ITpro Special
週間WEEKLY ITpro Special ITpro

ランサムウエア対策はファイルサーバーも

業務上で最も重要な守るべきデータはどこに入っているだろうか。多くのユーザーが共有利用しているファイルサーバーもその一つである。このファイルサーバーが今、深刻なリスクにさらされている。ファイルを不正に暗号化するなど使用不能にして身代金を要求するランサムウエアが、攻撃のターゲットをクライアントからサーバーにも拡大させているのである。万が一にもファイルサーバーがランサムウエアに感染した場合、被害は致命的なものになりかねず、対策が急がれている。

日本企業もターゲットに
ランサムウエアの被害が急拡大

福田 俊介 氏
トレンドマイクロ株式会社
プロダクトマーケティング本部
クラウド&サーバセキュリティグループ福田 俊介

 近年、ランサムウエアと呼ばれる新手のサイバー攻撃が被害を拡大している。マルウエア感染させたコンピュータのファイルを暗号化して使用不可能にした後、元に戻すことと引き換えに「身代金」を要求するものだ。仮に身代金を支払ったところで、元通りに復旧する保証は一切ない。

 こうしたランサムウエアの被害者の大半がこれまでは海外企業や一般消費者であったことから、日本企業の危機意識はまだそれほど高くないのが実情だ。しかしながら、もはや日本企業も“他人事”では済まされない。「状況は一変しました」と警告を発するのは、トレンドマイクロの福田俊介氏である。

 トレンドマイクロが検知・防御した全世界のランサムウエアの脅威件数は2016年上半期で約8000万件に達しており、そのうち日本企業は227万件を占めている。また、同時期に同社の国内法人向けサポートセンターには、実際に被害に遭ったという報告が1740件寄せられた。「これは1年前の同時期(2015年上半期)と比べて約7倍の急増です」と福田氏は説明する。

 そして最近のランサムウエアで注意しなければならないのは、攻撃対象をどんどん拡大していることだ。従来のランサムウエアはクライアントを狙うのが一般的だったが、現在ではファイルサーバーをターゲットとするものも登場している。例えば「SAMSAM」と呼ばれるランサムウエアはサーバー側の脆弱性(ソフトウェアのセキュリティ上の欠陥)を利用して侵入する。さらに「SAMAS」というランサムウエアになると、社内ネットワークでつながっている他のサーバーにも感染を拡散させていく機能を備えているという。

Trend Micro Deep SecurityTMを利用した
ファイルサーバー側のランサムウエア対策

 もはや、クライアントのランサムウエア対策だけでは十分とはいえない。

 特にファイルサーバーのようなシステムは、数百台・数千台といった多数のクライアントから仮想ドライブとしてマウントされている場合も少なくない。これらのクライアントのうち仮にどれか1台でもセキュリティパッチや最新シグネチャーの適用が遅れており、ランサムウエアの感染を見逃してしまった場合、そのクライアントを踏み台にしてファイルサーバーにまで侵入してくることになる。

 「その意味で感染リスクが高いのは、クライアントよりもむしろファイルサーバーなのです」と福田氏は言う。そして、「その中には企業にとって重要な情報が集められていることを忘れてはなりません」と強調する。

 ランサムウエアに感染して業務に必要なデータが暗号化されてしまうと、長時間にわたって業務をストップさせてしまう恐れがある。また、事後対策に数億円のコストを費やしたというケースも珍しくない。

 そこでトレンドマイクロが提案するのが、「Trend Micro Deep Security」を利用したファイルサーバー側でのランサムウエア対策である。

 Trend Micro Deep Securityは、サーバー保護に必要とされるウイルス対策、Webレピュテーション、IPS/IDS(侵入防御)、ファイアウォール、変更監視、セキュリティログ管理、の複数機能を包括した総合サーバーセキュリティ対策製品だ。各サーバーOSにエージェント型の保護モジュール(Deep Securityエージェント)をインストールすることで、物理から仮想、クラウドまで様々な環境で稼働しているサーバーのセキュリティレベルを向上させ、様々な脅威から保護することができる。

Trend Micro Deep Securityは ホスト型総合サーバーセキュリティ対策製品
図
[画像のクリックで拡大表示]

何重もの対策を施し
ランサムウエアによる暗号化をブロック

 具体的にTrend Micro Deep Securityのどの機能が、どのような形でファイルサーバー側でのランサムウエア対策に役立つのだろうか。

 まずベースとなるのは、ウイルス(不正プログラム)対策機能だ。ランサムウエアを含めた既知の疑わしいファイルを素早く検知し、駆除することができる。

 また、Webレピュテーション機能は、ランサムウエアが利用する既知の不正URLへの接続を遮断し、ファイル暗号化に利用する暗号鍵を取得するのを防ぐ。

 そして福田氏が、「最も重要な役割を担う機能」としてフォーカスするのが、IPS/IDS(侵入防御)である。多くのランサムウエアはサーバー内部には侵入しなくても、感染したクライアントからネットワーク越しにサーバーを暗号化する。Trend Micro Deep SecurityのIPS/IDS(侵入防御)は、ホスト型で、こうしたクライアントからサーバーへの暗号化通信を検知・ブロックする。

 また、福田氏は「SAMASやSAMSAMのようなランサムウエアはサーバーの脆弱性を利用してサーバーに侵入したり、社内での拡散を試みたりしますので、Trend Micro Deep SecurityのIPS/IDS(侵入防御)で脆弱性を利用する通信を検知・防御することも効果的です。この機能を使うことで、セキュリティパッチが当たっておらず脆弱性が存在するサーバーを、仮想的にセキュリティパッチを当てた状態にすることが可能なのです」と語る。それでもサーバーにランサムウエアが侵入してしまった場合、ランサムウエアからC&Cサーバーへのアクセスを検知して、その通信を即座にブロックするとともに、管理者に対してアラートを発信することもできる。

Trend Micro Deep Securityはファイルサーバーの暗号化を早期検知・防御する
図
[画像のクリックで拡大表示]

 「『守りたいデータは何なのか? それはどこにあるのか?』ということを考えて、クライアント側だけではなくサーバー側でも対策を何重にも施すことで、ランサムウエアに大事なデータを不正に暗号化されるリスクを最小限に抑えることができるのです」と福田氏は語る。

 ランサムウエアをはじめ、悪質化・巧妙化の一途をたどっているサイバー攻撃への対策はイタチごっこが続いており、どこか一つのレイヤーのみのセキュリティ対策では不十分だ。そこで求められる“多層防御”を実現する観点からも、Trend Micro Deep Securityの導入を検討してみる意義は大きい。

お問い合わせ
  • トレンドマイクロ株式会社

    法人お問合せ窓口

    TEL:03-5334-3601 受付時間 9:00~12:00、13:00~18:00(土日・祝日・振替日を除く)

    URL:http://www.trendmicro.co.jp

    メールでのお問い合わせはこちら