ランサムウェアの脅威が拡大し、「実際に被害をもたらしている」ということからセキュリティ上の深刻な問題になっています。ランサムウェアは、ニュースやインターネットの記事で報じられ、人々の注目を集めていますが、ユーザや企業の間では依然として「ランサムウェアとは何か」が十分に理解されたとは言えず、それが被害拡大の一因ともなっています。

ランサムウェアの何を理解するべきでしょうか。感染経路でしょうか。ネットワーク侵入を防ぐ対策法でしょうか。本稿では、ランサムウェアの基本情報を「よくある質問」としてまとめました。

■ランサムウェアとは何ですか。

ランサムウェアは、ユーザのPCへアクセスを妨害もしくは制限する不正プログラムです。そしてユーザが「身代金」を支払うまでPCの画面やファイルをロックします。最近は「暗号化型ランサムウェア」で知られるファミリも登場し、感染PC内の多数のファイルを暗号化する機能を備え、暗号化されたファイルの復旧に必要な復号鍵と引き換えに身代金の支払いを要求します。

■正規サイトだけを閲覧しても、感染するリスクはありますか。

正規サイトでも感染するリスクはあります。ランサムウェアは、不正なWebサイトだけではなく、さまざまな手法で拡散します。中でも不正なファイルが添付されたスパムメールは、最も効率的な拡散手法の1つで、2016年1月から5月までにトレンドマイクロで確認したランサムウェアの76%はスパムメールによる拡散でした。サイバー犯罪者は、ユーザの関心を惹く効果的なソーシャルエンジニアリングを心得えており、Eメールの不正リンクや添付ファイルをクリックさせます。その他、改ざんされたソフトウェアやハッキングでも拡散します。さらに、改ざんされたWebサイトや、「Malvertisement(不正広告)」、エクスプロイトキットなども、感染経路として知られています。

■脅迫状に記された「ファイルが暗号化されました」とは、どういう意味ですか。

もとより暗号化とは、送信者と受信者だけが情報を読めるようにして安全な通信を保証する手段です。残念ながらそれが、強力な恐喝ツールとして暗号化型ランサムウェアに利用されています。「適合する復号鍵なしには暗号化されたファイルにアクセスできない」という仕組みが悪用されているのです。通常、脅迫状には「すべてのファイルは強固な暗号アルゴリズムRSA~によって暗号化されました」という文言が脅迫文として記されます。RSAとは非対称暗号の一種であり、「情報の暗号化とロック」および「情報の復号」という2つの鍵が使用されます。前者は「公開鍵」と呼ばれ、外部公開に際して生成されます。後者は「秘密鍵」と呼ばれ、暗号化された情報の復号に際してユーザが使用します。したがってランサムウェアの被害を受けたユーザは、人質にされた情報を復号化する秘密鍵を入手するため、身代金として一定金額の支払いを要求されます。通常、ランサムウェアは、感染に際してファイル名を改称することで、どのファイルが暗号化されたかをユーザに示します。

[参考情報: Encryption: what it is and how it works]

■暗号化されたファイルは、ファイル名を変更すれば、再度アクセスできますか。

ランサムウェアはファイルに「暗号化」を施すため、ファイル名を変更してもアクセスはできません。暗号化が施され、さらにファイル名も変更されたファイルの情報は、「身代金」を支払って入手した秘密鍵で復号化しない限りアクセスできません。

■ビットコインとは何ですか。他の支払い方法はありますか。

「Bitcoin(ビットコイン)」は、ピアツーピア(P2P)を用いて取引を追跡・確認できる電子通貨の一種で、Webホスティングや、モバイルアプリ開発、クラウドファイルストレージなど、さまざまなオンラインサービスの支払いに使用できます。ゲームや、音楽、ギフトカード、書籍といった商品の購入にも利用できます。ビットコインの利用は、オンライン取引だけに限らず、実社会でさまざまな商品の支払いでも許容されています。さらに匿名性も許容され、通貨を管理する中央当局がシステム上存在しないことから、サイバー犯罪者も取引上の支払手段に活用しています。

こうした電子通貨は、ランサムウェアを利用するサイバー犯罪者にこれまでで最も利用されている支払方法です。最近のランサムウェアは、iTuneやアマゾンギフトカードなど、現金化しやすい支払方法も別途活用しています。2016年6月には Paypal を介したビットコインの取引まで確認されました。Paypalのような追跡可能なプラットホーム上でのビットコイン取引は興味深いケースといえます。

■ファイルやPCへのアクセス復旧のために身代金を支払うべきですか。身代金を支払えば、サイバー犯罪者はファイルを復号してくれますか。

これまでランサムウェアは「身代金の支払いのみがファイルのアクセスを取り戻す唯一の方法だと思わせる」というビジネスモデルに大きく依存していました。支払の後にファイルが約束どおり復号されるのはそのためです。支払後にファイルのアクセスを取り戻せないと思われれば、ユーザは支払いを止めてしまい、ビジネスモデルが成立しなくなるからです。

しかし絶対に身代金の支払が唯一の選択肢となるべきではありません。身代金の支払いに応じないことを強く推奨します。法執行機関も、サイバー恐喝者の要求に屈することによるサイバー犯罪成立を阻止しようとしています。実際、米連邦捜査局(FBI)は、身代金を支払っても必要な復号鍵を入手できなかったケースを特定しています。また、たとえ復号鍵を入手できても、PCへのアクセス復旧は容易ではありません。米国ロサンゼルスの病院「Hollywood Presbyterian Medical Center (HPMC)」の事例のように、ランサムウェアが病院の巨大ネットワークを侵害した場合は、復旧作業に困難を極めました。米国テキサス州ヒューストンの病院「Methodist Hospital」の事例では、身代金の支払後、サイバー犯罪者が二度目の支払いを要求してきたと報道されています。

■脅迫状に「すべてのファイルをアップロードして一般公開する」と記されている場合、サイバー犯罪者は本当に実行できますか。

「ファイルを一般にさらす」という脅迫は、身代金を支払せるためにサイバー犯罪者が用いる常とう手段です。その他、ユーザが犯していない違法行為について虚偽の警告を行ない、リンクをクリックさせたり、添付ファイルをダウンロードさせたり、身代金を支払わせるケースもあります。こうした手法も多くの場合、単なる脅迫です。

■ランサムウェアの感染はPCのみですか。スマートフォンは安全ですか。

スマートフォンも安全ではなくランサムウェアの標的にされます。過去、警察を装ったランサムウェア「REVENTON」の感染拡大の背後に存在するグループが、Android版端末を狙うモバイル向けランサムウェアを拡散していたことが確認されました。最近では、Android版端末ロック型ランサムウェア「FLocker(エフロッカー)」(Frantic Lockerの短縮名で弊社では「ANDROIDOS_FLOCKER.A」として検出対応)が4月中旬に急増し、1,200以上の亜種が確認されています。このモバイル向けランサムウェアは、偽の米国サイバー警察(US Cyber Police)の注意喚起や、その他の法執行機関を名乗り、ユーザが犯してもいない犯罪に関与したと言い掛かりをつける手法を用いて端末に侵入します。侵入したランサムウェアは、罰金と称して200米ドル(約2万円、2016年8月8日現在)」の iTunes ギフトカードを要求します。こうしたモバイル向けランサムウェアは、Android搭載のスマートテレビに感染する機能も備えています。

■セキュリティ対策製品は感染PCからランサムウェアを削除することができますか。

ランサムウェアの脅威が世界的に深刻になっている状況を受けて、ランサムウェアによって暗号化されたファイルの復号ツールをトレンドマイクロは公開しました。この復号ツールの使用方法や復号可能なファイルの条件などの制限事項については以下のダウンロードページを参照してください。

残念ながらランサムウェアは、より強力な暗号アルゴリズムで常に更新を続けており、既存のツールもランサムウェアのすべての亜種に有効ではありません。また、暗号化されたシステムやファイルにアクセスするための秘密鍵が必要になります。こうした点からも防止策こそが、ランサムウェアへの最も効果的な対策になります。

■どのようにしてランサムウェア感染を防ぐことができますか。

ランサムウェアによる壊滅的な攻撃から個人ユーザや企業のPCを防御する方法には、特効薬や万能な対抗策はありません。ランサムウェアがネットワークやシステムの侵入するのを防ぐ多層防御ならば、エンドポイントに到達するリスクを軽減できます。「ゲートウェイでのEメールレピュテーション・Webレピュテーション」を重視したセキュリティ対策を推奨します。そして何よりも重要な点は、サイバー犯罪者が利用する感染手法について、以下のような知識に精通することです。

  • 未確認のEメールを開封したりメール内のリンクをクリックしないこと。送信元不明のEメールを受信した場合も開封しないことです。知人や友人からのメールに添付されたファイルであっても開封の際は、送信者のメールアドレスを必ず確認して細心の注意を払ってください。
  • 重要なファイルをバックアップする際、「3-2-1のルール」を実践すること。自身のファイルのコピーを 3つ取り、2つの異なる種類の端末に保存し、残りの1つを他の 2つと異なる場所に保存します。重要なファイルや文書ファイルのデータベースの削除するという脅しは、ユーザに身代金を支払わせるためにサイバー犯罪者が用いる格好の手口です。定期的にファイルをバックアップすることで被害を最小限にできます。
  • ランサムウェアのインストールに悪用される脆弱性のリスクを軽減するため、ソフトウェアや、プログラム、アプリケーションを定期的に更新してください。