身代金要求型不正プログラム(ランサムウェア)」の脅威が深刻化し、エンドポイントのユーザだけでなく公共や民間組織にも蔓延していることは否定できません。ランサムウェアは、ユーザの恐怖心につけ込んで金銭を得るため大きな効果をあげています。

PC上のファイルをアクセス不能にしたり、虚偽の脅迫で風評被害に貶めたり、ランサムウェアの感染は、こうした脅迫手法でユーザに支払いを強要し、大きな効果をあげています。しかしそれ以上にランサムウェアを効果的にしているのは「ユーザはPC画面に脅迫状が表示されて初めて感染に気づく」という事実です。この時点で気づいた時はすでに手遅れだからです。

[参考: ランサムウェアが利用する心理作戦]

ランサムウェアの報道は、PCへの侵入経路や感染後の被害に集中していますが、侵入と被害発覚の間には何が起きているのでしょうか。本稿では、ユーザが脅迫状を目にするまでの間、その裏側で何が起きているのかを段階別に説明します。

  • 侵入

    ユーザが不正なリンクをクリックしたり、不正なファイルをダウンロードしたりすることで、ランサムウェアがPCに侵入します。ランサムウェアは、通常、実行ファイル形式で、自身のコピーをユーザディレクトリに作成します。自身のコピーは、Windowsのオペレーティングシステム(OS)場合、フォルダ "%appdata%" や "%temp%" に作成されます。これらのフォルダ内であれば、ユーザは管理者権限なしにディレクトリへの書き込みができるからです。そしてランサムウェアは、バックグランドで気づかれずに実行し始めます。

  • 接続

    ランサムウェアは、PCに侵入後、直ちにネットワークに接続して自身のサーバと通信を始めます。この段階で環境設定ファイルを自身のコマンド&コントロール(C&C)サーバから送受信します。最近確認されたランサムウェア「Pogotear」(トレンドマイクロでは「RANSOM_POGOTEAR.A」で検出対応)では、モバイルゲームアプリ「Pokemon GO」の関連ファイルを装い、特定のWebサイトに接続して情報を送受信します。

  • 検索

    そしてランサムウェアは、暗号化するファイルを特定するため、感染PCのディレクトリを検索します。暗号化されるファイルはランサムウェアファミリによって異なり、特定フォルダを対象にしたり除外したりするケースや、特定のファイル形式や拡張子に限定するケースなど、多岐に渡ります。

    ミラーファイルやバックアップファイルを削除するタイプのランサムウェアファミリの場合、暗号化段階前のこの検索段階で対象ファイルを削除します。

  • 暗号化

    暗号化の開始前、ランサムウェアはまず、暗号化に使用する暗号鍵を生成します。

    感染PC内のファイル暗号化は、各ランサムウェアファミリが使用する暗号化手法によって異なります。AES方式や、RSA方式、もしくは双方の組み合わせの場合もあります。暗号化の所要時間は、ファイル数や、感染PCの処理能力、暗号化方式等によって異なります。

    PCが終了して暗号化が中断された場合、暗号化を再開するため、暗号化継続の自動実行エントリ作成の機能を備えたランサムウェアの亜種も存在します。

  • 身代金要求

    ランサムウェアは、ほとんどの場合、脅迫状の表示がファイル暗号化の完了を意味します。脅迫状は、暗号化完了後すぐに表示されるか、もしくはブートセクタを変更するタイプのランサムウェアの場合は、PC再起動後に表示されます。中には(少なくとも自動的には)脅迫状を全く表示しないタイプのランサムウェアも存在します。その他、感染PCのフォルダ内に脅迫状を作成するタイプや、脅迫状や支払い方法をHTMLページで表示するタイプも存在します。画面ロックの機能を備えたランサムウェアは、PCをアクセス不可にし、閉じられない脅迫状を表示します。

ランサムウェア感染の兆候

2016年7月、米コロラド州のアレルギークリニック「Allergy, Asthma & Immunology of the Rockies, P.C.(AAIR)」の従業員がPC内のファイルや文書へのアクセス障害に陥るという事例が報道されました。ネットワーク感染の恐れから同医療機関のIT部門がサーバをシャットダウンする事態となりました。その後、PC内に残された脅迫状を含めたランサムウェア感染の証拠が、同IT部門および解析を依頼されたサードパーティのセキュリティ企業により明らかにされました。本件はサーバのシャットダウンだけで済みましたが、ランサムウェア感染のすべてのケースが、この事例のように阻止できるわけではありません。

ランサムウェアの挙動はファミリや亜種によって異なる一方、ユーザやIT管理者が注意すべき明確な「ランサムウェア感染の兆候」が共通に存在します。例えば、暗号化のプロセスはバックグラウンドで実行されるため、PCがスローダウンする現象が確認されます。また、正規のプロセスが実行されずにハードドライブのランプが常に点滅している場合、ハードドライブがアクセスされ、ランサムウェアの検索や暗号化が開始されている可能性があります。

ランサムウェア感染対策

ランサムウェアの感染は、不正なリンクのクリックやEメールの添付ファイルの開封によりダウンロードしてからわずか数分以内に完了します。短い時間であるため、ユーザや企業にとって厄介ですが、それでもIT管理者が対策を講じる機会はあります。

ランサムウェアは大きな被害をもたらす深刻な脅威ですが、まったく阻止できないわけなく、感染回避は可能です。企業や組織の従業員一人一人が警戒を強めることで、ランサムウェア感染のリスクを軽減できます。

ランサムウェア感染の対策では万能薬はありませんが、ランサムウェアのネットワークやPCへの到達を阻止する多層防衛のセキュリティ対策が、エンドポイント感染のリスクを軽減する最善策です。

ランサムウェアの多くはEメールを介して侵入します。そのため、最新の「E-mailレピュテーション(ERS)」技術や「Webレピュテーション(WRS)」技術を備えたゲートウェイ製品(「InterScan Messaging Security Virtual Applianc」、「InterScan Web Security Virtual Appliance」)を使用することで、ランサムウェアのネットワーク侵入を防ぎ、リスクを軽減できます。

重要な情報は定期的にバックアップをとることで、ユーザはロックされた情報へのアクセス権取得のために身代金を支払う必要がなくなり、オンライン恐喝自体を無力化できます。

各ユーザは、サイバー犯罪者がよく利用する感染手法の知識に精通しておくことが不可欠です。企業や組織ではIT管理者が、従業員にランサムウェアの侵入経路の情報を積極的に周知し、社内ネットワーク侵害の可能性がある不正サイトへのアクセス防止策も制定すべきです。

ランサムウェアの脅威が世界的に深刻になっている状況を受けて、ランサムウェアによって暗号化されたファイルの復号ツールをトレンドマイクロは公開しました。この復号ツールの使用方法や復号可能なファイルの条件などの制限事項については以下のダウンロードページを参照してください。