2017年2月14日

「No More Ransom」プロジェクトが窮地を救う

セキュリティ マルウェア

2016年5月のある日、ドイツ在住のマリオンさんは、いつものように自宅のコンピューターにログインしました。特に何も変わったことがあるようには見えませんでした。

何かがおかしいと気づいたのは、コンピューターがいつもどおりに起動せず、デスクトップ画面までたどり着けなかったときです。再起動しても状況は変わりません。その後、画面に表示された身代金要求のメッセージが目に飛び込んできました。どこから感染したのか、心当たりはありません。自分、または家族の誰かが最後にコンピューターを使ったとき、不審な点は何もなかったはずです。

表示されたのはこのようなメッセージでした。

(要約:あなたのファイルはすべて強力に暗号化された。選択肢は2つある。奇跡を起こるのを待って2倍の価格を払うか、今すぐBitcoinを手に入れてデータを楽に復元するかだ。 - 以下、サイバー犯罪者による指示 – )

ランサムウェアの隆盛

ランサムウェアはここ数年で深刻化している問題で、勢いが衰える兆しはありません。定期的にデータのバックアップを取る、不審なメールは開かない、優れたセキュリティ製品を使用する、などの対策の重要性は繰り返し語られています。しかし、万一のことが起こる可能性はあります。ある日突然、コンピューターや、ネットワーク共有や、外付けハードディスクのデータにアクセスできなくなっているかもしれません。

コンピューターの安全を100%確実なものにするためには、ネットワークには一切接続せず、CDドライブやUSB接続も使わないようにするしかありません。しかし、さまざまなものがネットワーク接続している現在、この方法はとても現実的とはいえません。そこで必要になるのが、リスク管理です。各々が利便性、安全性、プライバシーの最適なバランスを自分自身で見つけることです。

そして、ぜひ知っておいてほしいのは、万一ランサムウェアによる被害を受けた場合の選択肢は「身代金を払うか、払わないか」の二択ではない、ということです。選択肢はもっとあります。

データを取り戻すことは、以前よりも難しくなっているかもしれません。以前は、当社や当社のパートナーのような企業がランサムウェアの「バグ」を利用して汎用ツールを開発し、さまざまなランサムウェアによって暗号化されてしまったファイルを復号することができましたが、攻撃者はこうした「バグ」を次々に修正しています。現在では、高度なランサムウェアの変種がこれまでになく増えており、犯人から入手した秘密鍵がなければファイルを復元できないケースが多くなっています。

データの復元

さて、マリオンさんに話を戻しましょう。不安を募らせた彼女はコンピューターの電源を切り、勤め先のIT部門に相談しました。マリオンさんとIT部門は、ランサムウェアのメッセージやディスク上にある関連ファイルのほか、暗号化される前とされた後の写真やPDFまで、関係するデータをすべて押さえることができました。また、利用できるツールを駆使してファイルの復号を試みましたが、どれもうまくいきませんでした。

ここへ来て、マリオンさんは我が身に起こったことの重大さに気づきました。このコンピューターのハードディスクには、10年以上に及ぶ家族写真が保管されていました。特別な日の記念ショットが、日付ごとのフォルダーに分けて整理してありました。こうした大切な写真がすべて、2~3年分を除き、まったく見られなくなってしまったのです。

マリオンさんは外部にバックアップを取っていませんでした。それでも、彼女は身代金を一銭も払うつもりはありませんでした。

マリオンさんは、これまで自分が写真をシェアした相手に連絡して、ファイルを送ってくれるように頼みました。この方法で少しは取り戻すことができましたが、ほとんどの写真は失われたままでした。

勤め先のIT部門の協力を得てインターネットで解決策を調べましたが、手立ては見つかりませんでした。マリオンさんは、友人たちにも協力を仰ぎました。ついには最終手段として、Facebookの投稿を通じてヘルプを求めました。そして、犯人に身代金を払わずにファイルを取り戻す手助けをしてくれた人に500ユーロの御礼をする、とまで申し出たのです。

(翻訳:さまざまな方から救いの手を数多く差し伸べていただきましたが、ファイルはまだ復号できていません。新種のランサムウェアにやられたようです。でも諦めるつもりはありません。ファイルの復号に協力してくれた方への御礼を500ユーロにアップしたいと思います)

20人ほどが彼女の投稿に返信し、手助けしようとしました。しかし、誰一人としてうまくいきませんでした。

No More Ransom」プロジェクト

私はこの段階で関与することになりました。学生時代の友人がマリオンさんの投稿を見つけ、私がKaspersky Labのグローバル調査分析(GReAT)チームで働いていることを知っていたので、間を取り持ってくれたのです。

私はマリオンさんと連絡を取りました。ファイルを復号できるツールがあるかどうかをチェックできるようにと、彼女は関連する情報をすべて提供してくれました。しかし、彼女のコンピューターに取り付いたタイプのランサムウェアに有効なツールは見つけられませんでした。

私はマリオンさんからの情報を手に、当社のランサムウェアのスペシャリストに相談しました。間もなく、そのマルウェアはCryptXXXの新しい変種(バージョン3)であり、有効なファイル復号ツールはまだ提供されていないことがわかりました。私はその残念なニュースをマリオンさんに伝え、それでも身代金は支払わないようにと念を押しました。攻撃者が新しいランサムウェアを作り出す一方で、当社は法執行機関や他のパートナーと協力し、復号ツールの開発や、指揮統制(C&C)サーバーに保存されている秘密鍵の抽出に取り組んでいるのです。

こうした私たちの取り組みが、「No More Ransom」プロジェクトです。2016年の夏、ユーロポール、Kaspersky Lab、Intelが提携してNoMoreRansom.orgというポータルサイト(英語)を立ち上げました。ランサムウェアの攻撃を受けたファイルの復元の支援と、サイバー犯罪者の意欲をかき立て続ける「おいしい」ビジネスモデルの根絶を目指すものです。現時点で40以上のパートナーがプロジェクトに参加しています。

12月20日、当社は新たにCryptXXX バージョン3の復号ツールを「No More Ransom」サイトに追加しました。同サイトに公開されている他のランサムウェア対抗ツールと同様、無料で利用することができます。

私はまだマリオンさんの件が気がかりだったので、Facebookで連絡を取り、新しいツールを紹介しました。数日後、暗号化されたファイルをすべて復元できた、という報告がありました!(もちろん私は報奨金を受け取るつもりなどありません)。

教訓

マリオンさんに、今回の出来事から学んだことは何かと尋ねてみました。

複数の外付けハードディスクへ定期的にデータをバックアップするだけでなく、ネットを見て回るときにはこれまで以上に注意するようになり、さらに最新のパッチを必ず適用しているとのことでした。また、自分以外の人に自分のコンピューターを使わせないようにしたそうです。

ここで、先に触れたリスク管理の話に戻ります。結局のところ、自分のコンピューター、ネットワーク、プライバシー、そして所有物を管理するのは、自分自身です。もしも万一の事が起こったときは、選択肢は「払うか、払わないか」の二択ではないことを思い出してください。まずは、NoMoreRansom.orgを確認してみてください。ファイルを復元できる可能性があります。その時点で解決策がなくとも、しばらく様子を見ましょう。くれぐれも犯罪者にお金を渡さないことです。

マリオンさんは、「No More Ransom」プロジェクトに救われた大勢の一人にすぎません。同プロジェクトでは、これまでに7件の復号ツールを無料で公開してきました。このプロジェクトのおかげでファイルの復号に成功した人は5,000人、支払わずに済んだ身代金は150万ドル以上に上っています。