ASCII.jp ランサムウェアが怖ければPCにデータがなければいいじゃない
PCのデータに暗号化を施し、身代金を要求するランサムウェアの攻撃対象が個人からいよいよ企業に移りつつある。最新ランサムウェアの脅威をセキュリティ事情に詳しい宮田健氏に聞くと共に、横河レンタ・リースのデータレスPC「Flex Work Place」がなぜランサムウェア対策として有効かを調べてみた。
宮田健氏に聞く!本当に怖いランサムウェアの話
昨今、インターネットユーザーを震え上がらせているランサムウェア。2011年に登場した「TeslaCrypt」(通称vvvウイルス)で世に知られるようになり、以降数多くのランサムウェアが猛威を振るっている。
TeslaCryptはPCのローカルファイルを暗号化し、拡張子をすべて.vvvに変更してしまう。そして、ファイルを復号化するためのパスワードを取得させるべく、PCのユーザーに身代金を要求する。まさに人質だ。身代金は足の付きにくいビットコインが用いられ、しかも1週間ごとに身代金が額が引き上げられる。「身代金を払ってパスワードを入手しても、ファイルが復元できないこともある。非常に狡猾で、厄介なマルウェア」と宮田氏は指摘する。
セキュリティに詳しいライターの宮田健氏
ランサムウェアの特徴的なのは、攻撃者がユーザーに対して直接金銭を要求するところ。「今までのマルウェアは、基本的にはPCにある情報を盗み出し、犯罪組織に売るなど間接的な手段でお金を得ていた。しかし、ランサムウェアは被害者に対して直接金銭を要求する」と宮田氏は指摘する。従来はヨーロッパやロシアを中心に被害が拡がっていたが、2015年からはTeslaCryptが日本で流行し、実際に何件も被害が出ている。
「ある主婦の被害者の方はランサムウェアに感染し、バックアップからデータを戻そうと、USBのHDDを接続したら、その瞬間にそちらのデータも暗号化された。不幸なことにお子様の写真はそのHDDにしかなかったので、四方八方手を尽くして、ビットコインを入手し、身代金を6万円くらい支払ったようです。幸いデータは無事だったのですが、かなり大変だったようです」(宮田氏)
恐ろしいことに、これまで個人をターゲットとしてきたランサムウェアは、昨今企業をターゲットにしつつある。感染したPCのみならず、ネットワーク経由でアクセスできるファイルサーバーをロックオンし、そこにファイルやバックアップを消しに行くのである。「米国では病院や警察などがすでに被害に遭っている。最近ではプログラムの中に解除のコードが入っていないというランサムウェアも現れている。こうなると、データ自体が復号化できないので、情報破壊やテロに近い」と宮田氏は警告する。
もはやランサムウェアを見抜くのは難しい
ランサムウェアはメールに添付されたファイルをダブルクリックすると感染する。つまり、感染パターンは十年前からまったく変わっていない。しかし、最近はマルウェアであることを見抜くのがきわめて難しくなっているという。
まず添付ファイルが通常のOfficeやPDFファイルに見えるので、ファイルを見ただけでは判断が付かない。ファイルを開くと、OfficeやAcrobat Readerの脆弱性を突いて、ダウンローダーが勝手に導入され、ランサムウェアが侵入してしまう。また、標的型攻撃ということで、攻撃対象を研究し尽くしているため、送信先も部長の名前などで来るし、メールの文面も違和感のない日本語が使われる。「昔は怪しいexeファイルを開かないという対策でなんとかなっていた時期もあったが、今はファイルを見ただけでは気をつけようがない。ファイルを開いたかどうか、一般の人を装って電話で確認してくる攻撃者もいる」(宮田氏)とのことで、ソーシャルエンジニアリング的な手段もますます巧妙になっている。
もちろん、セキュリティ対策ソフトを導入し、脆弱性が対策されたOfficeやAcrobat Readerの最新版をダウンロードすれば、ランサムウェアの侵入はある程度まで防げる。しかし、これも「本音と建前」もあり、実際きちんとアップデートされている企業はあまり多くない。「ウイルス対策ソフトを導入している企業は多いが、脆弱性対策はほとんどエンドユーザーに任されている。きちんとアップデートを確認している企業は少ない」と、宮田氏は指摘する。
さらにランサムウェアの場合は、データをリカバリするためのバックアップが有効だが、クライアントPCをバックアップしている企業はほとんどない。ここには「IT部門がクライアントPCをケアする文化がない」「バックアップソフトが高い」「バックアップ処理の負荷が高いためユーザーが入れたがらない」などさまざまな事情がある。
しかし、バックアップをとっていない状態でランサムウェアに感染すると、作った営業資料がその瞬間から使えなくなる。「クラウドの台頭がよく報道されているが、今でも日本の会社はExcelやWordなどファイルのワークフローが中心。こうした中、本当にみなさん綱渡りの状態で仕事している。早めになんらかの手を打たなければならない」と宮田氏は語る。
データレスPCを実現するFlex Work Placeでランサムウェア対策
ランサムウェアに対する対策が情シス部門の急務になる中、「そもそもPCにデータを置かない」という斬新な方法で、マルウェアに対する解決方法を提案するのが、横河レンタ・リースのデータレスPC「Flex Work Place」である。
Flex Work PlaceはActive Directory環境のクライアントPCに専用アプリケーションを導入することで、データレスPCを実現するソリューションだ。Flex Work Placeの入ったPCではローカルディスクへの書き込みが不可になり、ドライバレベルでファイルへのI/Oはすべて社内のファイルサーバーやクラウドストレージにリダイレクトされる。ある種、シンクライアントのようなローカルHDDのないPCができあがるわけだ。
Flex Work Placeで実現する「データレスPC」
Flex Work Placeの場合、オフライン時でもPCのメモリ上に仮想的に作られるRAMディスクにファイル自体を配置でき、ログアウトやシャットダウン時には消去される。そのため、端末を紛失や盗難されても、情報漏えいの心配がなくなるわけだ。逆にRAMディスク上のファイルで同期されていないファイルがある場合は警告が表示されるため、更新箇所を消してしまうという事態も防げるという。
ポイントとなるのは、ユーザーに意識させることなく、セキュリティが確保できる点。横河レンタ・リース システム事業本部 エンジニアリング事業部 事業推進部長 松尾太輔氏は、「企業によってはルールでローカルHDDにデータを置いてはいけないと定めていますが、現実問題として個人のモラルに依存するのは無理があります。その点、Flex Work Placeではユーザーが意識せずにファイルをサーバーに保存できます」と語る。
横河レンタ・リース システム事業本部 エンジニアリング事業部 事業推進部長 松尾太輔氏
もう1つのメリットはやはりバックアップだ。Flex Work Placeの場合、ユーザーデータが一元的にファイルサーバーやクラウドストレージに保存されるため、ファイルサーバーで一括バックアップしてしまえば、クライアントPCごとにバックアップする必要がなくなる。バックアップの負荷は大幅に軽減されるわけだ。
VDIや同期型バックアップと比べてどこが優れている?
ここまでの話を聞けば、多くの読者はVDI(Virtual Desktop Infrastracture)のようなソリューションで同じことができると考えるだろう。しかし、VDIはコストの問題がある。VDIではサーバーに処理が集中するため、ハードウェアは高価なものが必要になるし、クライアントPCごとのバックアップをとろうとすると、ストレージコストも馬鹿にならない。これに対してFlex Work Placeは、処理自体はクライアントPCで行ない、あとはデータを保存するファイルサーバーがあればよい。「費用対効果ではVDIの10倍を謳っています」と松尾氏は語る。
運用スキルという観点でもメリットは明らかだ。「VDIの場合、サーバーやストレージ、仮想化技術、バックアップなどのインフラ系の知識がひととおり必要になりますし、リンクドクローンとか、パーシスタンスとか、パターンもさまざま。覚えることがいっぱいあります」と松尾氏は語る。その点、Flex Work Placeであれば、IT部門にとってもっとも身近なファイルサーバーを扱えればよいし、クラウドに抵抗感のある企業でも安心して利用できる。
VDIやノートPCの暗号化、Flex Work Placeとの比較
また、クライアントPCとクラウドのデータを同期するタイプのクラウドバックアップも存在するが、「われわれがリダイレクトにこだわっているのも、やはり同期型はファイルの不整合にいろいろ問題が出るからです。日本のようにネットワーク環境が整っているところであれば、データを一元的に扱えるほうがよいと思います」と松尾氏は指摘する。
レスポンスも軽快!復旧作業も圧倒的に楽
取材時、松尾氏がFlex Work Placeのデモを見せてくれた。VPN経由でFlex Work Placeにログインすると、ファイルサーバーの松尾氏のディレクトリに登録されたデスクトップが表示される。初回、ファイルを開く際はダウンロードが必要だが、いったんキャッシュしてしまえば、操作は快適だ。VDIのような画面転送ではなく、ローカルのリソースで処理しているため、レスポンスも良好。当然、VDIの弱点である動画系の利用もまったく問題ない。
セキュリティをフィールドとし、「バックアップマニア」を自認する宮田氏も、Flex Work Placeには興味津々。「マルウェアに感染した場合、以前はセキュリティ対策ソフトで駆除するというのが普通ですが、ルートキットのようなOSの深い部分に入り込んでいる場合、駆除自体が難しい。であれば、PC自体初期化した方が早いし、安全です。その点、Flex Work Placeを使えば、なにより復旧が圧倒的に楽なのがいいですね」とコメントする。
松尾氏も、「マネタイズに成功してしまったという点で、ランサムウェアの登場は企業にとって大きな脅威。技術的に特に難しいことはやってないので、今後亜種も増えるし、手口も巧妙になってくる。こうした中、感染したらPCのデータは触り放題で、バックアップもとってないという環境は、もはや許されなくなります」と指摘。データレスPCを実現するFlex Work Placeであれば、低廉な価格で、VDIやシンクライアントと同等のセキュリティ対策を実現できるという。
もともと横河レンタ・リースがこうしたソフトを自社開発するに至ったのも、PCのレンタル・リースを手がける中で、ユーザーの運用負荷を軽減したいと考えたからだという。しかし、ここまで紹介してきたとおり、ランサムウェア対策という観点でもFlex Work Placeは有効に機能する。クラウドとの連携や資産管理などのソリューションもあるため、ぜひ製品の詳細をチェックしてもらいたい。
元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。IT分野ではセキュリティを中心にウォッチを続け、エンタープライズ分野におけるセキュリティを追いかけつつも、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。
(提供:横河レンタ・リース)