2016年8月4日木曜日

Webアクセスによるマルウェア感染の対策について

過去何回かのエントリ(*1*2*3)では、標的型攻撃やランサムウェアなどのメールの添付ファイルによるマルウェアの感染の対策について述べた。今回は、Webアクセスによるマルウェア感染の対策について述べてみたい。尚、ランサムウェアやバンキングトロイなどのマルウェアの種類に係わらず、Webアクセスによって感染する全てのマルウェアに対して対策は共通だ。

Webアクセスによるマルウェア感染の主な手口には、
  1. 正規のWebサイトの改ざん
  2. 不正広告(マルバタイジング)
  3. メール本文内のURLをクリックさせることにより不正サイトに誘導
  4. SEOポイズニングやタイポスクワッティングにより不正サイトに誘導
などがある。いずれの場合も、エクスプロイトキットと呼ばれる複数の脆弱性に対する攻撃コードをパッケージ化したツールキットが使用されることが多い。エクスプロイトキットが使用する脆弱性はFlash Player、Java、Silverlightなどのブラウザプラグインの脆弱性やInternet Explorerなどのブラウザの脆弱性だが、特に最近は古いバージョンのFlash Playerを使い続けていることが最も多い感染の原因となっている。


ブラウザ毎のFlash Playerの更新方法


対策の基本は、OSやブラウザ及びプラグインを最新版に更新することだ。尚、Flash Playerでは、Windowsのバージョンやブラウザの種類により更新の方法が異なるので注意する必要がある。


IE/Edge Firefox Chrome
Windows Vista/7
ActiveX
個別にインストール・
更新
NPAPI
個別にインストール・更新
PPAPI
ブラウザに統合
ブラウザの更新で同時に更新
Windows 8.1/10
ActiveX
ブラウザに統合
Windows Updateにより更新
Windowsのバージョン、ブラウザ毎のFlash Playerの更新方法

表の様に、Chromeでは、Flash Playerが組み込まれており、ブラウザを更新することでFlash Playerも更新される。また、Windows 8.1/10のIE/Edgeでも、Flash Playerが組み込まれており、Windows Updateを行うことで、最新版に更新される。Firefox及びWindows Vista/7のIEでは、個別にFlash Playerのプラグインを更新する必要があるが、Adobe Flash Player 11.2以降では、バックグラウンドアップデートの技術が導入されており、自動的に更新をチェックし、更新があればインストールされる。

バックグラウンドアップデートが有効になっているかは、コントロールパネルからFlash Playerを選択し、Flash Player設定マネージャーの更新のタブで、「アップデートのインストールを許可する」がチェックされていることを確認する。これが有効になっていれば、画面上に何も表示されることなく定期的に更新を確認して、更新があれば自動的にインストールされる。


Flash Playerが最新版かどうかを確認する方法は、ブラウザ毎に色々あるが、各ブラウザ共通で確認する方法は、該当のブラウザで以下のURLにアクセスし、右上のVersion Informationに表示されているバージョンと下のブラウザ毎のFlash Playerの最新バージョンを比較することだ。

https://www.adobe.com/jp/software/flash/about/



ブラウザ毎のプラグインの動作


更新方法だけでなく、プラグインの動作についてもブラウザによって異なる。

Chromeでは、Chrome 45(2015年9月リリース)からNPAPIが完全に廃止されておりJava、Silverlightのプラグインは動作しなくなっている。また、Chrome 45(2015年9月リリース)から、重要でないと判断したFlashコンテンツについて自動実行しない設定が既定で有効になっているし、2016年9月-12月の四半期には、メインのFlashコンテンツについてもユーザが許可しないかぎり自動実行されないようになることが予定されている。

Firefoxでは、Flash Player以外のJava、Silverlightなどのプラグインは、初期設定が「実行時に確認」となっており、ユーザが許可しないかぎり自動実行されることはないし、2016年末までには、Flash Player以外のNPAPIプラグインは廃止されることになっている。また、Flash Playerについては、Firefox 48(2016年8月リリース)から、重要でないFlashコンテンツについて自動実行しないようになり、2017年には、すべてのFlashコンテンツについてユーザが許可しないかぎり自動実行されないようになることが予定されている。

Windows 10のEdgeでは、Flash Player以外のプラグインがサポートされておらず、Flash Playerについては、2016年8月にリリースの「Windows 10 Anniversary Update」において、重要でないFlashコンテンツについて自動実行しないようになっている。

IEでは、特に制限はなくすべてのプラグインが自動的に実行されてしまう。

     
IE
Edge
Firefox
Chrome
Flash Player以外のプラグイン
特に制限なく自動実行される  
サポートしない
初期設定で「実行時に確認」となっており、自動実行しない

2016末までにサポート廃止の予定
サポートしない
Flash Player
特に制限なく自動実行される
重要でないFlashコンテンツについて自動実行しない(「Windows 10 Anniversary Update」 2016年8月リリース から)




重要でないFlashコンテンツについて自動実行しない
(Firefox 48 2016年8月リリース から)

2017年には、すべてのFlashコンテンツについてユーザが許可しないかぎり自動実行されないようになる
重要でないと判断したFlashコンテンツについて自動実行しない設定が既定で有効(Chrome 45 2015年9月リリース から)

2016年9月-12月四半期からは、すべてのFlashコンテンツについてユーザが許可しないかぎり自動実行されないようになる


このような各ブラウザの動作を見ると、やはりIEは攻撃を受け易いことがわかるし、実際にIE利用者の感染被害は多い。どうしてもIEでないと見ることの出来ないサイトを除いて、普段のデフォルトのブラウザはIE以外のブラウザを使用することを推奨する。


ゼロデイ攻撃への対策


Flash Playerの脆弱性を利用した攻撃に対する対策の基本は、プラグインを常に最新版に更新することだが、脆弱性の修正が提供されるより先に攻撃に利用されるゼロデイ攻撃もしばしば発生するし、長期間PCを起動していなかったなど、何らかの理由で更新の適用が遅れてしまうことも起こり得る。そのため、例えゼロデイ攻撃を受けたとしても、被害にあわないような対策を考えておきたい。

最も確実な対策は、Flash Playerのプラグインをアンインストールしてしまうことだ。ただ、動画ニュースサイトなど、未だにFlashがないと閲覧できないサイトも残っており、多くの人には、完全にアンインストールしてしまうのは、難しいというのが現状だろう。

エクスプロイトキットによる攻撃コードは、1x1ピクセルのiflameなどに埋め込まれ、利用者には見えない形で実行されることが殆どだ。Chrome、Firefox、Edgeの「重要でないFlashコンテンツについて自動実行しない」設定は、攻撃コードを重要でないコンテンツと判断してブロックする可能性はある。しかし、各社がどのような判定方法で、重要でないコンテンツかどうかを判断しているか、基準がはっきりしないため、より確実な対策を考えたい。

現時点で筆者が最も効果が高いと考える対策は、Chromeで、右クリックして明示的にプラグインの実行を許可する「Click-to-Play」と呼ばれる設定を行うことだ。

設定方法は、Chormeで、[設定]->[詳細設定]->[コンテンツの設定]と選択し、プラグインの設定で、「プラグインコンテンツをいつ実行するかを選択する」をチェックする。


この設定を行った状態で、Flashコンテンツのページにアクセスを行うと、以下のような状態になり、右クリックして「このプラグインを実行する」をクリックしないとFlashコンテンツが再生されない。前述したように、エクスプロイトキットの攻撃コードは、利用者に見えない形で埋め込まれることが殆どなので、この設定を行っておけば、攻撃コードが自動実行されることはなく、例え、ゼロデイ攻撃や更新の適用の遅れがあったとしても、攻撃を防ぐことが出来る。


この設定を行うと、すべてのプラグインで、実行時に右クリックが必要となる。例えば、PDF Viewerのプラグインは、右クリックすることなく実行を許可したい場合は、アドレスバーに 「chrome://plugins 」と入力し、Chrome PDF Viewerの「常に実行を許可する」をチェックする。


尚、Firefoxでも、実行時にプラグインの実行を確認するClick-to-Playの設定を行うことは可能だが、Chromeの様に要素ごとに許可するのでなく、ページ全体を許可する形となる。そのため、許可した正規のサイトが改ざんされ、攻撃コードが埋め込まれていた場合、攻撃コードも含めて許可してしまうことになる。



Firefoxでも Click to Play per-element という拡張機能を入れることにより、Chromeと同様に要素ごとにプラグインの実行を許可させることが出来る。但し、あくまでサードパーティによる拡張機能のため、今後もサポートが継続されるかには注意する必要がある。



また、脆弱性緩和ツール EMET(Enhanced Mitigation Experience Toolkit) を各ブラウザに適用することもゼロデイ攻撃への対策となる。但し、EMETを適用することでアプリケーションが動作しなくなったり、不安定になるなどの不具合も色々と報告されているので、問題発生時に情報収集して自己解決出来る人でないと使うのは難しい様に思う。尚、Edgeにはすでに必要とされるサンドボックスなどの攻撃緩和策が含まれていることから、EMETの適用は出来なくなっている。



まとめ

  1. Webアクセスによるマルウェア感染では、エクスプロイトキットと呼ばれる複数の脆弱性に対する攻撃コードをパッケージ化したツールキットが使用されることが多い。エクスプロイトキットが使用する脆弱性はFlash Player、Java、Silverlightなどのブラウザプラグインの脆弱性やInternet Explorerなどのブラウザの脆弱性だが、特に最近は古いバージョンのFlash Playerを使い続けていることが最も多い感染の原因となっている。
  2. 対策の基本は、OS、ブラウザ及びプラグインを最新版に更新することだ。尚、Flash Playerでは、Windowsのバージョンやブラウザの種類により更新の方法が異なるので注意する必要がある。
  3. 更新方法だけでなく、プラグインの動作についてもブラウザによって異なる。各ブラウザのプラグインの動作を比較すると、やはりIEが攻撃を受け易いことがわかる。どうしてもIEでないと見ることの出来ないサイトを除いて、普段のデフォルトのブラウザはIE以外のブラウザを使用することを推奨する。
  4. Flash Playerではゼロデイ攻撃もしばしば発生するし、何らかの理由で更新の適用が遅れてしまうことも起こり得る。そのため、例えゼロデイ攻撃を受けたとしても、被害にあわないような対策を考えておきたい。
  5. Chrome、Firefox、Edgeの「重要でないFlashコンテンツについて自動実行しない」設定は、エクスプロイトキットによる攻撃を重要でないコンテンツと判断してブロックする可能性はある。
  6. Flash Playerのゼロデイ攻撃対策として現時点で最も効果が高いと考えられるのは、Chromeのプラグインの設定で、「プラグインコンテンツをいつ実行するかを選択する」をチェックし、右クリックで明示的にプラグインの実行を許可しないとプラグインが実行されないように設定すること。

2016年7月25日月曜日

ランサムウェア対策としてのバックアップに関するいくつかの誤解

ファイル暗号型ランサムウェア(以下、ランサムウェア)の対策としてバックアップが非常に重要だと言われる。しかし、ネット上のランサムウェア対策としてのバックアップに関する記事には、若干の誤解があると思われるものも少なくない。このエントリでは、ランサムウェア対策としてのバックアップについて、出来る限り負担が少ない方法を考えてみる。


常時接続したディスクへのバックアップは無駄か?


ランサムウェア対策としてのバックアップに関してよく言われることに、外付けハードディスクやファイルサーバのデータも暗号化されてしまうため、バックアップに使用する装置・媒体は、バックアップ時のみPCと接続するようにし、普段はPCから切り離しておかなければならないということがある。もちろん、その方法が理想的であり、それが特に問題なくできている場合には、それを継続していくべきだが、現状の主流なランサムウェアの動作を見てみると、バックアップの方法によっては、常時接続しているファイルサーバ(NAS)や外付けハードディスクへのバックアップが必ずしも無駄とは言えないことがわかる。

現在の主流なランサムウェアは、PC上のすべてのファイルを暗号化してしまうわけではない。なぜなら、ランサムウェアの目的は、被害者に身代金を支払って貰うことであり、システムのファイルまで暗号化され、ブラウザが立ち上がらなかったり、インターネットへのアクセスが出来なくなってしまったら、被害者がビットコインを購入したり、身代金を支払うことができなくなってしまうからだ。そのため、ほとんどのランサムウェアでは、ネットワーク共有も含むすべてのドライブ上で特定の拡張子のファイルを検索し、該当したファイルのみを暗号化するという処理を行う。

暗号化の対象となる拡張子はランサムウェアの種類によって異なるが、主なものは以下の様なものだ
  • ドキュメントファイル(拡張子:txt、pdf、doc、docx、xls、xlsx、ppt、pptx など)
  • 圧縮ファイル(拡張子:zip、tar、rar など)
  • 音声・動画ファイル(拡張子:mp3、mpg、wma、mp4、mov、avi、flv など)
  • 画像ファイル(拡張子:png、gif、bmp、jpg、jpeg など)

例えば、現在、流行しているランサムウェアの1つである「Locky」が暗号化の対象とする拡張子は以下のものだ。
.mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat
また、「Locky」では、ファイル名やフルパス名に以下の様なシステムファイルに使われる文字列が含まれる場合、暗号化処理をスキップする。
tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows
出典 http://www.bleepingcomputer.com/news/security/the-locky-ransomware-encrypts-local-files-and-unmapped-network-shares/


一口にバックアップといっても様々な方法がある。一番簡単でよく行われている方法は、ファイルサーバ(NAS)や外付けハードディスクにフォルダごとコピーする方法だろう。手作業でドラック&ドロップしてコピーする以外にも、自動的にフォルダを同期するようなソフトウェアもある。また、Windows8/10に標準の「ファイル履歴」でのバックアップも変更のあったファイルを定期的にコピーするものだ。しかし、この方法では、コピー先でも拡張子は変わらないため、ランサムウェアの暗号化対象の拡張子であれば、コピー先のファイルも暗号化されてしまう。


もう一つの方法は、バックアップソフトを使用して、ドライブ又はフォルダをフォルダ構造を保ったまま1つのイメージファイルとして記録させる方法だ。

上記の「Locky」の例を見てみると、圧縮ファイル .zip .rar などは暗号化の対象になっているが、以下の様な主なイメージバックアップソフトの拡張子は暗号化の対象になっていない。
  • Acronis True Image   拡張子 .tib
  • EaseUS Todo Backup Free(家庭内のみ無料) 拡張子 .pbd
  • AOMEI Backupper(フリーソフト)拡張子 .adi .afi
現在、数百種類のランサムウェアが確認されているため、すべてを確認したわけではないが、Locky の他にもCryptoWall や TeslaCrypt 、CryptXXX など現在までに流行している主なランサムウェアでは、上記のバックアップソフトの拡張子は暗号化の対象とはなっていない。よって、これらのバックアップソフトでファイルサーバ(NAS)や外付けハードディスクなどへ定期的にバックアップを取っていれば、ファイルをバックアップから戻せる可能性がある。

ランサムウェアを解説した記事の中には、ランサムウェアがバックアップを削除してしまうと記述されたものもある。しかし、それらの記事での「バックアップを削除」とは、Windows 7及びWindows 10(Windows 8では機能が削除されている)での「以前のバージョン」機能で作成されるボリュームシャドウコピーを「vssadmin.exe Delete Shadows /All /Quiet」のコマンドにより削除することであり、バックアップソフトでのバックアップファイルを見つけて削除することではない。

上記のバックアップソフトは、世界的に有名なソフトであるため、将来これらの拡張子を暗号化や削除の対象に加えてくる可能性は十分考えられる。よって、拡張子を一般的には使われていない独自のものに変更しておけば、暗号化から除外される確率はより高まる。また、バックアップ先のフォルダ名を、例えば「Windows」などのシステムフォルダの名前にしておくのも、除外される確率を高めることになるだろう。

バックアップソフトではなく、ZIP、7-ZIP、RAR などの圧縮のアーカイブであっても、拡張子を独自のものに変更しておけば、拡張子から暗号化の対象を判断しているランサムウェアでは暗号化から除外される可能性が高い。

もちろん、今後、拡張子で判断するのではなく、実際のファイル種別を判別して暗号化の対象にするかを判断したり、最低限のシステムの起動に必要なホワイトリストされたフォルダ以外をすべて暗号化するランサムウェアが出てくる可能性もあるため、バックアップの装置・媒体は、普段はPCから切り離しておくことを基本とすべきである。しかし、そのような運用は言うのは簡単だが、実際に行うのは大変だ。筆者の様な面倒くさがりにはとても頻繁には出来ないし、ついつい後回しにしてしまう。

例えば、毎月1回、あるいは旅行で大量に写真を撮った後など、大きなファイルの更新を行った時には、一時的に接続した外付けハードディスクなどにバックアップを行い、バックアップ後はPCと切り離して保存しておく。そして、それとは別に、週1回や毎日1回、常時接続されたファイルサーバ(NAS)や外付けハードディスクへイメージバックアップを取る。バックアップソフトの多くには、スケジュールを設定し定期的にバックアップを取る機能がある。一時的に接続したディスクへのバックアップは手動にならざるをえないが、常時接続されたディスクへのバックアップなら自動化した運用も可能だ。


クラウドストレージへの同期


Dropboxなどのクラウドストレージを使用している人は多いだろう。ランサムウェアを解説した記事の中には、クラウドストレージは、クラウド上のファイルも暗号化されたファイルで同期されてしまうためバックアップ対策にはならないと解説しているものも見られる。しかし、クラウドストレージでの大量のファイルの同期(アップロード)には相当の時間がかかる。ランサムウェアの感染に気付いた直後に同期の停止を行うか、ネットワークの接続を切れば、全てが暗号化されたファイルで同期されてしまうことを免れる可能性がある。また、クラウドストレージサービスの多くは、ファイルの履歴機能や削除ファイルの復元機能を持つ。殆どのランサムウェアは、ファイルを暗号化すると同時に拡張子を変更する。(例えばランサムウェア「Locky」では、暗号化したファイルの拡張子を .locky に変更する)暗号化したデータでファイルを上書きして拡張子を変更するのか、暗号化した新たなファイルを作成して元のファイルを削除するのか、ランサムウェアの挙動やクラウドストレージクライアントの更新の検知方法によって、元のファイルの変更になるのか、削除になるのかの扱いが異なるが、Webブラウザからクラウドストレージサービスにログインして、履歴からの復元か、削除ファイル(ゴミ箱)からの復元のいずれかの方法でファイルを戻せる可能性が高い。

例えば、Dropboxでは、ランサムウェアの被害にあった時のためのヘルプが用意されているし、ファイルを1つずつ戻すのではなく、一括してロールバックする方法も記載されている。ランサムウェア対策としておすすめできるクラウドストレージの1つだ。

Dropbox ヘルプセンター ファイルがランサムウェアによって破損または名前が変更された場合
https://www.dropbox.com/ja/help/8408

尚、クラウドストレージによって、履歴を記録出来るファイル種類が限られたり、履歴や削除ファイルが保存される期間が異なったり、一括でロールバックすることが出来なかったりするなど仕様が異なるため、詳しくはそれぞれのサービス仕様を確認していただきたい。

サービス履歴及び削除済みファイルに関する扱い
Dropbox
30日以内なら、履歴及び削除済みファイルから復元できる。
有料オプションのエクステンデッド バージョン履歴では、1年以内なら復元できる。
一括でのロールバックをすることが出来る。
OneDrive
履歴を管理するのはOffice文書のみ。Office文書では期間の制限はなく履歴から復元できる。
OneDrive for Businessではすべてのファイルで履歴を管理できる。
ゴミ箱内のアイテムは、30 日を経過すると自動的に削除される。ゴミ箱がいっぱいになった場合、3 日を経過すると、最も古いアイテムから自動的に削除される。
GoogleDrive 
履歴は30日以内なら復元できる。
ゴミ箱も容量にカウントされる。空き容量がある限りはゴミ箱からの復元に期間の制限はない。
主要なクラウドストレージサービスでの履歴・ゴミ箱に関する扱い


また、写真をクラウドに保存出来るサービスもある。例えば、Googleフォトというサービスでは、1600万画素以下の写真、1080p以内の動画ならば、容量無制限で無料でクラウド上に保存できるし、Amazonプライムフォト では、Amazonプライム会員(年会費 3,900円)なら無料で容量無制限・無圧縮での写真の保存が可能だ。

企業のポリシーによっては、クラウドストレージなどを使うことは難しいこともあるだろうが、利用可能な企業や個人の場合は、これらのクラウドサービスを上手く活用することで、例えランサムウェアに感染したとしても、身代金を支払うことなく直近のファイルまで取り戻せる可能性を高めることが出来る。


複数を組み合わせたバックアップの対策を


ランサムウェア対策として推奨されている。「定期的にバックアップを取り、バックアップをした媒体はPCから切り離しておくか、PCからアクセス出来ない様にアクセス制限をかけておく」という対策は全く正しく、異論を唱えるつもりはない。特にデータの損失が事業継続に直結するような企業の場合は、どんなに手間が掛かるとしても、この様な対策を行えるような予算・体制・システムを整えるべきであろう。

しかし、個人や専門のシステム人員のいない中小企業などでは、この様なオフラインでのバックアップを頻繁に行うのは、なかなか難しいというのも事実だ。

ただ、どんなに面倒でも1度はバックアップを取ってオフラインで保存するということを実施して欲しい。出来れば月1回や重要なファイルを保存した後など、無理のない範囲でオフラインのバックアップを取るのが望ましい。

それとは別に、週1回や毎日1回、常時接続されたファイルサーバ(NAS)や外付けハードディスクなどへイメージバックアップを取ることも少なくとも現状では無駄とはいえない。バックアップファイルの拡張子は一般的には使われていない独自のものに変更しておくと、暗号化から除外される確率が高まる。バックアップソフトの多くにはスケジュールを設定して定期的にバックアップする機能があるし、拡張子の変更も簡単なバッチファイルで自動化出来るだろう。

その上で、クラウドストレージを使って、重要なフォルダや日々更新するフォルダをクラウドに同期させておく、また、個人で撮った写真などは、容量無制限の写真用のクラウドサービスを利用する。スマホにアプリを入れておけば、写真を自動アップロードさせることも出来る。

このように、ランサムウェア対策としての効果は高いが非常に面倒なオフラインのバックアップから、意識せずに自動的に同期されるクラウドサービスまで複数のバックアップ方法を組み合わせることにより、例え、ランサムウェアの被害にあったとしても、身代金を支払うことなく、出来る限り直近のファイルまで取り戻すことが出来るようになる。


まとめ


  1. ランサムウェア対策としてのバックアップの基本は、バックアップの装置や媒体をPCからアクセス出来ないように切り離しておくことである。マウントされたドライブやネットワーク上の共有フォルダにファイルを同期させるバックアップ方法では、ランサムウェアによって暗号化されてしまう可能性がある。
  2. 現在の主流なランサムウェアは、すべてのファイルを暗号化するのではなく、特定の拡張子のファイルを探して暗号化する。主要なイメージバックアップソフトの拡張子は暗号化の対象になっていないことが多いので、イメージバックアップを常時接続されたディスクに取ることは、少なくとも現時点では無駄とは言えない。拡張子を独自のものに変更しておくと、暗号化から除外される確率は更に高まる。
  3. クラウドストレージでは暗号化されたファイルが同期されてしまうが、大量のファイルの同期には相当の時間が掛かるので、感染の直後に同期を停止するか、ネットワークを切断すれば同期を免れる可能性がある。また、例え同期されたとしても、ファイルの履歴機能又は削除ファイルの復元機能のいずれかでファイルを戻すことが出来る。但し、サービスによって履歴を記録出来るファイル種類や履歴やゴミ箱の保存期間などの仕様が異なるため要確認。
  4. 写真を容量無制限で無料でクラウドに保存出来るサービスもあるので、これらを活用することで、例え、ランサムウェアの被害にあったとしても、身代金を支払うことなくファイルを取り戻すことが出来るようにしておく。

2016年6月30日木曜日

ランサムウェアを拡散する「ばらまき型」スパムメールに対する対策

前々回前回 のエントリでは、標的型メールを見分けるポイントについて述べた。せっかくなので、ランサムウェアを拡散するばらまき型のスパムメールに対する対策についても考察してみる。

現在、犯罪者がランサムウェアを拡散する手段としては、大きく分けて不正広告(マルバタイジング)や正規のサイトの改ざんによるWebアクセス(ドライブバイダウンロード)によるものと、ばらまき型のスパムメールによるものの2つがある。Webアクセスからの感染の対策については別途、紹介するとして、ここでは、スパムメールによる感染の対策について考えてみたい。

標的型メールの典型的な手法が、実行ファイルを文書ファイルにアイコン偽装して添付するのに対し、ランサムウェアの拡散に使われる主な手口は、Office文書(特にWord)のマクロ機能を使ったものと、JavaScript(拡張子 .js )を使用したものだ。2015年まではOffice文書のマクロ機能を使用したものが主流であったが、2016年に入ってからはJavaScriptを使用したものが主流になってきている。

なぜなら、Officeのマクロ機能はデフォルトで無効になっており、ランサムウェアに感染させるには、なんらかの方法でユーザにマクロを有効にさせる必要があるからだ。

図1 マクロを使ってランサムウェアに感染させようとするWord文書の例

それに対し、JavaScriptを使った手口ではそのような制限は存在せず、スクリプトを実行させることが出来ればランサムウェアに感染させることが出来る。メールに添付されるJavaScriptは、ブラウザ上で実行されるのではなく、Windows上のWindows Script Host (WSH) で実行される。WSHには、ブラウザでのサンドボックスの様な制限はなく、実行ファイルと同様の処理が実行できてしまう。

ランサムウェア「Locky」のスパムメールの実例


図2は、実際に筆者宛に届いた「Locky」のスパムメールである。未払い金があるため添付の請求書を確認してくれという内容だ。メール本文の挨拶や添付ファイル名に筆者の実名を使用して本物だと思い込まそうとしているが、差出人もメールの内容も全く心当たりのないものだ。大量に拡散させるばらまき型なので、標的型メールの様に巧妙にはなっていない。注意していればこの段階で不審なメールと気付けるはずだ。

図2 「Locky」に感染させようとするスパムメールのサンプル

この添付ファイルをクリックしてエクスプローラーで開いてみる。尚、OSはWindows 7だ。
圧縮ファイルの中身は、拡張子「.js 」のJavaScriptのファイルだが、Windowsの初期設定では、登録されている拡張子は表示しない設定になっているため図3の様に表示される。いまどきJavaScriptなんかを実行する奴がいるのかと思う人もいるかもしれないが、この様に拡張子「.js 」のアイコンは、メモ用紙の様にも見えるためテキストファイルだと勘違いして開いてしまう人も多いのだろう。

図3 添付のZIPをエクスプローラーで開く(拡張子は非表示)

「登録されている拡張子は表示しない」のチェックを外し、拡張子を表示させる設定に変更すると、拡張子「.js 」が表示される。


図4 拡張子を表示させる

更に、「詳細表示」にしてみると、「種類」が「JScript Scriptファイル」と表示される。JScriptとはWindows上で動作するスクリプト言語であり、JavaScriptと互換性を持つ。

図5 詳細表示にし、種類を表示させる

このファイルをクリックして開いてみる。
前々回前回 のエントリでも述べたとおり、Windows標準のエクスプローラーを使用し、ZoneIDが維持される様にしていれば、拡張子が「.js」の場合でも、図6の様に「セキュリティの警告」が表示される。ここで「キャンセル」をクリックすればスクリプトは実行されないが、警告を無視して「開く」をクリックしたり、警告が出ないような設定になっていれば、スクリプトが実行され、ランサムウェアに感染してしまう。

図6 ZoneIDが付加されているため「セキュリティの警告」が表示される


このように、JavaScriptを使用してランサムウェアに感染させようとするスパムメールでは、標的型メールと同じく
  1. Fromアドレスや件名、本文などに不自然な箇所がないかを確認する
  2. アイコンを確認する
  3. 拡張子を確認する
  4. ファイル種類を確認する
  5. 実行時に「セキュリティの警告」が表示されたら「キャンセル」する

これらを常に確認することを習慣にしていれば、感染は防げるはずだ。


拡張子「.js 」の関連付けを「メモ帳」に変更する


しかし、そもそもJavaScriptをWindows上で実行することは殆どのユーザに取って不要と思われるため、より安全にするために拡張子「.js 」の関連付けを既定から変更して「メモ帳」で開く様にし、スクリプトが実行されないようにする。

ここでは、単一のコンピュータでの設定例を示すが、Active Directory環境では、グループポリシーのフォルダオプションから拡張子の関連付けを設定出来る。

コントロールパネルから「あるファイルの種類を特定のプログラムで開く」を選択する。図7の様に、既定では、拡張子「.js」がWindows Based Script Hostに関連付けられている。

図7 「あるファイルの種類を特定のプログラムで開く」

「プログラムの変更」をクリックし、プログラムの選択から「メモ帳」を選択する。

図8 プログラムの選択から「メモ帳」を選択する

再度、拡張子「.js」が「メモ帳」に関連付けられていることを確認する。

図9 .jsに「メモ帳」が関連付けられていることを確認

この状態で、図2と同じメールの添付ファイルを開いてみる。アイコンが「メモ帳」のものになっていることが確認出来る。

図10 添付のZIPをエクスプローラーで開く

拡張子が「.js」であるため、ここで不審なメールであることに気付くことが望ましいが、もしクリックして実行してしまっても「セキュリティの警告」が表示される。

図11 ZoneIDが付加されているため「セキュリティの警告」が表示される

更に、ここで「セキュリティの警告」を無視して「開く」をクリックしてしまったとしても、拡張子「.js」の関連付けとして「メモ帳」が設定されているため、図12の様に「メモ帳」で .js ファイルが開かれる。結果としてスクリプトが実行されることはなく、ランサムウェアに感染することは避けられる。

図12 .js がメモ帳で開かれる


まとめ


  1. ランサムウェアを拡散させる手段としては、不正広告(マルバタイジング)や正規のサイトの改ざんによるWebアクセスによるもの(ドライブバイダウンロード)とばらまき型のスパムメールによるものに分けられる。
  2. ランサムウェアを拡散させるスパムメールに使われる主な手口は、Office文書(特にWord)のマクロ機能を使ったものと、JavaScript(拡張子 .js )を使用したもの。最近はJavaScriptを使用したものが主流になっている。
  3. ばらまき型のスパムメールの本文などは、標的型メールの様には巧妙な内容にはなっていない。見に覚えのない不審なものの場合は、添付を開かない。
  4. 標的型メールの対策と共通で、拡張子、ファイル種類(詳細表示)を常に表示させる設定を行う。添付の中のファイルを開く場合は、アイコン、拡張子、ファイル種類を確認し、セキュリティの警告が出たらキャンセルする。
  5. Officeのマクロを有効にしない。
  6. もし、ファイルを開いてしまった場合でもスクリプトが実行されないように、拡張子「.js」の関連付けを変更して「メモ帳」で開くように設定する。

2016年6月28日火曜日

続・巧妙な標的型メールを見抜くポイントはある。しかも、Windowsの標準機能だけで、


前回のエントリ に続いて、ますます巧妙になっている標的型メールを、どのようにして見抜くことが出来るかということを考えてみたい。

先ず前提として、最近の標的型メールは

  1. Fromアドレス、件名、本文、添付ファイル名などは、業務内容などから違和感のない巧妙なものとなっており、これらから標的型メールと見抜くことは非常に困難
  2. 文書ファイルに偽装した実行ファイルを圧縮して添付されてくるのが標的型メールの典型的な手口

という事実がある。

実行ファイルが圧縮されて添付されるのは、実行ファイルの直接の添付は、メールゲートウェイなどでブロックしている組織が多いからであろう。圧縮ファイルはパスワード付きで暗号化されていることが多い。これは、メール配送経路でのマルウェア対策製品による検出を回避するためであると思われる。

圧縮ファイルが添付されてくるということは、添付を開いたら即、ファイルが実行されて感染ということにはならず、解凍されたファイルを更にクリックして実行するという操作が必要になる。その間の操作に、標的型メールを見抜くポイントが隠されている。

このエントリでは、前回のエントリの後半で紹介した、圧縮ファイルを開く時にサードパーティ製のアーカイバではなく、Windows標準のエクスプローラーを使用することによる対策について、もう少し詳しく見てみる。

尚、以下の記事でも解説をしているので、合わせてお読みいただければ幸いである。

設定を見直すだけ、いますぐ簡単にできる「標的型メール攻撃対策」
http://www.atmarkit.co.jp/ait/articles/1409/05/news006.html

続・設定を見直すだけ、いますぐ簡単にできる「標的型メール攻撃対策」
http://www.atmarkit.co.jp/ait/articles/1509/16/news007.html

「すぐできる標的型攻撃対策 Windows標準のセキュリティ機能を利用した対策」
http://www.jnsa.org/aboutus/jnsaml/ml-71.html


標的型メールと通常の文書ファイルの添付メールを比較


標的型メールと通常の文書ファイルを添付したメールを比較するために、Word文書に偽装した実行ファイル(前回のエントリと同じもの)と本物のWord文書ファイルをそれぞれZIPで圧縮し、メールに添付し送信する。

図1は、それらのメールをWindows 7のOutlookで受信したものだ。尚、ここでは、既定で有効になっている「登録されている拡張子は表示しない」のチェックを外して拡張子を表示するように設定してあり、Windows標準のエクスプローラーを拡張子.zipに関連付けしている。少し小さいが添付ファイルのアイコンが黄色にチャックの付いたエクスプローラーのものになっているのが見える。

以降、左側がWord文書に偽装した実行ファイル、右側が本物のWord文書となる。

図1 左がWord文書に偽装した実行ファイル、右がWord文書ファイル
ZIPで圧縮し添付し、Outlookで受信

添付ファイルをクリックして開いたのが図2となる。拡張子.zip に関連付けがされている標準のエクスプローラーで開かれる。

まずは、アイコンを比較してみると、右のWord文書では表示されるWordのアイコンが、左の偽装されたファイルでは緑の実行ファイルを表すアイコンが表示される。エクスプローラーで圧縮ファイルを開いた場合は、実行ファイルの中のリソースのアイコンは表示されないので、アイコンの偽装工作が効かない。

図2 アイコンを比較する

次に、ファイルの拡張子を比較してみると、右のWord文書では、正しいWord文書の拡張子 .docx が表示されているが、左の偽装ファイルでは、実行ファイルの拡張子 .exe が表示されている。

図3 拡張子を比較する

また、表示形式を「詳細」にし、ファイルの種類が表示される様にする。右のWord文書では、種類が「Microsoft Word 文書」となっているが、左の偽装ファイルでは「アプリケーション」と実行ファイルを表すものになっている。

図4 詳細表示にし、ファイル種類を比較する

 最後に、ファイルをクリックして実行してみる。右のWord文書では、Microsoft Wordが立ち上がり文書が開かれたが、左の偽装ファイルでは「セキュリティの警告」が表示された。ここで警告を無視して「実行」をクリックすると、実行ファイルが実行されてしまうが、「キャンセル」をクリックすれば、実行はキャンセルされる。

図5 ファイルをクリックして実行する

「セキュリティの警告」が表示されるのは、解凍したファイルにZoneIDという、インターネットから取得したことを表す識別子が付加されているためだ。また、右のMicrosoft Wordも「保護されたビュー」という制限されたサンドボックス環境で開かれるため攻撃を受けにくくなる。エクスプローラーではなく、Lhaplusなどのサードパーティ製のアーカイバで圧縮ファイルを開くと、ZoneIDが欠落してしまうため、「セキュリティの警告」が表示されずに実行されてしまうし、Office文書も「保護されたビュー」ではなく通常モードで開かれる。

もう一度、文書ファイルに偽装した実行ファイル及び、本物のWord文書ファイルをZIP圧縮した添付ファイルをWindows標準のエクスプローラーで開き、実行するまでの手順を図6、図7に示す。

図6 文書ファイルに偽装した実行ファイルをZIP圧縮した添付ファイルを
Windows標準のエクスプローラで開き、実行する

図7 Word文書ファイルをZIP圧縮し添付したファイルを
Windows標準のエクスプローラーで開き、実行する





この様に、受信者が不審なメールと見抜くポイントは、
  1. Fromアドレスや件名、本文などに不自然な箇所がないか?
  2. 圧縮ファイルをエクスプローラーで開いた時のアイコンが実行ファイルを表すものでないか?
  3. 拡張子が実行ファイル(.exe .scr など)のものではないか?
  4. ファイル種類が「アプリケーション」でないか?
  5. 実行時に「セキュリティの警告」が表示されるか?
と複数ある。
この内、1に関しては、業務内容などから違和感のない巧妙なものが多くなっており、見抜くことは非常に困難になっているが、2から5を偽ることは困難で、「拡張子を表示されるようにする」「ZIPファイルを標準のエクスプローラーで開く様に関連付ける」などの正しい設定を行い、利用者に正しい知識の周知を行っていれば、見抜くことは可能なはずだ。


JTBの事件を受けて、標的型メール訓練への関心が再び高まっていると思われるが、標的型メール訓練を実施する際は、Fromアドレスや件名、本文などに不審な箇所がないかを見分けさせる訓練に終始するのではなく、是非、このような項目に着目した訓練を実施していただきたい。

2016年6月21日火曜日

巧妙な標的型メールを見抜くポイントはある。しかも、Windowsの標準機能だけで、

JTB個人情報流出事件に関して、「標的型メールは非常に巧妙で、一般のオペレータが本物のメールと見分けることは困難であった」との記事を良く目にする。確かに、JTBに届いたメールの詳細(*1, *2) を見ると、実際の業務から見て違和感のない内容であり、オペレータが添付を開いてしまうのもやむを得ないであろう。

*1 JTBへの不正アクセスについてまとめてみた
http://d.hatena.ne.jp/Kango/20160614/1465925330
*2 JTB個人情報793万件流出か?…標的型攻撃の巧妙な手口
http://www.yomiuri.co.jp/science/goshinjyutsu/20160615-OYT8T50004.html

しかし、JTBの件では、添付ファイルは文書ファイルにアイコン偽装された実行ファイルを圧縮した形式となっており、感染に至るには、展開された実行ファイルを開くという操作が更に必要になる。この間にオペレータが気付くことが出来るポイントがなかったのかを考察してみたい。

尚、IPAを情報ハブとしてサイバー攻撃の情報共有を行う取り組みである「サイバー情報共有イニシアティブ(J-CSIP)」が2016年4月に公表した、資料(*3) によると、標的型メールの添付ファイルの92%が実行ファイルであり、これらの内の多くが暗号化(パスワード付き)zip 形式で添付されていたということだ。JTBの件での添付ファイルが暗号化(パスワード付きzip)されていたかどうかは、報道では明らかにされていないが、実行ファイルを圧縮して添付するというのは、標的型メール攻撃での最も典型的な手口といえる。

*3 サイバー情報共有イニシアティブ(J-CSIP) 運用状況[2016 年 1 月~3 月]
http://www.ipa.go.jp/files/000052203.pdf



図1は、アイコンをWord文書ファイルに偽装した実行ファイルをWindows7のエクスプローラで表示させたものだ。確かにこれだけを見ると文書ファイルと見分けがつかない。

図1 文書ファイルに偽装した実行ファイル


次に、同じフォルダにWord文書を新規作成して並べてみる。Windowsの初期設定では、登録されている拡張子は表示されないため、やはり、これだけで見分けるのは難しいことがわかる。


図2 左が偽装した実行ファイル、右がWord文書ファイル
登録されている拡張子は表示しない(既定の設定)

ここで、フォルダーオプションから表示を選択し、既定で有効になっている「登録されている拡張子は表示しない」のチェックを外してみる。

図3 登録されている拡張子は表示しないのチェックを外す


すると、図4の様に拡張子が表示されるようになった。

図4 左が偽装した実行ファイル、右がWord文書ファイル
登録されている拡張子は表示しないのチェックを外した状態


更に、エクスプローラーの表示方法を「詳細」に変更してみる。

図5 詳細表示にしてファイルの種類を表示させる


すると、偽装したファイルでは、ファイルの種類が「アプリケーション」と表示されるようになった。

この様に、メールの添付ファイルを開く場合は、必ずファイルの拡張子と種類を表示させ、確認することを周知し、それを徹底させる訓練を行うことで、例え、標的型メールの送信元アドレスや本文が業務内容に沿った巧妙なものであっても、偽装された実行ファイルと見抜くことは可能なのではないか?

JTBでは、定期的に標的型メール攻撃に使われるものに似た疑似メールを送るなどの訓練を行っていたとされるが、果たしてこのような項目に着目した訓練を行っていたのだろうか?



更に、添付された圧縮ファイルを開く時に、Windows標準のエクスプローラーを使用していれば、図6の様に、偽装アイコンは表示されないし、実行ファイルの実行時には「セキュリティの警告」が表示される

図6 Word文書に偽装した実行ファイルをZIP圧縮し添付
Outlookで受信、Windows標準のアーカイバで解凍(Windows7)



エクスプローラーではなく、Lhaplusなどのサードパーティ製の解凍ソフトを使用している場合は、ZoneIDが欠落してしまうため、警告なしで実行ファイルが実行される。しかし、この場合でも、ファイルの拡張子と種類を表示させ確認することを徹底させていれば、実行ファイルと気付くことは可能なはずだ。
図7 Word文書に偽装した実行ファイルをZIP圧縮し添付
Outlookで受信、Lhaplusで解凍(Windows7)

また、その他にも、「Windows SmartScreen」や「ソフトウェア制限ポリシー」「AppLocker」など、Windowsの標準機能だけで、標的型メール攻撃に有効な対策は色々とある。これらについては、以下の記事で詳細を解説しているので、詳しくはそちらを参照いただきたい。

設定を見直すだけ、いますぐ簡単にできる「標的型メール攻撃対策」
http://www.atmarkit.co.jp/ait/articles/1409/05/news006.html
続・設定を見直すだけ、いますぐ簡単にできる「標的型メール攻撃対策」
http://www.atmarkit.co.jp/ait/articles/1509/16/news007.html

「すぐできる標的型攻撃対策 Windows標準のセキュリティ機能を利用した対策」
http://www.jnsa.org/aboutus/jnsaml/ml-71.html


まとめ


  1. 標的型メールの送信元Fromアドレスや、タイトル、メール本文、添付ファイル名は、業務内容からみて全く違和感のない巧妙なものになっている。これらから標的型メールかどうかを見極めるのは不可能。
  2. 標的型メールの典型的な手口は、文書ファイルにアイコン偽装した実行ファイル(.exe .scr等)をZIP等で圧縮して添付するもの。
  3. 拡張子、ファイル種類(詳細表示)を常に表示させる様な設定をシステムとして行う。(グループポリシーの「フォルダオプション」)
  4. 添付ファイルの解凍後は、ファイルの拡張子、種類を必ず確認することを周知し、それを徹底させるような訓練を行う。
  5. その他にも、「セキュリティの警告」「Windows SmartScreen」「ソフトウェア制限ポリシー」「AppLocker」など、Windows標準のセキュリティ機能だけで、標的型メール攻撃に有効なものがあるので、それらを有効活用する。

2016年5月31日火曜日

”ランサムウェア被害の病院が、2度も解除キーの身代金を要求され交渉を破棄。”という記事について


Engadget日本版に5/25に掲載された記事

2度も解除キーの身代金を要求され交渉を破棄。ランサムウェア被害の病院、患者データ無事で影響少なく、自力復旧を選択
http://japanese.engadget.com/2016/05/25/2/

この記事の
”Kansas Heart Hospitalは当初、要求された金額が少なかったこともあり支払いに応じました。ところがハッカーは解除キーを渡すどころか、さらに額を吊り上げて要求を繰り返してきました。”
の部分がどうも気になった。なぜならランサムウェアの犯人達は、身代金を支払えばファイルが戻るという信頼を積み上げることで、より多くの人が身代金を支払うように仕向けていると言われており、このような行為はそのビジネスモデルを崩すことになるからだ。

よって、この記事が本当なのかソースを調べてみた。

Engadget日本版には、記事のソースとして、カンザス州のテレビ局KWCH12による被害にあった病院(Kansas Heart Hospital)のプレジデントGreg Duick氏へのインタビューへのリンクが張られている。

Hackers demand ransom payment from Kansas Heart Hospital for files
http://www.kwch.com/content/news/Hackers-demand-ransom-payment-from-Kansas-Heart-Hospital-380342701.html

この件に関する英語の記事が幾つも出ているが、すべてこのインタビューの記事(動画)をソースにしているようだ。

Kansas Heart Hospital hit with ransomware; attackers demand two ransoms
http://www.networkworld.com/article/3073495/security/kansas-heart-hospital-hit-with-ransomware-paid-but-attackers-demanded-2nd-ransom.html

Ransomware attackers collect ransom from Kansas hospital, don't unlock all the data, then demand more money
http://www.healthcareitnews.com/news/kansas-hospital-hit-ransomware-pays-then-attackers-demand-second-ransom

Engadgetの英語版にも同じ事件を扱った記事が出ているが、Engadget日本版は単にこれを日本語訳したのではなく、独自の部分がある。

Ransomware hackers get their money, then ask for more
http://www.engadget.com/2016/05/24/ransomware-hackers-get-paid-ask-for-more/


尚、Kansas Heart HospitalプレジデントのGreg Duick氏は、病院Webサイトの経歴を見ると、FACC(米国心臓病学会会員)のMD(医師)であり、1972年に医科大学を卒業ということから70歳近くであると思われる。よって、ランサムウェアやITに関する十分な知識があった上でインタビューに答えているどうかは不明だ。



インタビューから支払いとファイルの復元に関係する部分を見てみる。
Some files are still unaccessible by the hospital even though Kansas Heart did pay the ransom.
(カンザス心臓病院が身代金を支払ったにもかかわらず、いくつかのファイルはまだ病院によるアクセスが出来ない)
*冒頭のレポーターによる説明。この部分は動画のみで文字起こしはされていない。
But even after the hospital paid, the hackers didn't return full access to the files. Instead, they demanded another ransom. The hospital says, it will not pay again.
(病院が支払いをした後でさえ、ハッカーはファイルへのフルアクセスを戻さなかった。それどころか、彼らは更なる身代金を要求した。病院は、再び支払うことはないと言った。)
*インタビュー中。この部分はプレジデント自身の声ではなく、ナレーターが語っている。


"Some files are still unaccessible by the hospital"
(いくつかのファイルはまだ病院によるアクセスが出来ない)
"the hackers didn't return full access to the files."
(ハッカーはファイルへのフルアクセスを戻さなかった)
この部分を見ると、「一部のファイルは戻ったが、全部は戻らなかった」とも読める。そうなると、大量にばらまかれたメールを複数の職員が開いてしまい、複数の感染が起きていた可能性もある。それにより、ファイルサーバ等のファイルが2重に暗号化されてしまっていた可能性もある。(このような複数端末が同時に感染することは良くあること)

病院側としては一度払えば全てのファイルが戻ると考えたのだろうが、感染毎に異なる鍵で暗号化されているため、全てのファイルを戻すためには感染した回数だけ支払う必要がある。


尚、Engadget日本版には、「ところがハッカーは解除キーを渡すどころか」という記述がある。解除キーが渡されなかったなら、当然1つのファイルも復号出来ないことになるが、ソース記事には、解除キーに関する記述はなく、解除キーを全く渡されなかったのか、渡されたのにそれでは全てを復号出来なかったのか、わからない。


また、Engadget日本版の「さらに額を吊り上げて要求を繰り返してきました。」という記述もソース記事にはない。単に、”Instead, they demanded another ransom. ”(それどころか、更なる身代金を要求した)とあるだけだ。額を吊り上げたとはどこにも書いていない。


無論、
"Some files are still unaccessible by the hospital"
(いくつかのファイルはまだ病院によるアクセスが出来ない)
"the hackers didn't return full access to the files."
(ハッカーはファイルへのフルアクセスを戻さなかった)
が「1つのファイルも戻らなかった」という事だという解釈も出来る。
そうなると、TeslaCryptやLockyのようなマスを対象にしたばらまき型のランサムウェアではなく、特定の病院を狙った標的型的なランサムウェアだった可能性もある。なぜなら、ばらまき型のランサムウェアでは、支払いの確認から復号用のDecryptorや復号鍵の提供が自動化されており、対象に合わせて個別に対応を変えるということは行わないからだ。

ただそうなると、プレジデントが支払ったのは少額だ(A small amount was made)と言っているのが腑に落ちない。標的型的なランサムウェアであれば、最初からある程度高額な金額を要求するのではないか?最初に払った金額は明らかにされていないが、「患者の情報は含まれていない」「治療には全く影響しない」にも係わらず、支払いをしたということは、やはり少額だったのではないか?
(ばらまき型のランサムウェアでは$300から$500程度のことが多い。病院へのランサムウェアの事例としてよく取り上げられるHollywood Presbyterian Hospitalでは、$17,000を支払ったと公表している。)

そうだとすると、やはり、ばらまき型のランサムウェアに多重に感染した可能性が大きいようにも思えるが、ソース記事(動画)を見ても不明確なことが多いので、はっきりとした答えは出せない。


まとめ


  • 身代金の支払いにより、一部のファイルは戻ったのか、全く戻らなかったのか、ソース記事を見ても不明
  • 解除キーを渡さなかったという記述は、ソース記事にはない
  • さらに額を吊り上げて要求を繰り返したという記述は、ソース記事にはない
  • ばらまき型のランサムウェアに多重に感染していた可能性もある
  • 特定の病院を狙った標的型的なランサムウェアの可能性もある
  • 病院側は支払った身代金は少額だったと言っているが、標的型的なランサムウェアの場合は最初からある程度高額な身代金を要求するのではないか?
  • ソース記事を見ても不明確なことが多いため、これを持って、ランサムウェアの戦術が変わったとか、ランサムウェアに新たな事例が現れたとか考えないほうが良いだろう

2015年10月8日木曜日

「ロンドン五輪期間中に2億件のサイバー攻撃」とはどれくらい深刻なものだったのか?

「東京五輪に向けてサイバーセキュリティを〇〇」の文脈でよく使われる。「ロンドン五輪期間中に2億件のサイバー攻撃」について、実際にどれくらい深刻なものかよくわからなかったので、調べてみた。


2013/06/04

BT reveals over 200 million hack attempts on London Olympics 2012 website

http://www.v3.co.uk/v3-uk/news/2279265/bt-reveals-over-200-million-hack-attempts-on-london-olympics-2012-website

この記事が「2億件のサイバー攻撃」のソースになっていると思われる。IPAからもこの記事にリンクが貼られている
https://www.ipa.go.jp/about/press/20140117.html

BT Global ServicesのCEO Luis Alvarez氏がオリンピック期間中に2億1千2百万回の攻撃があったと語っている。しかし、具体的な手法や被害については何も明らかにしていない。


2013/06/25

Team Work Overcame London 2012 Challenges

http://letstalk.globalservices.bt.com/en/2013/06/team-work-overcame-london-2012-challenges/

BT Global Services傘下のBT SecurityのCEO Mark Hughes氏がCiscoのイベントで明らかにした数字
  • We defended against at least one hacktivist campaign every day
    毎日1つ以上のハクティビスト・キャンペーンを防御
  • We dealt with 11,000 malicious requests per second
    秒間1万1千の悪意あるリクエストを処理
  • We blocked 212 million malicious connection attempts
    2億1千2百万の悪意ある接続の試みをブロック
  • We ensured that the devices the 30,000 media professionals brought with them to the Games were used safely and didn’t jeopardize the integrity of the network
    3万のメディア関係者のデバイス持込みをネットワークの整合性を保ったまま安全に処理
  • On super Saturday (4 August) we detected 128 million events
    8月4日には1億2千8百万のイベントを検知

秒間1万1千の悪意あるリクエストは、別の資料によると公式サイト london2012.com へのものらしい
http://www.slideshare.net/btletstalk/instant-globalisation-stuart-hill (8ページ目)


2013/07/08

The 'cyber-attack' threat to London's Olympic ceremony

http://www.bbc.com/news/uk-23195283
Olympic cyber security head Oliver Hoares氏
2003年以降、英国内閣府の上級政策顧問。 2012年のロンドンオリンピックにおいて、文化・メディア・スポーツ省に置かれた政府のオリンピック実行委員会において、 サイバーセキュリティ対応の責任者として対応を指揮。

開会式の朝4:45にGCHQから電話があり、オリンピックの電源システムへのサイバー攻撃の可能性の報告。攻撃ツールとターゲットの情報からオリンピックに関連している可能性があるとの情報。30秒で電源を回復できるよう準備したが、結局、電源がダウンすることはなかった。

Hoares氏は、2014/02/19のIPAサイバーセキュリティシンポジウム2014
https://www.ipa.go.jp/about/press/20140117.html で基調講演を行っている。
その時の資料
http://www.ipa.go.jp/files/000039004.pdf


2013/03/06

How the London Olympics dealt with six major cyber attacks

http://www.computing.co.uk/ctg/news/2252841/how-the-london-olympics-dealt-with-six-major-cyber-attacks

ロンドンオリンピックCIO のGary Pennell氏が英国政府のカンファレンス"UK Cyber Security: Protecting our National Infrastructure"で語った内容。この記事が一番詳しい。

オリンピック期間中に1億6千5百万回のセキュリティ関連イベントが発生したが、その多くはパスワード変更やログイン失敗などの些細なものだった。

テクノロジー・オペレーション・センターに上げられたセキュリティインシデントは97件で、その内、CIOにまで上げられたインシデントは6件だけだった。

その6件は以下のもの

  1. 開会式前日の7月26日、過去にもWebサイトの脆弱性を見つけて公開した実績のある東欧のハッカーグループから10分間に渡るスキャンがあった。結局、彼らは何も見つけられず、戻ってくることもなかった。

  2. 開会式当日の7月27日、オリンピックパークの電源システムにDoS攻撃があった。それは40分続き、北米や欧州の90のIPアドレスから1千万件のリクエストがあった。しかし、攻撃はすべてネットワークの境界で排除され全く影響はなかった。

  3. 開会式翌日の7月28日、ハクティビストグループが #letthegamesbegin というオペレーションを立ち上げ、予告された日にオリンピックのインフラにDoS攻撃を仕掛けようとした。しかし、SNSを丹念にモニタしていたので、攻撃は簡単にかわすことが出来た。実際、システム的には何も検知しておらず、私のリストでは攻撃にカウントすることはなく、脅威としてのみ扱っている。

  4. オリンピックにおける最大のセキュリティ・チャレンジは内部のセキュリティの不備だった。だが、それは組織委員会ではなく、ITインフラがマルウェアに感染していた広告代理店の不備であった。そのシステムは大量のスパムを送信しSpamhausやその他のブラックリストに掲載されていた。我々は広告代理店のシステムをクリーンアップするのに何度も電話をし、ブラックリストを作成しているスパム対策会社にも問題を説明して、解決のために一緒に作業した。これらはまったく想定外のことだった。

  5. 8月3日、政府機関が大規模なDDoS攻撃が予想されると連絡してきた。しかし、実際には別の政府機関が攻撃を受け、攻撃者がオリンピックに関心を向けることはなかった。

  6. 閉会を迎えようとしていた時、最も深刻でコミットした攻撃があった。秒間30万パケットのDDoS攻撃が以前にブロックした攻撃と同じIPアドレス(それらは複数の報道機関により共有されていた)に対し行われた。攻撃はFirewallによって防がれていたが、15分間続いた。誰かが必死に運営を妨害しようとしたのだろうが、しかし、全く影響はなかった。


2013/11/20

State-run cyber attack threatened London 2012 Olympics

http://www.v3.co.uk/v3-uk/news/2308181/state-run-cyber-attack-threatened-london-2012-olympics

ロンドンオリンピックCIO のGary Pennell氏が別のカンファレンスで語った内容。基本的に上と同じだが、5の8月3日の攻撃は国家が背景であったことと、6の報道機関のインターネットアクセスへの秒間30万パケットのDoS攻撃ではフェイルオーバーのために2秒間サービスが中断したことが付け加えられている。

そして最後に、
メディアが何百万回のサイバー攻撃が行なわれたと憶測をしているが、何回の攻撃が行なわれたかは誰も分からない。殆どの攻撃はネットワークの境界で処理され、オペレーションに何の影響も与えていない。と明らかにし。"It's all rubbish, it's nonsense," 「まったくバカげたことでナンセンスだ」
と述べている。

Despite media speculation putting overall cyber attack attempt figures in the millions, nobody knows how many attacks occurred, according to Pennell. "It's all rubbish, it's nonsense," he said, clarifying that the majority of the attacks were fielded at the edge of their networks and never made even the slightest dent in their operations.

このPennell氏の言葉がすべてであろう。

ロンドン五輪では、十分な準備を行っていたから、この様に殆ど影響のあるものはなかったのだろうし、2012年はこうだったから、2020年はこうと簡単に予測は出来ないので、十分な準備は必要だろうが、2億件という数字だけを根拠にするのは、本当に馬鹿げている。