読者です 読者をやめる 読者になる 読者になる

狡猾なランサムウェ「ブ」

ランサムウェアについては、既に「そこにある脅威」というべき状況ですが、2015年頃から急増しているのが、ランサムウェ「ブ」。

もう1年半ほど前の記事ですが、実際の攻撃手法があったので書いておきます。

「『ランサムウェブ』このウェブサイトへの急増する脅威はDDoSやデータ窃取、サイト書き換え以上のものになるか?」

www.htbridge.com

要するにウェブアプリケーションのデータベースを暗号化して、解除鍵が欲しければ金を払えと脅迫するのですが、かなり周到な準備を行っています。

ある例では、犯罪者はWebサイトに侵入し、Webアプリケーションのスクリプトの一部を置き換えます。新スクリプトはデータ入力時には外部サイトで暗号化してから保存、データ出力時には外部サイトで復号しています。この状態を半年ほど続けた後で、暗号化や複合を司る外部サイトを停止させ、運営者を脅迫します。

この手法では、暗号化を進める段階では普通に運用ができるため、気づかれにくい状態となります。十分な期間をおけば、外部バックアップも暗号化済みデータになるため、バックアップから復元してもサービスが再開できません。脅迫された場合、サービスの断念か「身代金(ランサム)」の支払い以外、事実上選択肢はないと言えるでしょう。

対策は、元記事にもあるようにファイル整合性チェックです。スクリプトのハッシュをとっておき定期的にチェックすることで、異常な置き換えが検出できるはず。また、こういった脅威を想定するのであれば、データベースの重要項目については保存時に(別スクリプトなどで)形式チェックを行うのも一手でしょう(暗号化されたデータは形式が異常になるはずです)。