PC から読み書き可能としていたネットワークドライブ



これでファイルサーバ側のデータまでやられた事例あり

ファイルサーバ

本体ディスク ネットワークドライブ USBメモリ

ランサムウェア対策

感染後にできることは確実性が無いので、事前に対策

 日常的なデータのバックアップ

 ソフトウェア更新 ( セキュリティ関係 ) の迅速な適用

 制限ユーザの有効活用

 怪しいメールを開かない訓練

感染を 100% 防ぐ方法は無いので、バックアップが最重要

感染後にかかるコスト ( もしくは損失 ) を低減させるために、

適切なコストをかけることを意識する

日常的なバックアップ (1/2)

 ランサムウェアにやられて困るデータは日常的にバックアッ プする



バックアップ用メディアを常時接続していると感染時にやられる点に 注意

 どれだけの間隔でバックアップを取るかはデータの重要性と コストの兼ね合いで決める

 バックアップ用のメディアも適切に管理

USB

バックアップ用 メディアの管理 バックアップ

日常的なバックアップ (2/2)

 PC 故障によるデータ損失にも効果があることを考えて実施

 復旧時に慌てて感染 PC にバックアップメディアを接続して、

バックアップを破壊されないように注意



書き込み禁止処理ができるようなバックアップメディアが好ましい

 特に重要なデータならば、バックアップメディアの多重化や世 代バックアップなどを組み合わせる

バックアップメディアの多重化 世代バックアップ

5月第2週 5月第1週

5月第3週

OS 側の設定

 ソフトウェア更新の迅速な適用

 WannaCryは2017/3に出たソフトウェアアップデート(Windows Update)を適用していない所がやられた



アップデートが業務用ソフトウェアへ影響することが怖いのであれば、

テスト用の環境を準備しておく

 ユーザーアカウント制御をちゃんと適用

 TeslaCryptなど一旦停止するラ

ンサムウェアは存在する

 右のポップアップが出て、「はい」

を選択しなければ動作しない



もちろん、ユーザーアカウント制 御を切らないと業務用ソフトウェ アがまともに動かないこともある ので、リスクとコストの判断

怪しいメールを開かない訓練の実施

 種々の防災訓練のように事前の訓練はいざという時に有効

 訓練回数によって開封率は低下 (*1, スライド 7)



ただし、開封数0にはならない

 むしろ、0になるレベルだったら業務に多大な影響が出ているのでは

 怪しいメールは他の人に相談する文化を作るのも重要

 1人で考えるより複数人で考えた方が抑止力が働く



他の人にも同様のメールが来る可能性もあるので情報共有は重要

(*1) NRIセキュア, "サイバーセキュリティ傾向分析レポート 2016," 2016年8月. https://www.nri.com/jp/event/mediaforum/2016/pdf/forum240.pdf

Gmail, Yahoo mail などの外部メール

閲覧元を確認できる ウェブサーバ

ランサムウェアに感染して しまったら ?(1/2)

 身代金を払っても復旧できるかは攻撃者の方針、および、共 通鍵が攻撃者までちゃんと届いているかに依存 ( 不確実 )



暗号化した共通鍵が何らかの問題で失われていると、攻撃者側でも どうしようもない

→ 現時点では、確実に回復する方法は無い

2. 共通鍵を公開鍵 で暗号化

3. 暗号化した 共通鍵を

攻撃者に送信

1. 共通鍵を 生成

メモリ内

ネットワークの 途中での消失 身代金支払後も

鍵を返すつもりの ない攻撃者

しまったら ?(2/2)

 緊急性、対応コスト、確実性を考えて対応を考える



前日の終業時のバックアップがあれば、そこからの

1

日分の作業で被 害は取り戻せる

→

身代金より確実に安い



バックアップからの復旧を考える場合、確実にランサムウェアを消す ために

OS

クリーンインストール後にバックアップから復旧

 将来的な回復ソフトウェアの提供の可能性を考えて、感染 PC はできる限り現状保存を行なう



スリープ状態にして保存など



ランサムウェアの脅迫は写真などで記録

USB バックアップ からの復旧

回復の可能性がある事例

 非常に運が良いことに、復号ツールが出ていた

 TeslaCryptは犯人が秘密鍵を公開してくれた

→ESET

社が

TeslaCryptDecryptor

を公開



偽解除ツールなども出てくると考えられるので、信頼できる所が公開し ているかを確認

 運が良いことに、メモリ上の動作中ランサムウェアから共通鍵 を取り出すツールが出ていた



メモリ上の共通鍵の破棄処理がいい加減だったりした場合



破棄したメモリ領域が上書きされると共通鍵は失われる点に注意

 Wannakiwi: WannaCrypt用ツール

 感染後Windowsを再起動していないこと

 WannaCryptの身代金支払期限(1週間)を超えていないこと

 非常に運が良いことに、セキュリティ啓発ランサムウェアだった



文面を読んでセキュリティ関係の対応をすれば共通鍵を渡してくれる

ドキュメント内 Microsoft PowerPoint - lecture rev00.pptx (ページ 32-41)