ランダム な ハード ウェア アドレス。 MACアドレスとは パソコン初心者講座

ハードウェアウォレットの仕組み

ランダム な ハード ウェア アドレス

ランサムウェアWannaCryは、ネットワークワーム型の機能を有するランサムウェアで 図1 、感染によって、ファイルを暗号化し、その暗号解除と引き換えに金銭を要求する動作はしますが、5月16日時点で、情報漏えいを引き起こす動作は報告されていません。 1 動作確認活動 WannaCryは、動作確認用サイトwww[. ]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[. ]comなどにアクセスします。 アクセスに成功した場合には活動を停止します。 このURLアクセスのことは、動作を停止することからキルスイッチとも呼ばれています。 5月15日に入ってから、このキルスイッチを無効化した亜種も報告されています。 2 生成活動 拡散活動、ランサム活動をしていくために必要な攻撃資源として、新たなexeなどを生成します。 3 拡散活動 SMB1脆弱性攻撃を通して自己増殖を試みます。 自己増殖の流れは、まず、感染先対象となるシステムとの間でSMB1コネクションを確立します。 その後、MS17-010脆弱性有無の確認、攻撃ペイロードの準備、バックドアDouble Pulsar有無の確認、攻撃ペイロードの実行によって完了します。 図 1: 感染活動の概要 4 ランサム活動 ランサム活動ではファイルを暗号化し、ファイル拡張子をWNCRYに変更します。 さらに、図 2のような脅迫状ダイアログを表示します。 図 2: 脅迫状ダイアログ 1. 2 被害 2017年05月13日• カスペルスキー:74か国から45,000件以上の攻撃を記録 WannaCry ransomware used in widespread attacks all over the world• US-CERT:米国、英国、スペイン、ロシア、台湾、フランス、日本など74か国で感染 Indicators Associated With WannaCry Ransomware• 英NHS National Health Service :少なくとも16組織が被害に Statement on reported NHS cyber attack• Wcrypt Tracker 図3: Wcrypt Tracker 1時間毎のオフライン+オンラインIPアドレス数 出典:malwaretech. com 2017年05月17日• 日立:ランサムウェアによる被害および復旧状況について 1. 3 注意喚起 各所からの注意喚起は、次の通りです。 US-CERT Multiple Ransomware Infections Reported 2017年05月12日• US-CERT TA17-132A: Indicators Associated With WannaCry Ransomware 2017年05月12日• IPA 世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について 2017年05月14日• 総務省 世界的な不正プログラムの感染被害について 注意喚起 2017年05月15日• 警察庁 攻撃ツール「Eternalblue」を悪用した攻撃と考えられるアクセスの観測について 2017年05月15日• ICS-CERT ICS-ALERT-17-135-01: Indicators Associated With WannaCry Ransomware 2017年05月15日 1. 4 解析情報 マイクロソフトによれば、WannaCryは、Windows 7、Windows Server 2008ならびに、それ以前の脆弱なOSを攻撃対象にしていると報告しています。 WannaCrypt ransomware worm targets out-of-date systems Windows Vista、Windows Server 2008、Windows Server 2008 R2、Windows 7、Windows 8. 1、Windows Server 2012、Windows Server 2012 R2、Windows RT 8. 1、Windows 10、Windows Server 2016の場合 マイクソフトから3月にリリースされているセキュリティ更新プログラムMS17-010を適用してください。 マイクロソフトセキュリティ情報 MS17-010: Microsoft Windows SMB サーバー用のセキュリティ更新プログラム 4013389 Windows Server 2003、Windows XP、Windows XP Embedded、Windows 8の場合 マイクソフトから、緊急でリリースされたセキュリティ更新プログラムを適用してください。 ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス 2. 2 マルウェア対策 セキュリティソフトを導入し、定義ファイルを常に最新の状態に保ってください。 カスペルスキー WannaCry ransomware used in widespread attacks all over the world 2017年05月12日• シマンテック What you need to know about the WannaCry Ransomware 2017年05月12日• トレンドマイクロ 大規模な暗号化型ランサムウェア「WannaCry/Wcry」の攻撃、世界各国で影響 2017年05月13日• A 2017年05月13日• I 2017年05月13日• マイクロソフト WannaCrypt ransomware worm targets out-of-date systems 2017年05月12日• マカフィ Protecting against Ransom-WannaCry May 2017 2017年05月12日• ランサムウェアWannaCryに関するさらなる分析 2017年05月14日 シマンテックのEndpoint Protectionが脆弱性 SMB1 への攻撃を検知すると、図3のようなアラームを表示します。 図4: シマンテックでの攻撃検知アラーム 2. 3 回避策 WannaCryは、インターネット上のIPv4アドレスをランダムに探索し、感染活動を試みます。 ネットワークからの攻撃 MS17-010、CVE-2017-0145の悪用 を防ぐ回避策は、次の通りです。 SMB1 Server Message Block v1 の無効化• マイクロソフトセキュリティ情報 MS17-010: Microsoft Windows SMB サーバー用のセキュリティ更新プログラム 4013389• SMBv1、SMBv2、および WindowsとWindowsサーバーのSMBv3を無効にする方法 SMBボート番号 445 のブロック• WannaCrypt ransomware worm targets out-of-date systems ランサムウェアWannaCryは、感染PCに設定されているDNSサーバに、動作確認用サイトのIPアドレスを問合せます。 その後、動作確認用サイトへのHTTPアクセスに成功すれば活動 拡散活動、ランサム活動など を停止します。 1 403 Forbidden」のいずれの場合も、即時に活動を停止することを確認しました 図 5。 なお、追試では、図 6に示すネットワーク上に動作確認用のウェブサイト 192. 168. 80 を構築しました。 図 5: 動作確認用サイトへのHTTPアクセス 3. 3 拡散活動について ランサムウェアWannaCryは、同一ネットワーク内の探索を開始し、並行してランダムにIPアドレス空間の探索を開始します。 ランサムウェアWannaCryを、図 6に示すようなネットワーク構成の感染PCで実行し、ネットワークワームの特性である感染先の探索方法について調査した結果を紹介します。 図 6: 拡散活動の調査に利用したネットワーク構成 調査環境で使用したネットワークの場合には、稼働PCが2台 192. 168. 161, 192. 168. 162 のため、同一ネットワーク内の探索は、ARPパケットを使った探索として観測することになります。 感染PC 192. 168. 161 は、ARPパケットを使って同一ネットワーク内の稼働PCの探索を開始します 3 a。 次に、ARP応答のある稼働PC 192. 168. 162 に対して、TCPコネクションを確立し、SMB1脆弱性攻撃を仕掛けます 3 b。 並行して、ランダムにIPアドレス空間を探索を開始します。 ランサムウェアWannaCryは、イントラネットでの活動を想定した動作となっており、図 7に示すように、わずか1分程度で、ARP応答のある稼働PC 192. 168. 162 への感染活動を開始しています。 図 7: WannaCry拡散活動に伴う探索IPアドレスの発生分布 同様なネットワーク構成で2000年前半に流布したCodeRed3 2002年 、Slammer 2002年 のネットワーク探索の様子を観測開始から10,000パケットを対象にプロットしたものを図 8に示します。 CodeRed3は、感染した端末の近接IPアドレスを中心に探索し、Slammerは全域をランダムに探索しています。 図 8: CodeRed3 左 、Slammer 右 拡散活動に伴う探索IPアドレスの発生分布 次に、図 9にWannaCry、CodeRed3、Slammerの新規IPアドレスの探索速度を示します。 WannaCryの探査は決して早いわけではなく、イントラネットでの活動を想定した動作とすることで、拡散活動速度を上げようとしていると言えます。 1、x. 1、x. 255. 1、x. 2、x. 255. 2のように探索することになるため、サブネットマスクが広い方が拡散活動効率を下げる可能性がある反面、大量の同報パケットが持続することにより正常通信を阻害する可能性が高くなります。 4 SMB1脆弱性攻撃について ランサムウェアWannaCryのSMB1脆弱性攻撃においては、3つのSMBコネクションが利用されています。 1つは、感染PCのIPアドレス 192. 168. 161 を含み 図 10 、後続の2つは、マルウェア本体にハードコードされている2つのIPアドレス 192. 168. 20、172. 5 図 11、図 12 を含んでいます。 rb の送出パケットを記載しています。 図 10: 感染PCのIPアドレス 192. 168. 161 を含むSMBコネクション 図 11: マルウェア本体にハードコードされているIPアドレス 192. 168. 20 を含むSMBコネクション 図 12: マルウェア本体にハードコードされているIPアドレス 172. 5 を含むSMBコネクション 3. 更新履歴 2017年10月10日• 1 検体情報」を追記しました。 2017年06月19日• 5 影響有無調査結果」にWindows 10の検証結果を追記しました。 2017年05月29日• 4 SMB1脆弱性攻撃について」を追記しました。 2017年05月26日• 5 影響有無調査結果」を追記しました。 2017年05月23日• 2 動作確認活動について」を追記しました。 2017年05月18日• 3 拡散活動について」を追記しました。 2017年05月16日• 図1改訂、図3追記しました。 2017年05月15日• このページを新規作成および公開しました。 担当:寺田、大西.

次の

ハードウェアウォレットの仕組み

ランダム な ハード ウェア アドレス

ランサムウェアWannaCryは、ネットワークワーム型の機能を有するランサムウェアで 図1 、感染によって、ファイルを暗号化し、その暗号解除と引き換えに金銭を要求する動作はしますが、5月16日時点で、情報漏えいを引き起こす動作は報告されていません。 1 動作確認活動 WannaCryは、動作確認用サイトwww[. ]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[. ]comなどにアクセスします。 アクセスに成功した場合には活動を停止します。 このURLアクセスのことは、動作を停止することからキルスイッチとも呼ばれています。 5月15日に入ってから、このキルスイッチを無効化した亜種も報告されています。 2 生成活動 拡散活動、ランサム活動をしていくために必要な攻撃資源として、新たなexeなどを生成します。 3 拡散活動 SMB1脆弱性攻撃を通して自己増殖を試みます。 自己増殖の流れは、まず、感染先対象となるシステムとの間でSMB1コネクションを確立します。 その後、MS17-010脆弱性有無の確認、攻撃ペイロードの準備、バックドアDouble Pulsar有無の確認、攻撃ペイロードの実行によって完了します。 図 1: 感染活動の概要 4 ランサム活動 ランサム活動ではファイルを暗号化し、ファイル拡張子をWNCRYに変更します。 さらに、図 2のような脅迫状ダイアログを表示します。 図 2: 脅迫状ダイアログ 1. 2 被害 2017年05月13日• カスペルスキー:74か国から45,000件以上の攻撃を記録 WannaCry ransomware used in widespread attacks all over the world• US-CERT:米国、英国、スペイン、ロシア、台湾、フランス、日本など74か国で感染 Indicators Associated With WannaCry Ransomware• 英NHS National Health Service :少なくとも16組織が被害に Statement on reported NHS cyber attack• Wcrypt Tracker 図3: Wcrypt Tracker 1時間毎のオフライン+オンラインIPアドレス数 出典:malwaretech. com 2017年05月17日• 日立:ランサムウェアによる被害および復旧状況について 1. 3 注意喚起 各所からの注意喚起は、次の通りです。 US-CERT Multiple Ransomware Infections Reported 2017年05月12日• US-CERT TA17-132A: Indicators Associated With WannaCry Ransomware 2017年05月12日• IPA 世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について 2017年05月14日• 総務省 世界的な不正プログラムの感染被害について 注意喚起 2017年05月15日• 警察庁 攻撃ツール「Eternalblue」を悪用した攻撃と考えられるアクセスの観測について 2017年05月15日• ICS-CERT ICS-ALERT-17-135-01: Indicators Associated With WannaCry Ransomware 2017年05月15日 1. 4 解析情報 マイクロソフトによれば、WannaCryは、Windows 7、Windows Server 2008ならびに、それ以前の脆弱なOSを攻撃対象にしていると報告しています。 WannaCrypt ransomware worm targets out-of-date systems Windows Vista、Windows Server 2008、Windows Server 2008 R2、Windows 7、Windows 8. 1、Windows Server 2012、Windows Server 2012 R2、Windows RT 8. 1、Windows 10、Windows Server 2016の場合 マイクソフトから3月にリリースされているセキュリティ更新プログラムMS17-010を適用してください。 マイクロソフトセキュリティ情報 MS17-010: Microsoft Windows SMB サーバー用のセキュリティ更新プログラム 4013389 Windows Server 2003、Windows XP、Windows XP Embedded、Windows 8の場合 マイクソフトから、緊急でリリースされたセキュリティ更新プログラムを適用してください。 ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス 2. 2 マルウェア対策 セキュリティソフトを導入し、定義ファイルを常に最新の状態に保ってください。 カスペルスキー WannaCry ransomware used in widespread attacks all over the world 2017年05月12日• シマンテック What you need to know about the WannaCry Ransomware 2017年05月12日• トレンドマイクロ 大規模な暗号化型ランサムウェア「WannaCry/Wcry」の攻撃、世界各国で影響 2017年05月13日• A 2017年05月13日• I 2017年05月13日• マイクロソフト WannaCrypt ransomware worm targets out-of-date systems 2017年05月12日• マカフィ Protecting against Ransom-WannaCry May 2017 2017年05月12日• ランサムウェアWannaCryに関するさらなる分析 2017年05月14日 シマンテックのEndpoint Protectionが脆弱性 SMB1 への攻撃を検知すると、図3のようなアラームを表示します。 図4: シマンテックでの攻撃検知アラーム 2. 3 回避策 WannaCryは、インターネット上のIPv4アドレスをランダムに探索し、感染活動を試みます。 ネットワークからの攻撃 MS17-010、CVE-2017-0145の悪用 を防ぐ回避策は、次の通りです。 SMB1 Server Message Block v1 の無効化• マイクロソフトセキュリティ情報 MS17-010: Microsoft Windows SMB サーバー用のセキュリティ更新プログラム 4013389• SMBv1、SMBv2、および WindowsとWindowsサーバーのSMBv3を無効にする方法 SMBボート番号 445 のブロック• WannaCrypt ransomware worm targets out-of-date systems ランサムウェアWannaCryは、感染PCに設定されているDNSサーバに、動作確認用サイトのIPアドレスを問合せます。 その後、動作確認用サイトへのHTTPアクセスに成功すれば活動 拡散活動、ランサム活動など を停止します。 1 403 Forbidden」のいずれの場合も、即時に活動を停止することを確認しました 図 5。 なお、追試では、図 6に示すネットワーク上に動作確認用のウェブサイト 192. 168. 80 を構築しました。 図 5: 動作確認用サイトへのHTTPアクセス 3. 3 拡散活動について ランサムウェアWannaCryは、同一ネットワーク内の探索を開始し、並行してランダムにIPアドレス空間の探索を開始します。 ランサムウェアWannaCryを、図 6に示すようなネットワーク構成の感染PCで実行し、ネットワークワームの特性である感染先の探索方法について調査した結果を紹介します。 図 6: 拡散活動の調査に利用したネットワーク構成 調査環境で使用したネットワークの場合には、稼働PCが2台 192. 168. 161, 192. 168. 162 のため、同一ネットワーク内の探索は、ARPパケットを使った探索として観測することになります。 感染PC 192. 168. 161 は、ARPパケットを使って同一ネットワーク内の稼働PCの探索を開始します 3 a。 次に、ARP応答のある稼働PC 192. 168. 162 に対して、TCPコネクションを確立し、SMB1脆弱性攻撃を仕掛けます 3 b。 並行して、ランダムにIPアドレス空間を探索を開始します。 ランサムウェアWannaCryは、イントラネットでの活動を想定した動作となっており、図 7に示すように、わずか1分程度で、ARP応答のある稼働PC 192. 168. 162 への感染活動を開始しています。 図 7: WannaCry拡散活動に伴う探索IPアドレスの発生分布 同様なネットワーク構成で2000年前半に流布したCodeRed3 2002年 、Slammer 2002年 のネットワーク探索の様子を観測開始から10,000パケットを対象にプロットしたものを図 8に示します。 CodeRed3は、感染した端末の近接IPアドレスを中心に探索し、Slammerは全域をランダムに探索しています。 図 8: CodeRed3 左 、Slammer 右 拡散活動に伴う探索IPアドレスの発生分布 次に、図 9にWannaCry、CodeRed3、Slammerの新規IPアドレスの探索速度を示します。 WannaCryの探査は決して早いわけではなく、イントラネットでの活動を想定した動作とすることで、拡散活動速度を上げようとしていると言えます。 1、x. 1、x. 255. 1、x. 2、x. 255. 2のように探索することになるため、サブネットマスクが広い方が拡散活動効率を下げる可能性がある反面、大量の同報パケットが持続することにより正常通信を阻害する可能性が高くなります。 4 SMB1脆弱性攻撃について ランサムウェアWannaCryのSMB1脆弱性攻撃においては、3つのSMBコネクションが利用されています。 1つは、感染PCのIPアドレス 192. 168. 161 を含み 図 10 、後続の2つは、マルウェア本体にハードコードされている2つのIPアドレス 192. 168. 20、172. 5 図 11、図 12 を含んでいます。 rb の送出パケットを記載しています。 図 10: 感染PCのIPアドレス 192. 168. 161 を含むSMBコネクション 図 11: マルウェア本体にハードコードされているIPアドレス 192. 168. 20 を含むSMBコネクション 図 12: マルウェア本体にハードコードされているIPアドレス 172. 5 を含むSMBコネクション 3. 更新履歴 2017年10月10日• 1 検体情報」を追記しました。 2017年06月19日• 5 影響有無調査結果」にWindows 10の検証結果を追記しました。 2017年05月29日• 4 SMB1脆弱性攻撃について」を追記しました。 2017年05月26日• 5 影響有無調査結果」を追記しました。 2017年05月23日• 2 動作確認活動について」を追記しました。 2017年05月18日• 3 拡散活動について」を追記しました。 2017年05月16日• 図1改訂、図3追記しました。 2017年05月15日• このページを新規作成および公開しました。 担当:寺田、大西.

次の

インターネットに接続できない場合の確認方法

ランダム な ハード ウェア アドレス

ランサムウェアとは ランサムウェアは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせて作られた造語である。 ランサムウェアに感染すると、多くの場合、パソコンに保存したファイルやハードディスクが暗号化されてしまい、アクセスができなくなってしまう。 一度暗号化されてしまったファイルやハードディスクをもとに戻す復号は、極めて難しいとされる。 ほとんどの場合、復号するためには復号鍵も必要となる。 ランサムウェアの特徴は、端末を利用できない(暗号化)状態にした上で、身代金を要求することにある。 復号鍵を入手したければ金銭と引き換え、というわけだ。 このような行為が、ランサムウェアと言われるゆえんである。 以前のような愉快犯が作成したコンピューターウイルス(以下、ウイルス)であれば、自分の力を誇示することが目的となるため、悪質なプログラムを作成して世の中に広めるだけだった。 ランサムウェアの場合は、世の中に悪質なプログラムを広め、金銭を得ようとしているのだ。 ビットコインをはじめとする暗号資産(仮想通貨)や電子決済の普及により、送金の自由度が高まっていることも、ランサムウェア被害が拡大している要因のひとつとみてよいだろう。 しかし、支払い要求に応じたからといって、必ずしも復号鍵を入手できるとは限らない。 それでも、ランサムウェアに感染した被害者が、金銭の支払いに応じることは少なくない。 企業であれば、重要なファイルが暗号化されては事業に影響を及ぼしかねない。 個人であれば、大切な家族との写真や趣味の記録、制作物などが暗号化されてしまう。 被害者側はわらにもすがる思いで、支払い要求に応じてしまうのだ。 ランサムウェアは、2010年ごろから世界中で被害が報告されるようになった。 「泣きたくなる」と名付けられたこのランサムウェアは、一般ユーザーから企業まで多くの被害をもたらした。 大切なファイルを暗号化されてしまい、泣く泣く支払いに応じた方も少なくないはずだ。 ランサムウェアは、さらなる進化を遂げている。 近年では、Windowsパソコンだけではなく、スマートフォン(以下スマホ)をも標的にしている。 スマホを標的にするランサムウェアの多くは、ファイル暗号化型ではなく、端末をロックするものが多い。 スマホは、パソコンと異なり、クラウド上にバックアップを自動的に作成することが多いため、暗号化されてもバックアップからの復旧がおこないやすいことが多い。 このため、スマホの場合は管理者権限を奪取する端末ロック型のランサムウェアが蔓延している。 管理者権限を奪われ、端末をロックされてしまうと、端末にアクセスできなくなってしまう。 ランサムウェアはマルウェアの一種 パソコンに深刻な被害を与えるマルウェアとランサムウェアの違いとを理解するために、改めてマルウェアについて簡単に整理してみよう。 マルウェアとは、「malicious software 悪意があるソフトウェア 」の略語であり、意図的にパソコンやスマホに不具合を起こす目的で作成されたソフトウェアのこと。 パソコンにダメージを与えることが目的の悪質なプログラムは、すべてマルウェアとみなされる。 耳にすることも多い「ウイルス」とは、マルウェアを指していることも多い。 身代金を要求するランサムウェアも、ハードディスクやファイルを暗号化し、パソコンに深刻なダメージを与える「悪意があるソフトウェア」である。 そのため、マルウェアの一種とみなすことができる。 マルウェアとランサムウェアは、それぞれ別のものを指しているのではない。 マルウェアの中でも、身代金を要求する類いのものをランサムウェアとして区別し、そのように呼んでいるのだ。 マルウェアの中には、ランサムウェア以外にもその特徴から、以下のように区別されているものがある。 ウイルス パソコンの中のプログラムを一部書き換えて自身を添付し、ネットワークを介して増殖し感染を広げるプログラム。 宿主が必要なことや自己増殖できることから、ウイルスと名付けられた。 人に感染するウイルスと同様に、ウイルスによって引き起こされる症状は異なる。 一般的に、ウイルスは単独で存在することができないため、感染したプログラムの実行といった人による操作がないと増殖ができない。 ワーム 宿主が必要なウイルスに対し、ワームは単独で存在可能なので、ワーム(虫)と呼ばれる。 人による操作を必要とせずに増殖できるため、爆発的に自身のコピーを作成し、甚大な被害を与えることが多い。 パソコンをリモート制御するために、予めワームを標的のパソコンに仕込んでおくといった攻撃手法もある。 トロイの木馬 一見すると無害の画像ファイルや正規のアプリケーションになりすまし、パソコンの中に入り込むプログラム。 ギリシア神話で登場するトロイの木馬と同様に、無害な状態から何らかのトリガーをきっかけに豹変し、パソコンに被害を与える悪質な行動に及んだり、パソコンへの入り口であるバックドアを開いたりする。 スパイウェア パソコンの中に入り込み、端末内の個人情報やユーザーの挙動といった情報を収集し、外部へ送信する機能を持つプログラム。 パソコン自身にはダメージを与えないが、ユーザーには不利益になるため、広義にはマルウェアに分類される。 多くの場合、フリーウェアなどに潜んでおり、ユーザーが気づかないうちに情報が窃取されることがある。 ランサムウェアの被害を防ぐための対策 ランサムウェアの感染経路は、従来型のウイルスと同様に、主にWebサイトとメールである。 新しいタイプのマルウェアだからといって、必ずしも特別な感染経路というわけではない。 ただし、その方法は巧妙化している。 従来であれば、あからさまに内容が怪しい、日本語がおかしい、または外国語のメールに注意を払えばよかった。 しかし最近では、正常なものと見分けるのが困難なWebサイトや自然な日本語のメールにランサムウェアが仕掛けられていることも多く、対策が難しくなっている。 さらには、「」と呼ばれるWindowsのSMB(Server Message Block)プロトコルの脆弱性を突くような攻撃も起こっている。ランサムウェアの被害を防ぐために、以下のような対策を講じることが必要となる。 OSを最新の状態に保つ 従来のマルウェアと同様に、ランサムウェアに対してもOSを最新の状態に保つという基本的な対策は極めて有効だ。 2017年に蔓延したランサムウェアも、Windows OSを最新にしていれば被害を限りなく防げたといわれている。 常にOSを最新の状態に保っていれば、脆弱性を改善することにもなり、ランサムウェアの被害を防ぐ可能性が高まる。 セキュリティ対策ソフトの導入 アンチウイルスソフトなどのセキュリティ対策ソフトも、感染予防に有効である。 ただ単にソフトをインストールするだけではなく、OSと同じく検出エンジン(ウイルス定義データベース)を常に最新の状態にアップデートしておきたい。 近年のセキュリティ対策ソフトは、パーソナルファイアウィールや迷惑メール対策など複合的に対策ができるため、ランサムウェア以外のマルウェア全般に対しても、高い効果を発揮する。 バックアップの取得 ランサムウェアは、感染するとハードウェアやファイルを暗号化する。 バックアップを取得しておけば、たとえランサムウェアに感染しても、バックアップを取得した時点のファイルに復旧することができる。 身代金を払わずとも暗号化を解除することにつながるため、ランサムウェア対策としてバックアップは極めて有効である。 しかし、バックアップを取得するメディアがパソコンと繋がっていれば、ランサムウェアに感染した際に、バックアップデータまで暗号化されてしまう可能性がある。 バックアップデータを取得した後は、バックアップメディアをパソコンから切り離しておく必要がある。 なお、別の記事にランサムウェアの感染経路ごとの対策と、マルウェアに感染した場合の駆除方法を掲載している。 これらも合わせて参照してみてほしい。 まとめ 私たちの生活は、もはや情報端末なくしては成り立たないほどまでになりつつある。 それがパソコンであれ、スマホであれ、使用不可の状態に追い込むランサムウェアは、大きな脅威となる。 だからこそ、その端末をランサムウェアに乗っ取られてしまうと、要求された身代金の支払いに応じてしまいかねない。 そして、企業にとってはランサムウェアの感染リスクは、個人より大きい。 たった一台のパソコンがランサムウェアに感染しただけで、他のパソコンにも被害が拡大し、場合によってはファイルサーバーに格納されているデータまで暗号化されてしまうこともありうる。 適切にバックアップを取得していない場合、ファイルサーバーを暗号化されてしまうと、企業の事業運営に致命的なダメージを与えることになるだろう。 重要なことは、ランサムウェアへの感染を未然に防止すること。 ランサムウェアを防御するための基本的な対策は、OSやセキュリティ対策ソフトを最新の状態で維持するといった「当たり前のことを当たり前に」おこなうことである。 この機会に、バックアップの体制を構築し、問題なく復旧できることも確認しておきたい。 そして、ランサムウェアの被害を防ぐための従業員教育を徹底することも重要だ。 パソコンやスマホなどの情報端末を快適に利用するためには、リスクに対する備えを当たり前のように実施する習慣を身につけることが、最も重要で最も有効な対策となるということを忘れてはならない。

次の