Kaspersky、Windowsの既知の脆弱性を悪用するランサムウェア「Sodin」を発見

既知のWindowsの脆弱性（CVE-2018-8453）を悪用する、暗号化型ランサムウェア「Sodin」は、感染したシステムの特権昇格の脆弱性の悪用や、CPUのアーキテクチャを巧みに利用し検知を回避します。このような機能を持つランサムウェアはまれです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭の引用である程度気づかれた方もいるかもしれませんが、今日は少々注意喚起の意味を込めての話題です。

検知を回避するランサムウェア『Sodin』

先日『カスペルスキー』が発表したランサムウェア『Sodin』は少々厄介なランサムウェアのようです。

昨年発見された『Windowsのゼロデイ脆弱性（CVE-2018-8453）』を悪用し、権限を昇格させる高度なアプローチをとっているとされています。

例えば、通常のランサムウェアの場合、『メールの添付ファイル』を開いたり『悪意のあるリンクをクリック』するなどユーザー側の操作が必要ですが、『Sodin』を使った攻撃ではユーザー側の操作は不要になります。

つまり、攻撃を受けてしまった場合は勝手に操作されてしまうということになります。

また、この『Sodin』の検知を難しくしている理由として、『32ビットプロセスから64ビットコードを実行』でき、『セキュリティの検知を迂回して回避』しているようです。

ただし、このような『ランサムウェア』は『まれ』なものでもあるとされています。

このような『ランサムウェア』の被害に遭わないためにも『Windows』や『セキュリティソフト』は最新の状態を保つ必要があります。

『Windowsのゼロデイ脆弱性（CVE-2018-8453）』は2018年10月に『パッチ（セキュリティ更新プログラム）』がリリースされていますし、『セキュリティソフト』に関しては『カスペルスキー』がこの発表を行った以上、他社も直ぐに対応の『定義ファイル』を配信しているはずですから、最新の状態を保つことが被害を防ぐことにつながります。

＜追伸＞

7月4日時点の『Sodin』の感染率は台湾が約17％、日本・ドイツ・韓国が8％程度となっているようです。

米国の政府機関での長年の実績があり、アメリカ陸軍のNETCOM （The U.S. Army Network Enterprise Technology Command）よりCertificate of Networthiness (CoN)の認証を取得しています。

※CoN認証は「AppGuard」が米国陸軍並びにアメリカ国防省 (Department of Defense) の高水準なセキュリティ・スタンダードを満たしたことを示します。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

『米国政府機関で採用され18年間破られたことがない』、『外部からのマルウェア脅威から完璧に守る』というキャッチコピーのエンドポイントセキュリティ、『AppGuard』に関して今日はご紹介します。

米国政府機関を守るセキュリティ

通常、エンドポイントセキュリティと言われると、『ESET』、『カスペルスキー』、『ノートン』、『ウイルスバスター』、『マカフィー』あたりが日本には馴染みが深いかと思いますが、通常とは異なる視点でコンピュータを守ってくれるセキュリティソフト、『AppGuard』というものがあります。

通常と異なるというのは、通常のエンドポイントセキュリティの場合、マルウェアを『検知』して『駆除』となりますが、『AppGuard』の場合は『アプリの不正動作をブロック』という新しい発想で作られています。

この製品、冒頭で書いた通り米国陸軍のCoN認証を取得しているもので、米国政府機関においても長年の利用実績があります。

ある企業がこの製品を検証したそうです。

結果、

AppGuardがインストールされたPCにさまざまなマルウェアやランサムウェアを感染させる検証を行ったが、1ヶ月間、1度も被害は確認されなかった。

さぞかし高価なセキュリティソフトかのように思われますが、この『AppGuard』、『Enterprise』と『Solo』というものがあり、中小企業向けは後者の『Solo』で、メーカー希望小売価格：1台1年9,800円（税抜）となっています。

従来のよく知られているエンドポイントセキュリティよりは高価ですが、問題が起きてしまった時のことを考えるとこの価格は安価に思えるのかもしれません。

ご興味のある事業者の方、一度検討してみるのも良いと思います。

＜参考リンク＞：『AppGuard by Blue Planet-works 』

＜参考動画＞

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

先日、『ランサムウェア対策で被害防止』という記事にて、通常のセキュリティに加え、Kaspersky（カスペルスキー）のAnti-Ransomware Tool for Businessを使ってランサムウェア対策を行っておくと良いという記事を書きました。

では、複数社のセキュリティ対策ソフトを導入するのはどうなのでしょうか？

セキュリティ対策ソフトの複数導入

複数社のセキュリティ対策ソフトを導入することは、大手企業においては結構行われていたりします。

理由は、セキュリティ対策ソフトは各メーカーによってアルゴリズムが違ったりすることと、日々更新される定義ファイルなどの提供にライムラグがあることなどからです。

従って、複数社のセキュリティ対策ソフトを導入しておくことにより、より安全性を高めることができるとも言えます。

ただし、その複数導入には注意しなければいけないこともあります。

複数導入における注意事項

注意しなければいけないのは、1台のパソコンに対して複数のセキュリティ対策ソフトを導入した場合、パソコンの動作が不安定になったりする場合があります。

※　既存のセキュリティ対策ソフトをアンインストールしないとインストールできないものもあります。

従って、1台のパソコンに対しては1つのセキュリティ対策ソフトだけをインストールしておくべきなのですが、もし余裕があるのであれば、複数のメーカーのものを複数台で分散して導入しておくことです。

それにより、どこかのパソコンで何らかの検知をした場合、他のパソコン使用者に対して注意喚起を行うことや、ネットワークを早期に遮断し、被害を拡大させないことなどにも役立ちます。

もし1台のパソコンに対して複数社のセキュリティ対策ソフトを使用したい場合は、1つだけメインとなるセキュリティ対策ソフトを常駐させ、それ以外は非常駐型のスキャンソフトなどを導入すると良いかもしれません。

（私はこの方法にしています。）

Kaspersky（カスペルスキー）のAnti-Ransomware Tool for Businessに関しては、メーカーが他社のセキュリティ対策ソフトとの同居を認めていることからして、パソコンの動作などに影響を与えることはないかと思われます。

ランサムウェアとは、感染したPCをロックしたり、ファイルを暗号化したりすることによって使用不能にしたのち、元に戻すことと引き換えに『身代金』を要求する不正プログラムです。 身代金要求型不正プログラムとも呼ばれています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

皆さんは『ランサムウェア』という言葉を聞いたことがありますか？

これは、冒頭でお書きした通り、感染したパソコンをロックしてしまったり、ファイルを暗号化してしまうことによりパソコンを使用不能にしてしまいます。

そして、復旧と引き換えに『身代金』を要求してくるという悪質なものです。

※　身代金に応じても復旧はされません。

このランサムウェアはここ数年、法人・個人を問わず世界中で脅威となっています。

※　企業を標的とするランサムウェア攻撃の数は、2014年度から2015年度にかけて5.8倍にも増加したそうです。

ランサムウェア対策ツールのススメ

よく知られているセキュリティソフトで、それが最新バージョンのものであればランサムウェアの保護は機能の1つとして含まれていることが多いですが、そうではない場合、ランサムウェアへの対策ツールを導入することをお勧めします。

もちろん、既存のセキュリティソフトでランサムウェア対策が含まれている場合においても追加で導入可能なのであれば、よりベターな状態にしておくには追加導入するのも良いでしょう。

法人向けのランサムウェア対策ツール

ここで、法人向けのランサムウェア対策ツールをご紹介しておきます。

Kaspersky（カスペルスキー）のAnti-Ransomware Tool for Businessというものです。

このツールはランサムウェアの侵入を阻止し、ランサムウェアによって加えられたシステム変更を元に戻してくれます。

同社のセキュリティソフトを既に使用されている場合には同居させられないようですが、他社のセキュリティソフトを使用している場合においては同居可能です。

Kaspersky（カスペルスキー）のアナウンスでは、以下のことが紹介されています。

Kaspersky Securitu Networkによるファイル評価でのブロックと、実環境上での振る舞い検知機能であるシステムウォッチャーによるブロックを実装しています。

製品版であるKaspersky Endpoint Security for Businessには、WEB閲覧時にスクリプトを解析してブロックする機能、ネットワーク不正侵入防止、ホストIPS、仮想環境上での振舞検知機能など、多層防御を実現しています。また製品版のKaspersky Security Networkでは不正なURLなど、ファイル以外の情報も使用しています。

一度試してみたい方は下記から申し込みしてみてください。

＞Kaspersky Anti-Ransomware Tool for Business 申し込みはこちら

非常に軽量なツールですので、パフォーマンスへの影響はほとんどありません。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

少し前の話しにはなりますが、とある協会を訪れた際に驚いてしまったことがあります。

それは、冒頭でもお書きした通り、無料のセキュリティソフトしか導入されていなかったことです。

あまり目にするケースではないのですが、組織でありながら（個人だから良いというわけではありません）無料のセキュリティソフトを使っているとは何とも信じがたいものがありました。

無料セキュリティソフトの危険性

無料のセキュリティソフトがすべてにおいて危険であると申し上げているわけではありません。

もちろん、大手セキュリティメーカーから出ているセキュリティソフトと同じくらいにウイルス検知してくれるものもあります。

しかし、当然ながら無料であることから行えることには限界があります。

例えば、ウイルス対策が中途半場であったり、迷惑メール対策がない、ファイアウォール機能がない、ウェブサイトの安全性が確認できない、ネットバンキング保護機能がないなど、昨今の多様化するサイバー攻撃に対しては脆弱なものばかりであるということです。

ITに対する知識の欠落

こういった状態になっているところに関してはセキュリティ意識の欠落以前の問題があります。

それは、IT全般に渡って知識が欠落している状態にあることです。

また、パソコンを納入している業者をはじめ、外部の業者などにおいてそういったことに関するアドバイスをしてくれるところがないということも理由としてあるのかもしれませんが、これくらいのことはご自身達にて認識を持っていただきたいものです。

参考までに有名どころのセキュリティメーカーを記載しておきますので、ちゃんとしたセキュリティソフトを導入される時は以下のものをお勧めします。

ESET社（弊社もESET社の製品を使っています）、シマンテック社、カスペルスキー社、トレンドマイクロ社、マカフィー社、このあたりのセキュリティメーカーのものが良いでしょう。

組織によってハードウェア構成は異なるかと思いますが、個々が使用されるパソコンにはパーソナル向けのセキュリティソフトを導入されても問題ありません。