」!としてやっている点が、恐いのです。

どうやって身代金を要求するの?

簡単な手法としては、普通のMicrosoft Office ファイル、例えば、Word や Excel ファイルを装ったランサムウェアをメールに添付して、ターゲットにした対象者に送りつけます。

こうした攻撃を、標的型攻撃といいますが、メールの受信者は、一見すると普通のファイルで、本文も英語などでなく、日本語でまともな業務に関係する文面、差出人も詐称されて、社内の知っている方からのメールアドレスで、何の疑いもなく、ファイルを開きます。

すると・・・

ファイルが実行されて、みるみるうちに、保管されたデータが、勝手に暗号化されていきます。

暗号化されるとどうなるかというと、家の鍵と一緒で、正しい鍵(復号化キー)がないと、暗号化を解除して、データを開けないのです。

それが業務でいつも使用している大事なデータやファイルだったら・・・

そうしたランサムウェアは、賢いことに、自分のPCのデータだけでなく、もし該当のPC が、ファイルサーバなど、共有フォルダに接続した状態ならば、他の場所にあるデータも含めて、勝手に暗号化してしまい、第三者もデータにアクセスできなくさせてしまうのです。

なんとなく、身代金の要求の仕方、感づいてきましたか?

そうです。

データの暗号化を解除する(元通りにする) 代わりに、身代金、つまり、お金を要求するんです。

お金を払ってくれたら、データを元に戻すよ、と脅すんです。

脅しというと、とても恐いイメージですが、実はこれ、脅しの方法は、完全にシステム(電子)化されてて、「オレオレ詐欺」みたく、怖い人から電話がかかってくるなどではなく、すべてが、PC内で、電子的にやりとりされます。

払う金額に関しても、すべてのデータを元に戻す場合は、10万円、半分だけの場合は、5万円、3分1だけの場合は、3万円など、まるで、ラベル分けされた製品のごとく、選択肢が提示されます。

中小企業や、一般の人たちをターゲットにしているものも多いので、重要なデータが戻ってくるなら、仮に個人でも、すぐ払ってしまう金額ですよね。

身代金の支払い方法は、日本円やドルでなく、実は、ビットコインという、世界的にメジャーな仮想通貨で払うケースが多くなっています。

仮想通貨の方が、犯行がトラッキングされにくいという理由があるのでしょう。

そうした、身代金の支払い方法や、データの解除方法(元通りにする方法)などに関して、不明な点などがある場合は、サポートセンターにコンタクトできるようにもなっています。

実際、サポートセンターはちゃんと機能しているケースが多いようです。

少し長くなりましたが、どうです?

コンピュータウィルスの分野も、進んだ状況になってますよね。

繰り返しになりますが、何が危ないか、恐いか、というと、こうした一連の攻撃者の活動が、完全にビジネスとして、機能している点です。

※画面イメージや、リサーチデータに関しては、後日添付します。

ランサムウェア対策ツール「Sophos Intercept X」

さて、前置きがかなり長くなりましたが、こうした身代金を要求する悪意あるウィルスを駆除するツールとして、ランサムウェア対策ツールが、セキュリティ・ベンダーの各社より提供されています。

今回は、その中で、Sophos社が提供する、「Sophos Intercept X」という製品の導入手順に関して、ご紹介します。

エクスプロイト対策、ランサムウェア防止、根本原因解析 | Sophos Intercept X:
We Deliver Superior Cybersecurity Outcomes for Real-World Organizations Worldwide with a Broad Portfolio of Advanced Security Products and Services.
「Intercept X」の管理サーバは、クラウド環境(データセンター)にあり、PCとは、別にサーバを買って、構築する必要はありません。

ですから、どちらかといえば、法人向けの製品ではあるのですが、1台からでも、簡単に導入できます。

Intercept X の導入準備

Intercept X を導入する準備段階として、 Intercept X のインストールプログラムをまず入手する必要があります。

Intercept X のインストールプログラム

余談ですが、今回解説する、Sophos Central(クラウド型・管理サーバ) もそうですが、クラウド化が進み、本当に管理やメンテナンスが楽になりました。

おかげで、小組織でも、大手の組織にひけを取らない、環境を整えるのも容易になっています。

ここ数年で驚くほどの進化です。

Sophos Central(クラウド型・管理サーバ)

さて、 Intercept X のインストールプログラムは、Sophos Central(クラウド型・管理サーバ)というサイトにログインして、入手します。

Sophos Central(クラウド型・管理サーバ) :
Sophos Central is the unified console for managing all your Sophos products. Sign into your account, take a tour, or start a trial from here.
初めて、Sophos Central にアクセスする場合は、アカウントを作成します。

ユーザー情報などを入力してアカウント情報を取得します。

日本語での操作を希望するならば、言語を日本語へ変更してから、取得したアカウント情報を利用して、Sophos Central に サインインします。

Sophos Central のダッシュボードが表示されましたら、左のナビゲーションメニューから、「デバイスの保護」を選択します。

Intercept X のみをインストールするなら、「Intercept X のみダウンロード」のリンクをクリックすると、Intercept X のインストールプログラムがダウンロードできます。

Intercept X のインストール(ケース1)

ダウンロードしたインストールプログラムを実行したあと、ウィザードを進めれば、簡単にインストールできます。

以下より画面イメージです。

インストールプログラムを実行すると、ウィザードが開始されます。

互換性のチェックが終わると、インストールを開始できます。

インストールが進んでいます。

インストールが完了しました。

ただ、複数台のPC がある場合は、このインストールプログラムを各PC に配信する方法を考慮する必要があります。

それを解決するために、「セットアップリンクのメール送信」という機能があります。

続きは次の項目で。

Intercept X のインストール(ケース2)

「セットアップリンクのメール送信」の機能を使い、Intercept X のインストールが必要なユーザーに、セットアップ用のリンクを送ることができます。

  1. 左のナビゲーションメニューから、「ユーザーとグループ」をクリック
  2. 該当するユーザーやグループを選択
  3. 「セットアップリンクのメール送信」ボタンをクリック
これで導入案内のメールが該当者に送信できます。

メールのサンプルです。

英語のメールですね・・・

インストールプログラムをダウンロードするためのリンクが、Mac OS X 用 と Windows 用とあります。

Intercept X で保護された状態(インストール後)

タスクトレイから、「Sophos Endpoint」のアイコンを開きます。

Intercept X で保護された状態が分かります。

バージョン情報のリンクをクリックすると、「Intercept X がインストールされています」という表示になっていることが確認できます。

Intercept X のデフォルトポリシー

Intercept X の管理者側の設定は、原則、デフォルトポリシーで問題ないでしょう。

変更する場合は、以下の手順で操作します。

設定は、Sophos Central から、「ポリシー」を選択し、「デフォルトポリシー」をクリックします。

「脅威対策」を選択し、デフォルトポリシーの設定を変更できます。

まとめ

今回解説した対策ツールにおける、機能の具体的な解説は、今回しませんでしたが、今回ご紹介した、「Intercept X」を利用することで、前段に説明した、ランサムウェア対策をすることができます。

万が一、感染しそうになった場合、感染した場合も、こうした特定の対策ツールを使うことで、予防したり、あるいは、感染経路を特定し、被害を最小限に抑えることができます。

いまや、ウィルス対策ソフト単体だけでは、セキュリティ対策として不十分な時代になっているので、東京オリンピックを2020年に控え、日本がサイバーセキュリティの標的になる頻度が高まるなか、早めの対策が必要になってきている、というのが実情です。
The following two tabs change content below.
ソニーの情報システム子会社で、5万人以上のユーザー向けの社内ヘルプデスクや、認証サーバ・メールサーバの運用を経験。その後、日本マイクロソフトや、レノボ・ジャパンで、大手法人営業のプリセールスSE を担い、ソフトウェアからハードウェアまで幅広い知識と経験を持つ。現在はIT企業、株式会社ワークスピーディーの代表取締役。 詳しくはこちら → プロフィール