Digital Arts News Watch

2018/01/17   
サイバー攻撃    標的型攻撃    i-FILTER    m-FILTER   

「i-FILTER」はいかにして未知のランサムウェアからユーザーを守ったか

大手製造業のサイトを閉鎖に追い込んだランサムウェア「Bad Rabbit」

感染した端末内のファイルを勝手に暗号化してしまい、「元に戻してほしければ金銭を支払え」と脅迫してくるランサムウェア。2017年5月に世界中で大規模な感染が報告され、日本においても被害が続出した「WannaCry」の騒動はまだ記憶に新しいところですが、実は同年10月にも世界規模でランサムウェアの被害が発生していました。それが、「Bad Rabbit」と呼ばれるランサムウェアです。

その主な感染経路は「ドライブバイダウンロード」と呼ばれる手口で、正規のWebサイトを改竄して訪問ユーザーを強制的に不正サイトに誘導し、ランサムウェアのインストーラーファイルをダウンロードします。
Bad Rabbitの場合、このファイルはAdobe Flashのインストーラーを装っており、ダウンロードしたユーザーが端末上でこのファイルを実行するとマルウェアに感染する仕掛けになっています。

Bad Rabbitはもともと、ロシアやウクライナで感染が多く報告されていました。主に大手メディア企業のサイトが改竄され、そこを訪れた数多くのロシアの一般ユーザーが感染しました。またBad Rabbitはほかのランサムウェアと同じように、感染した端末から別の端末へと横断的に感染を広げていく性質を持っていたようで、ロシア地域では瞬く間に被害が広がっていきました。

一方、日本においても、IPAから注意喚起がされるなど、セキュリティに関わる人々の間では話題になったBad Rabbitですが、現在では幸いにも被害は鎮静化に向かっているようです。ただし、最も被害が多かった10月下旬の時点では、とある大手製造企業のサイトが改竄され、Bad Rabbit配布の踏み台とされてしまいました。この企業では、サイト改竄が発覚した時点で即座にサイトを閉鎖して調査を行い、その結果10月6日から24日の間、サイトが不正に改竄された状態にあったとの調査報告を公表しました。

結局、この企業がすべての調査と対応を終え、サイトを再び公開したのは11月20日のこと。感染が発覚してから実に1カ月弱もの間、サイト閉鎖を余儀なくされてしまったのです。

感染した場合に表示される身代金要求画面の一例

感染した場合に表示される身代金要求画面の一例

出典:IPA による検証結果「感染した場合に表示される身代金要求画面の一例」図

被害発覚前からいち早くBad Rabbitに対処していた「i-FILTER」Ver.10

当時、この企業のサイトを閲覧したことでBad Rabbitに感染したユーザーがいたのかどうか、定かではありません。しかし弊社では、Bad Rabbitの被害が確認されるかなり前からその兆候をつかみ、先回りして対策を打っていました。

弊社のWebフィルタリング製品「i-FILTER」の最新バージョンである「i-FILTER」Ver.10 をお使いいただいていたとあるお客様が、10月14日にこのサイトを訪れていたのです。しかし、結果的にこのお客様はBad Rabbitの感染から免れています。その理由は、「i-FILTER」Ver.10 が不正サイトへの誘導をカテゴリ外URLへのアクセスとしてブロックしたからです。

新バージョンの「i-FILTER」Ver.10 からは、「安全なサイト」のデータベースを保持するようになったため、カテゴリ外URLは安全でない未知のサイトとして、アクセス禁止にすることを推奨しております。

Bad Rabbitの被害を防ぐ上でも、この仕組みが大いに役立ちました。誘導先サイトの情報が、安全なサイトのデータベースに登録されていなかったため、「i-FILTER」Ver.10 がアクセスを自動的にブロックしました。加えて、弊社ではこのサイトを脅威サイトと判定し、データベースに新たに加え「i-FILTER」Ver.10 のみならず、全てのバージョンの「i-FILTER」に即座に配信しました。

これらの措置がとられたのが、10月14日のこと。世間でBad Rabbitの存在と被害が明らかになる実に10日前の時点で、「i-FILTER」Ver.10 はBad Rabbitの存在を検知してその被害を防いでいたのです。Webフィルタリングはどちらかというと「既知の脅威に対応するためのもの」というイメージを多くの方がお持ちかもしれませんが、「i-FILTER」Ver.10 を使えばこのように、最新のランサムウェアを含む未知の脅威にもいち早く対応できるようになるのです。今後も増え続けると思われるランサムウェアや標的型攻撃の対する備えとして、ぜひ活用することをお勧めします。

  1. 「i-FILTER」Ver.10 製品情報

< 「i-FILTER」製品担当:遠藤 >

ランサムウェア対策には「i-FILTER」Ver.10×「m-FILTER」Ver.5 をおすすめします。

「i-FILTER」Ver.10×「m-FILTER」Ver.5

最近の記事
Recent Entry

カテゴリ
Category

すべて
個人向け製品
i-フィルター
法人向け製品
i-FILTER
i-FILTER ブラウザー&クラウド
D-SPA
m-FILTER
FinalCode
インシデントレスポンス
標的型攻撃
サイバー攻撃
シャドーIT
不正な情報持ち出し
メール誤送信
マイナンバー
コンプライアンス・内部統制
クラウドのセキュリティ
ICT教育
セキュリティ全般

月別アーカイブ
Archive