CryptoLockerがビジネスに与える影響

2015年4月3日

生き残ったCryptoLockerはほぼ無傷だった..

こんな感じのメッセージが時々、Redditなどのソーシャルメディアに投稿されています。その大半は、とても楽観的とは言えない内容ですが。ランサムウェアは目新しい話題ではありませんが、この数年間で、たまにある問題からよくある問題へと変わりました。中でもCryptoLockerという種類のランサムウェアは、大流行に近いものがありました。CryptoLockerについて判明したデータをRedditの巨大スレッド(12)で扱うようになってから、1年以上が経ちました。似たようなスレッドはたくさんあり、簡単な検索機能を使えばいくらでも見つかります。

CryptoLockerが現れたのは 2013年9月ごろですが、この名はすぐに「ランサムウェア」の同義語にまでなりました。CryptoLockerは、増殖能力が極めて高く、攻撃的で、有害であることが知られています。感染数についてはさまざまな推測がありますが、1万か10万の単位と見て間違いないでしょう。CryptoLockerの被害に遭っても身代金は決して払うべきではありませんが、1.3%のユーザーは支払っているようで、合計100万ドルから1,000万ドル単位のお金が犯罪者の手に渡っています。企業も個人ユーザーも被害に遭っています。個人にとって、暗号化ランサムウェアのせいでデータが使えなくなってしまうのは悲劇でしょう。企業にとっては大惨事かもしれません。何もかもが消えてしまうのですから。バックアップを取っていない場合や、攻撃を受けたサーバーと同じサーバーにバックアップを作成している場合は、もう目も当てられません。暗号化されてしまえば、バックアップを取っていないも同然なのです。

cryptolocker

CryptoLockerは、実にたちの悪いマルウェアです。攻撃経路は決して珍しいものではなく、悪意あるファイルが添付されたフィッシングメールからシステムに侵入します(マルウェアがシステムに忍び込む手段はそれほど多くありません)。また、Gameover ZeuSボットネットに乗っ取られたシステムにCryptoLockerが直接送り込まれていたことも広く知られています。このボットネットは昨年、Operation Tovarという大規模な作戦によって閉鎖され、暗号化の被害に遭ったユーザーにとって朗報もありました。しかし、オリジナルバージョンのCryptoLockerと、進化した亜種からの攻撃は今も続いています。

CryptoLockerはシステムに侵入すると、ローカルのハードディスクや割り当てられたネットワークドライブに、ひそかに拡散します。それだけではありません。

まず、高度なセキュリティソリューションとWindowsのユーザーアカウント制御(UAC)をすり抜けていました。そのため、IT担当者は被害が出てからようやく攻撃に気付き、愕然とすることになりました。CryptoLocker自体に技術的問題があったため、ごく限られた範囲にしか影響が出ず、ネットワーク内のあまり目立たないドライブだけが暗号化されるケースもあります。CryptoLockerが自らの存在を知らせてこない場合や、CryptoLockerからの「通知」を見落としてしまった場合、事態はさらに深刻です。たとえばここで紹介されているケースでは、被害が発覚する何週間も前にPDFファイルやWordファイルが暗号化されていて、7年分のデータがCryptoLockerによって消去されてしまいました。

暗号化には、当然ながら時間がかかります。しかし、感染したシステムの電源を切って暗号化を強制的に終了しなければ、暗号化は成功してしまいます。そして、「お金を払うか、破滅を受け入れるか」の選択を迫られるのです。

「破滅」というのは大げさな表現ではありません。暗号化されたファイルの量と価値によっては、ビジネスが継続不能になる可能性があります。想像してみてください。エンジニアリング企業や建築事務所が長年にわたり蓄積してきた、血と汗の結晶でありビジネスに欠かせないDWGファイルが、CryptoLockerに暗号化されてしまったとしたら?

このような企業は、身代金の支払いをためらわないでしょう。企業は個人ユーザーよりはるかに高額を要求されますが、やむを得ません。現実世界のゆすりや恐喝と同じで、復号鍵を入手できる保証がなくても、会社の存亡がかかっているのです。もちろん、身代金と引き換えにCryptoLockerの黒幕「企業」がよこした復号鍵のせいで被害がさらに拡大するかもしれない、という懸念が生じるのも一理あります。

身代金はBitcoinで72~100時間以内に支払うよう要求され、この期限を過ぎると暗号鍵は破棄されてしまいます。最初の72時間を過ぎても鍵は削除されなかったがBitcoinの要求額が5倍になった、という報告もありました。個人ユーザーも企業も、「データを諦めるか、攻撃者の要求に屈するか」という不愉快極まりない選択を突きつけられることになります。

被害を軽減するには、破壊的性質を持つその他マルウェアの場合と同様(初期のウイルスやワームがハードディスクのデータを跡形もなく消去したことを覚えていますか?)、失われたデータを「冷凍倉庫」から、つまりオフラインのバックアップから復元するしかありません。暗号化プログラムが動作するには処理能力が必要なため、オフラインストレージにあるデータは安全です。マルウェアがオフラインストレージにまで感染したとしても問題ありません。バックアップコピーをストレージから取り出してしまえば、暗号化マルウェアを見つけ出して駆除しやすくなります。ということは、十分な容量を確保して、バックアップを定期的に、できれば自動で実行する必要があるということです。また、こうしたバックアップのパスワードを忘れないようにしなければなりません。

十分な容量を確保し、バックアップを定期的に(できれば自動で)実行する必要がある。また、バックアップのパスワードを忘れないように!

私が見てきた中でも特に壮絶だったのが、CryptoLockerに感染した会計事務所の話でした。Redditで三部作(123)として公開されています。この会計事務所のIT担当者は、CryptoLockerの被害に遭ったとき、サーバーのデータを全消去しました。データのバックアップは、Carboniteに取ってありました。彼はCarboniteに鍵の管理を任せるのではなく、自分で鍵を管理していました。その方が安全だと思ったのでしょう。ところが、パスワードを思い出せなくなってしまったのです。

「彼は気が遠くなるほど何度もパスワードを試し…失敗した」と、スレッドの投稿者は書いています。問題の担当者は作業を続けましたが、被害を大きくしてしまいました。「Carboniteのバックアップをすべて削除し、Carboniteを削除し、パスワードを思い出せず再インストールできない」。この後、担当者は行方不明になり、電話で連絡が取れなくなりました。

投稿者はHashcatでCarboniteバックアップのパスワードを復元しようとしましたが、成功したという報告がないことを考えると、復元できなかったのでしょう。

CryptoLockerを拡散していたGameover ZeuSボットネットが2014年中ごろに閉鎖されたことで、CryptoLockerの活動は大幅に制限されました。暗号鍵のデータベース(まだ保管されています)が復元され、暗号化されたファイルを復号するための無料サービスが開始されました。ちなみに、CryptoLockerのせいで7年分のデータを失う悲劇に見舞われた人が、このサービスのおかげで無事問題を解決できました

とはいえ、もっとたちが悪くて危険度が高く、対処の難しい暗号化ランサムウェアが、他にも大量に出回っています。また、古いバージョンのCryptoLockerに対処できていない企業もまだ多いようです。

明るい材料もあります。CryptoLockerが大きな注目を集めたことで、企業は暗号化ランサムウェアを以前よりずっと深刻に捉えるようになりました。いささか倒錯していますが、CryptoLockerの大流行がもたらした善き影響と言えなくもありません。