ランサムウェアが流行中：なぜ警戒が必要か

ランサムウェアの問題は改善しそうにありません。最近の例ではCoinVaultやCryptoLockerなど、広範囲に及んだランサムウェア攻撃があり、サイバー犯罪者がこの種の攻撃を使用するケースがますます増えていることがわかります。ところが、このようなランサムウェア攻撃が増加しているというのに、最近実施されたKaspersky Labの調査によると、ランサムウェアを深刻な脅威と考えている企業はわずか37%です。

今回は、Kaspersky Labのサイバーセキュリティエキスパートであるアンドレイ・ポジョジン（Andrey Pozhogin）が、増加傾向にあるランサムウェア攻撃、ランサムウェア攻撃の仕組み、身代金を支払うことの影響、個人ユーザーや企業が身を守るためにできる対策について、専門家の観点から解説します。

1. ランサムウェアとは？

ランサムウェアとはマルウェアの1種で、デジタル版のゆすり手段です。身代金が支払われるまで、コンピューターシステムへのアクセスをブロックするのです。CryptoLocker、CryptoWall、TorLocker、CoinVault、TeslaCrypt、CTB-Lockerはすべてランサムウェアです。

ゲーム関連ファイルも狙うランサムウェア「TeslaCrypt」が、強力になって帰ってきました。ランサムウェア対策は事前に行うのがポイントです！https://t.co/DMIT9x2U7z pic.twitter.com/7ymX9MF365

— カスペルスキー 公式 (@kaspersky_japan) July 21, 2015

2. ランサムウェアの標的は誰？

一般の個人ユーザーと、企業（大規模でも小規模でも）は、ランサムウェアの標的になる可能性があります。サイバー犯罪者は相手を選ばず、できるだけ多くの標的に攻撃を仕掛けて多くの金銭的利益を得ようとすることがほとんどです。

3. ランサムウェアによる攻撃の仕組みは？

ランサムウェアは通常、実行ファイル、アーカイブ、画像などのファイルが添付されたメールを介して拡散されます。受け取った人が添付ファイルを開くと、マルウェアがシステムにインストールされます。また、ランサムウェアを仕込んだWebサイトを通じて感染することもあります。そうしたサイトにアクセスすると、知らないうちに安全でないスクリプトが実行され（リンクをクリックさせる場合や、ファイルをダウンロードさせる場合もある）、ランサムウェアがシステムにインストールされるのです。

マシンが感染しても、すぐに目に見える変化があるわけではありません。システムやデータをロックする仕組みが動き出すまで、ランサムウェアはバックグラウンドでひそかに動作します。サイバー犯罪者は、気づかれることなく動作するランサムウェアの開発スキルを上げてきているうえ、ランサムウェアが発見されないようにさまざまなツールや手法を駆使しています。その後、ダイアログボックスが表示され、ロックされたデータを使える状態に戻す代わりに身代金の支払いを要求します。

ダイアログボックスが表示されたときには、もはや対抗手段を使ってデータを保存しようとしても手遅れです。要求額はまちまちですが、データの復号と引き換えに数百ドル、時には数千ドルを要求する例が確認されています。

4. ランサムウェア攻撃の具体例は？

TorLockerを例に挙げましょう。このランサムウェアはまず、自身のデータセクションを256ビットAES（解読がほぼ不可能な暗号化メカニズム）の暗号鍵で復号して、システムに感染します。この鍵の最初の4バイトは、一意のサンプルIDとして暗号化対象ファイルの末尾に追加されます。その後ランサムウェアが一時フォルダーにコピーされ、コピーされたランサムウェアを自動実行するためのレジストリキーが作成されます。それから、ランサムウェアは以下を実行します：

• 重要なシステムプロセスを検索して停止する
• システムの復元ポイントをすべて削除する
• ハードディスクとネットワークドライブ内のすべてのユーザーファイル（Office文書、動画や音声のファイル、画像、アーカイブ、データベース、バックアップコピー、仮想マシン暗号鍵、証明書など）を暗号化する
• データの復号と引き換えに身代金の支払いを求めるダイアログボックスを表示する

厄介なのは、TorLockerは標的のシステムごとに違った形で感染する点です。どうにかして復号鍵を突き止めたとしても、その鍵は他のシステムの復号には使えません。一定の猶予期間内（通常72時間以内）に復号鍵の代金を支払うよう要求され、要求に応じなければデータは消える、と脅されます。支払い方法は、Bitcoinや第三者サイト経由の支払いなど、複数の選択肢から選べるようになっています。

5. ランサムウェア攻撃を仕掛けるサイバー犯罪者の目的とは？

サイバー犯罪者がランサムウェア攻撃を仕掛ける一番の動機は、金銭をゆすり取ることです。特に、企業を標的とするランサムウェア攻撃では知的財産が狙われることが多く、深刻な被害が出たケースも確認されています。

#ランサムウェア が #流行 中: なぜ警戒が必要か

Tweet

6. モバイルランサムウェア攻撃はどの程度広まっているのか？

モバイルランサムウェアの攻撃は、広い範囲に拡大しています。金銭を盗んだり、ゆすり取ったりできるマルウェアを作るサイバー犯罪者が増えるにつれて、モバイルマルウェアは金銭目的へとシフトしています。事実、Kaspersky Labが発表した、第1四半期における脅威に関するレポートでは、新たに検知されたマルウェア脅威の23%は、金銭を盗んだり、ゆすり取ったりするために作成されたことがわかっています。

さらに、モバイル脅威全体の中でもトロイの木馬を使ったランサムウェアが最も高い成長率を見せています。第1四半期に新たに検知されたサンプルの数は1,113件で、当社が収集しているモバイルランサムウェアのサンプル数は65%増となりました。ランサムウェアはお金をゆすり取るために個人データを破損したり感染デバイスをブロックしたりできるため、危険な傾向です。

7. システムが感染してしまったらどうすべきか？

残念ながら、ランサムウェアに感染してしまうと、バックアップや保護手段がとられていない限り、被害者側でできることはほとんどありません。ただし、場合によっては、身代金を支払わなくてもロックされたデータを復号できることがあります。Kaspersky Labは先日、オランダ警察の国家ハイテク犯罪ユニットと協力して、ランサムウェアCoinVaultの被害者向けに復号鍵と復号アプリケーションのサイトを開設しました。

ランサムウェア「CoinVault」に万が一ファイルを暗号化されてしまったら…？カスペルスキーでは復号ツールをご用意しています。こちらの記事を参考にしてください＞ http://t.co/nto6RYVZQo pic.twitter.com/MZTI5l0nHd

— カスペルスキー 公式 (@kaspersky_japan) April 17, 2015

また、被害に遭った場合は、暗号化されたデータを元に戻すとうたっているソフトウェアをインターネットで見つけても、信頼できるものでなければ使わないよう注意してください。そのようなソフトウェアは、役に立たないどころか、最悪の場合はさらに別のマルウェアに感染してしまいます。

8. 攻撃されたら身代金を支払わなければならない？

被害者の多くは、ファイルを取り戻すためなら身代金を支払ってもいいと考えます。2014年2月にケント大学のサイバーセキュリティ学際研究センター（Interdisciplinary Research Centre in Cyber Security）が行った調査によると、CryptoLocker被害者の40%以上が支払いに同意しました。CryptoLockerは何万台ものマシンに感染し、背後にいたサイバー犯罪者に数百万ドルの収益をもたらしました。さらに、Dell SecureWorksのレポートによると、このマルウェアは100日ごとに3,000万ドルもの収益をあげています。

Torを利用するランサムウェアOnionの亜種「CTB-Locker」が現れました。ファイルを暗号化するタイプのマルウェアが増えています。事前対策を今のうちに。 http://t.co/6iza5cStX6 pic.twitter.com/p2xiURzvH3

— カスペルスキー 公式 (@kaspersky_japan) February 2, 2015

とはいえ、身代金を支払うのは賢明とはいえません。第1に、支払ったからといって破損したデータが復号されるとは限らないからです。身代金を支払うと決めたとしても、問題が解決するまでにさまざまな問題が起きる可能性があり、たとえばマルウェア自体にバグがあって暗号化されたデータを復元できない事態も考えられます。

また、身代金を支払うと、ランサムウェアの効果を認めることになります。その結果、サイバー犯罪者は引き続きシステムを悪用する新しい手段を見つけ、個人ユーザーや企業を標的とした感染の拡大につながるおそれがあります。

9. ランサムウェア攻撃を防ぐ方法は？データを守るにはバックアップで十分なのか？

適切かつ強力な暗号化技術で暗号化されたファイルは、復号できません。重要なのは、健全なサイバーセキュリティ戦略の中に、堅牢なバックアップ製品と包括的なセキュリティ製品を組み込むことです。

さらに、ランサムウェアの亜種の中には、見つけられる限りのバックアップコピー（ネットワーク共有に置かれているものも含む）をすべて暗号化できるほど高度な機能を持つものもあります。ですから、「コールド」バックアップ（読み取りと書き込みのみ可、削除やフルコントロールのアクセス権限はなし）を作成して、ランサムウェアが削除できないようにする必要があります。

ファイルを暗号化してしまい、復号する代わりに金銭を要求する #ランサムウェア の被害が増えています。 #カスペルスキー の製品を使った対処法をご紹介します。https://t.co/qWvEhqrRS5 pic.twitter.com/TeINCpci5P

— カスペルスキー 公式 (@kaspersky_japan) June 2, 2015

Kaspersky Labは、システムウォッチャーという対抗手段を開発しました。システムウォッチャーは、保護対象ファイルのコピーをローカルに保持し、暗号化マルウェアによって変更された部分を復元する機能です。自動修復されるため、管理者はバックアップからファイルを復元する手間が省け、ダウンタイムに伴う負担もなくなります。セキュリティ製品をインストールし、このモジュールを有効にしておくことが重要です。

10. カスペルスキー製品はどのように未知の脅威に対抗するのか？

当社のセキュリティテクノロジーの1つにKaspersky Security Network（KSN）があります。KSNは脅威と疑われるものに対し、従来の保護手段よりはるかに迅速に対応します。世界中で6,000万人以上のユーザーが参加するクラウドセキュリティで、毎秒60万件以上のリクエストを処理しています。

Kaspersky Labには、世界中のユーザーから、検知、削除された脅威についての情報がリアルタイムで寄せられています。このデータと他のリサーチ結果を、セキュリティエキスパートの精鋭集団であるグローバル調査分析チーム（GReAT）が解析します。このチームは主に、新しいサイバー脅威の発見と解析、そして新型の脅威の予測に取り組んでいます。

#クラウド ベース のセキュリティって、何？デバイスに入った普通のセキュリティソフトと違うの？… クラウドセキュリティをめぐる疑問にお答えしたいと思います。https://t.co/RPw21r4Zpw pic.twitter.com/2f0mFFSvLN

— カスペルスキー 公式 (@kaspersky_japan) May 26, 2015

サイバー脅威がより高度になりつつある現在、サイバーセキュリティの改善が必要なユーザー（企業も個人も）は大勢います。さらに悪いことに、古い、または信頼できないセキュリティ製品を使っているために、十分に保護されていないユーザーもいます。

ですから、最も効果的な保護手段を選ぶことが重要です。ご参考までに、2014年にKaspersky Labは93件の第三者機関によるテストに参加し、全参加ベンダーの中で最高の結果を達成しました。Kaspersky Labは66件のテストで上位3位以内に入り、51件のテストで第1位の評価を獲得しました。Kaspersky Labは情報セキュリティを事業活動の根幹と位置づけ、ユーザーの皆様に最も信頼できるセキュリティ製品をご利用いただけるよう、常に技術の有効性を向上させるべく尽力しています。