セキュリティベンダーが提供を急ぐ、身代金要求型マルウェア「ランサムウェア」対策ツール。セキュリティ専門家はツールの有効性を認めながらも、その効果の継続性には疑問を呈する。
身代金要求型マルウェア「ランサムウェア」の感染は、ここ数カ月勢いを増している。だが最近登場した新しいランサムウェア対策は、「Locky」「TeslaCrypt」「CTB-Locker」など、これまで知られているランサムウェアやその亜種への感染を防止できる見込みがある。だが専門家は慎重な姿勢を崩していない。
フランスに拠点を置くサイバーセキュリティ企業Lexsiは、ランサムウェアの“ワクチン”として4種類の簡単なシステム変更方法を提案する。具体的にはLockyの感染防止が目的だ。だが同社は、このアプローチは「Lockyの最新亜種には効果がない」とブログで警告している。
Lexsiでマルウェアのリバースエンジニアリングを担当するシルヴァン・サルメジャンヌ氏のブログ投稿によると、同社が提案するシステム変更は、レジストリキーの作成やユーザーに迷惑を掛けない簡単なシステムパラメーターの変更といった内容だ。
Lockyは実行開始時にシステム言語をチェックし、システムがロシア語で構成されていると感染しない。従ってシステム言語をロシア語に設定すれば感染を防げることになる。だがそれでは、ロシア語が理解できない多くのユーザーが使えなくなってしまう。
ブログで説明されている保護方法には、公開鍵暗号であるRSAの公開鍵や破損した鍵をランサムウェアに使わせる方法などもある。サルメジャンヌ氏は同じブログ投稿に「このようなランサムウェア対策は感染前に取るべきだ」と書いている。
ルーマニアのマルウェア対策ベンダーBitdefenderに所属するセキュリティ研究者は、ランサムウェア対策を容易にする新しいツールを作成した。このツールは、Lexsiの提案するLocky対策に加え、TeslaCryptとCTB-Lockerの対策ツールをバンドルする。
「新しいツールはある意味、ランサムウェア『CryptoWall』の対策プログラムの副産物だ」と、Bitdefenderのチーフセキュリティストラテジスト、アレクサンドリュ・カタリン・コサイ氏はブログに投稿している。同社はCryptoWallがファイルを暗号化してしまうのを防ぐ方法を調べてきた。そして「この考え方を他のランサムウェアにも広げることができることが分かった」(コサイ氏)という。
Bitdefenderで上級アナリストを務めるボグデン・ボテザツ氏は、ランサムウェア対策ツールの条件として「保護の実装に掛かる複雑な作業を軽減し、レジストリの編集ミスを減らせるようにする必要がある」と話す。特にレジストリの編集ミスは、OSに致命的な損傷を与えかねない。
専門家は、Bitdefenderのランサムウェア対策ツールがユーザーを保護できることをほぼ認める。ただし効果の持続性については疑念を抱く。
上述の通り、Lexsiが考案した対策はLockyの最新亜種には無効だ。さらにBitdefenderは、2015年11月に作成したCryptoWall対策ツールの提供を最近中止した。Bitdefenderはその理由を「もはや対策ツールとしての適切な機能を保証できなくなったからだ」と説明する。
「ランサムウェアの作成者は検出を回避すべく修正を加えてくる。そのため当社のツールには自動更新機能を組み込んでいる」とボテザツ氏は述べる。「新たなランサムソフトウェア亜種が出現し、対策ツールの回避を試みていることを検出したら、必ずそのサンプルを研究し、システムへの関与方法を調べて対策ツールを更新する」(同氏)
米変更管理/改ざん検知システムベンダーTripwireの上席セキュリティ研究エンジニアであるトラビス・スミス氏は、ランサムウェア対策ツールは「短期的解決策にすぎない」と指摘する。「ランサムウェア対策ツールはボートに開いた穴を足でふさぐようなもので、問題全体を解決するまで時間を稼ぐ短期的解決策でしかない。犯罪者は状況に順応する。感染を妨げる手段の存在が分かったら戦術を変え、別の手口を考える」(スミス氏)
米脅威検知システムベンダーVectra Networksの主任セキュリティ責任者であるギュンター・オールマン氏は、ランサムウェア対策ツールをはじめとするマルウェア対策ツールは「マルウェアの連続インストールや悪質な行為を阻止するように設計されている」と語る。
こうしたアプローチは一時的には攻撃を正しく防ぐことができるものの、その後に同様の攻撃が繰り返されるとすぐに回避されるようになる。「実際、保護方式がシンプルであることを企業が宣伝すればするほど、マルウェアの作成者は素早く回避策を立てる」とオールマン氏は話す。「マルウェア亜種の対策の適用方法を公開してからほぼ24時間以内に、マルウェア開発者が新たな亜種をいとも簡単に生み出す」(同氏)
スミス氏は、比較的短期間の保護のためにこのような対策ツールを導入することは「コストに見合わない」と言い切る。
「マルウェア対策ツールの導入は、他人が検出したマルウェアを自身の予防に利用することを意味する。意識の高いセキュリティ部門を備える組織なら、自社のユーザーを保護するために対策ツールの導入を検討する可能性はある」とスミス氏は話す。その上で、こうした解決策のテストや導入、サポートには「多くの組織にとって時間とコストが掛かる」と同氏は指摘。短期間しか効果がないと考えられる解決策の場合、「『投資に見合う利益が得られない』と考え、他のセキュリティ対策に力を入れる組織もあるはずだ」と語る。
Copyright © ITmedia, Inc. All Rights Reserved.
クラウド利用が当たり前となった今日、セキュリティ対策もまたクラウド環境に適したものでなくてはならない。とはいえ、大量のデータポイントが生成されるクラウド領域にあって、その全てのポイントを網羅するのは並大抵のことではない。
ビジネスでのAPI利用が進むにつれ、そのAPIを標的としたサイバー攻撃も増加している。それらに対抗するためには、「シャドーAPI」や「ゾンビAPI」を洗い出し、セキュリティ対策を徹底する必要がある。その正しい進め方を解説する。
ある調査で企業の61%がセキュリティ優先事項のトップ3に挙げるほど、重要度が高まっているアイデンティティー管理・保護。その中で昨今注目されているのが「IGA」というアプローチだ。そのメリットや、導入方法を解説する。
DX推進によってさまざまなビジネスシーンでデジタル化が加速しているが、そこで悩みの種となるのがセキュリティの担保だ。リソースやコストの制限も考慮しながら、DXとセキュリティを両輪で進めるには何が必要になるのか。
サイバー攻撃が巧妙化し、セキュリティチームとSOCは常に厳戒態勢を取り続けている。さらにデジタルフットプリントの拡大に伴い、セキュリティデータが絶え間なく往来する事態が生じている。このような状況に対応するには、SOARが有効だ。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
ITmediaはアイティメディア株式会社の登録商標です。
