サイバー・セキュリティ・ソリューション(CSS)部
ソリューション技術グループ
Cyber Security Intelligenceチーム
セキュリティディレクター/
エバンジェリスト 関原 弘樹
こんにちは!
暑い日が続きますが、いかがお過ごしでしょうか。
サイバー・セキュリティ・ソリューション(CSS)部に所属する
セキュリティディレクター/エバンジェリストの関原です。
今回は6月末より大流行しているランサムウェア「WannaCry」の
亜種と、その攻撃手法に対する対応策について考えてみました。
「WannaCry」の亜種であり、6月末より海外で猛威を振るって
いるランサムウェア「GoldenEye(Petya亜種)(※1)」ですが、
「WannaCry」との違いは何でしょうか。
大きな違いは、ファイルを暗号化するだけでなく、PCの「MBR(※2)」
を改ざんしてブートシーケンスを変更し、「MFT(※3)」を暗号化
することで、再起動後のPC自体を完全に使用できなくなるすると
いうところにあります。
■感染が拡大中のランサムウェアの対策について
外部リンク:
独立行政法人情報処理推進機構
※1 鍵管理をしておらず復号の手段が用意されていないこと
からランサムウェアではなく、データの破壊が主目的
とも言われているようです。
※2 PCのOSをブートするためのデータが入ったエリア。改ざん
されるとどのようにデータを読み込んでOSをブートすれば
いいかわからないため、ブート不能となったり本来とは
異なるコードからシステムをブートしてしまう。
※3 Windows NT系のOSで使用されるファイルシステムNTFSに
おいて、ファイルシステム上に存在するすべてのファイルの
エントリを管理するためのファイル。破壊されるとファイ
ルシステムがファイルデータの位置を把握できなくなるた
め、OS上からファイルを読み出せない状態になる。
さて、以上より「MBR」というものは非常に重要だということが
お分かりいただけたかと思いますが、この「MBR」の改ざん・破壊
というのは今に始まったことではありません。30年ほど前に出た
古いウイルスでも、同じようなコンセプトを持っています。
■Brain
外部リンク:
マイナビニュース
でも、なんかのどかですね…
当然OSベンダもその重要性は十分認識しています。ここ数年の、
ある程度新しいハードウェアとOSであればこのような機能を使用
できます。それが「UEFI セキュアブート」です。
■セキュアブート
外部リンク:
通信用語の基礎知識
UEFI セキュアブートの詳細はリンク先を読んでいただくとして、
この機能が使用できる場合は有効にしておけば「MBR」への攻撃を
検知できるので、今後現われるであろう同様のコンセプトを持つ
マルウェア感染による被害を最小限にする(※4)ことはできるので
はないでしょうか。
あとはバックアップからリカバリと組み合わせてインシデント
回復を迅速に行えれば言うことないですね。
※4 今はその下のレイヤ(Firmware)への攻撃も現実的に
なっているので、被害を完全に防げると言い切れない
のが残念です・・・
このようなPCの適切な設定の選択やリカバリ手順の検証は、自社
内のリソースだけではなかなか難しいものがあります。外部の
専門ベンダの知見を借りるのも一つの方法といえますね。
ではまた、次回のエントリーでお会いしましょう。
Hiroki Sekihara CISSP CEH CCIE #14607
当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。
エバンジェリストによるコラムやセミナー情報、
IDグループからのお知らせなどをメルマガでお届けしています。
