ランサムウェアは砂のようなものです。どこにでもあって、サンドイッチをカリカリにしてくれる。なるほど、後者ではないかもしれませんね。しかし、ランサムウェアは侵襲的で、あなたが思っている以上に多くのものを暗号化することができます。個人的なファイルを破壊することは、ランサムウェアがバックアップを攻撃しなくても、十分に痛いことです。

メインのハードディスクだけでなく、その他のシステムドライブを攻撃するランサムウェアの亜種がいくつか存在します。クラウドドライブも戦線離脱はしていない。今こそ、ファイルのバックアップ方法と、そのバックアップの保存場所を正確に把握する必要があるのです。

ランサムウェアはどこにでもある

ランサムウェアの攻撃は甚大な被害をもたらすことを私たちは知っています。ランサムウェアは、写真、音楽、動画など、あらゆる種類のファイルを狙うため、特に厄介な存在です。ハードディスクには、個人用、仕事用、ビジネス用のファイルがたくさん入っており、暗号化の格好のターゲットになっています。暗号化されると、ファイルの安全な解放のために、通常はほとんど追跡不可能なビットコインでの支払いを要求する身代金請求書に遭遇することになります。

その場合でも、暗号化キーや復号化ツールを受け取ることができる保証はありません。

暗号化ロック

CryptoLocker ランサムウェアはそのような亜種の一つで、ローカルのハードディスクを暗号化するだけではありません。2013年に初めて登場し、感染したメールの添付ファイルを通じて拡散しました。CryptoLockerはシステムにインストールされた後、ローカルのハードディスクをスキャンして特定のファイル拡張子のリストを探します。さらに、USBドライブやネットワークドライブなど、接続されているあらゆるドライブをスキャンします。

読み取り/書き込み可能なネットワークドライブは、ローカルのハードディスクと同様に暗号化されます。これは、従業員がネットワーク上の共有フォルダーにアクセスする企業にとって課題です。

幸いなことに、セキュリティ研究者は、すべての暗号化キーを含むCryptLockerの被害者データベースのコピーを解放しました。彼らは、被害者がファイルを復号化するのを助けるために復号化クリプトロッカーポータルを作成しました。

しかし、彼ら自身が認めているように、Zeusボットネットで巨大なゲームを世界的に破壊している間に被害者データベースを盗めたのは「おおむね幸運」だったのです。

進化：コードフォートレス

CryptoLockerが出現し、50万人以上の犠牲者を出しました。Dell SecureWorksのKeith Jarvisは、CryptoLockerは最初の100日間で3000万ドル（50万人の被害者全員が300ドルの身代金を支払った場合は1億5000万ドル）を強奪した可能性があると主張している。しかし、CryptoLockerは、ネットワーク駆動型マッピングランサムウェアの終わりの始まりではありません。

CryptoFortressは、2015年に高名なセキュリティ研究者であるKafeine氏によって発見されました。TorrentLockerの外観を持ちながら、マッピングされていないネットワークドライブを暗号化するという、重要な進歩を遂げています。

通常、ランサムウェアは、C:、D:、e:などのマッピングされたネットワークドライブのリストを取得します。その後、ドライブをスキャンし、ファイル拡張子を比較し、一致するファイル拡張子を暗号化します。さらに、CryptoFortressは、開いているすべてのWebサーバーメッセージブロック（SMB）共有を列挙し、見つけた共有はすべて暗号化します。

そして、ロックが登場

Lockyもランサムウェアの亜種で、すべてのファイルの拡張子を.Lockyに変更し、ビットコイン財布であるwallet.datへの攻撃を狙うことで有名です。 Lockyは、ローカルファイルやマッピングされていないネットワーク共有上のファイルなどもターゲットにして、その過程でファイル名を完全に難読化させます。このような混乱は、復旧作業をより困難なものにしています。

今のところ、Lockyに対応した復号化プログラムはありません。

クラウドベースのランサムウェア

ランサムウェアは、私たちのローカルストレージやネットワーク化された物理ストレージを追い越し、クラウドを追い越しました。これは重要な問題です。クラウドストレージは、バックアップのための最も安全なオプションの1つとしてよく知られています。データのバックアップを取り、ローカルやインスタントネットワーク共有から離しておくことで、分離が可能になるはずです。残念ながら、ある種のランサムウェアの亜種は、このセキュリティを削除しています。

RightScaleStateofCloudレポートによると、82%の企業がマルチクラウド戦略を利用しており、さらにIntuitによる調査（Slideshare eBook）では、2020年までに78%の中小企業が完全にクラウド化されると発表しています。大小さまざまな企業の劇的な移行により、クラウドサービスを提供するランサムウェアプロバイダーにとって明確なターゲットが生まれました。

ランサム_コンピューター支援設計

悪質な役者は入り口を探してくる。ソーシャルエンジニアリングやフィッシングメールは、信頼できるセキュリティ管理を回避するために使用できる主なツールです。 トレンドマイクロのセキュリティ研究者は、「RANSOM_Computer Aided Design」という特定のランサムウェアの亜種を発見しました。クラウドとプロダクティビティのプラットフォームであるMicrosoft 365のホームユーザーとビジネスユーザーをターゲットに使用されました。

Cerberの亜種は、「AES-265とRSAを組み合わせた442種類のファイルの暗号化、マシンのinternetexplorerゾーン設定の変更、ボリュームシャドウのコピーの削除、Windowsスタートアップ修復の無効化、プロセスの終了」などが可能で、Outlook、Bat!ThunderbirdとMicrosoft Word。

さらに、他のランサムウェアの亜種が示す振る舞いとして、Cerberは感染したシステムの地理的な位置を照会します。ホストシステムが独立国家共同体（ロシア、モルドバ、ベラルーシなどの旧ソビエト連邦諸国）のメンバーである場合、ランサムウェアは自ら終了してしまいます。

感染症対策としてのクラウド

ランサムウェア「Petya」は2016年に初めて登場しました。ここでは、注目すべき点をいくつか紹介します。まず、PetyaはPCのマスターブートレコード（MBR）全体を暗号化し、システムをクラッシュさせてブルースクリーンにすることができます。そのため、システム全体が基本的に使えなくなります。再起動すると、Petyaの身代金請求書が表示され、頭蓋骨が表示され、ビットコインでの支払いが要求されます。

次に、Petyaは、履歴書を装ったDropbox上の感染ファイルを介して、多くのシステムに拡散しました。このリンクは、申請者の詳細情報を装いながら、実際にはランサムウェアをインストールする自己解凍型の実行ファイルにリンクしていました。

幸いなことに、正体不明のプログラマーがPetyaランサムウェアの暗号を解読することに成功しました。このクラックにより、MBRを解除し、キャプチャしたファイルを解放するために必要な暗号化キーを明らかにすることができました。

ランサムウェアの拡散にクラウドサービスが利用されるのは理解できる。クラウドストレージを利用してデータをバックアップすることは、さらなるセキュリティの強化につながるので、ユーザーにはお勧めします。クラウドサービス成功のカギを握るのは、セキュリティです。この信念は、クラウドの安全性に対する人々の信頼を裏切り、残酷なまでに悪用される可能性があるのです。

ランサムウェアはどこにでもある

クラウドストレージ、マッピングされた、またはマッピングされていないネットワークドライブ、ローカルファイルは、依然としてランサムウェアの攻撃に対して脆弱なままです。これは何も今に始まったことではありません。しかし、悪意のある行為者によってバックアップファイルが積極的に狙われることで、懸念の度合いが増しています。これは、逆に言えば、さらなる注意が必要ということです。

重要なファイルをオフラインで個別にバックアップしておくことは、ホームユーザーにとってもビジネスユーザーにとっても、今や不可欠なものとなっています。今すぐ実行しましょう。予期せぬランサムウェアに感染した後、同じく予期せぬソースから復旧するためのアクションになるかもしれません。

クラウドストレージがランサムウェアに侵入されていませんか？何をしたんだ？あなたのお気に入りのバックアップソリューションは何ですか？クラウドストレージのセキュリティについて、読者の皆さんと共有しましょう。

写真提供：ijab/Shutterstock