ランサムウェアからファイルを守るための10のヒント

2015年12月7日

※(2015年12月8日)最終段落の文言を修正しました。

最も悪名高いサイバー脅威の1つとなったランサムウェア。ランサムウェアはトロイの木馬の一種で、システムに侵入すると、あなたの大切な文書、動画、写真などのファイルを密かに暗号化します。暗号化プロセスはバックグラウンドで密かに進行するので、気付いたときにはもう手遅れです。

ransomware-10x10-featured

ランサムウェアはその後、ファイルを暗号化したことをファイルの持ち主に通知し、ファイルを返してほしければ「身代金」を支払えと要求します。「身代金」は数百ドル(数万円)程度であることが普通で、Bitcoinで請求されるのが一般的です。被害者の多くはITに詳しくなかったりするので、そもそもBitcoinとは何か、どこで手に入るのか、というところから調べなければならず、苦労は倍増します。

ランサムウェアのいやらしいところは、「人質」に取られた暗号化ファイルが、被害者となった人のコンピューター内に残されていることです。被害者からすれば、固有の暗号鍵がなければ目の前のファイルを元に戻せないという、悲しくも歯がゆい事態です。

今や、ランサムウェアの感染防止は、インターネット利用者にとって大問題となりつつあります。ランサムウェア対策は、感染した後の方がもっと厄介なのです。

そこで、データをランサムウェアから守る10の簡単なヒントをご紹介しましょう。

  1. 重要なファイルは、定期的にバックアップしましょう。バックアップは2つ作成するのがお勧めです。1つはクラウド(Dropbox、Google Driveなどのサービス)に保存し、もう1つは物理的なストレージ(外付けハードディスク、USBドライブ、別のラップトップなど)に保存します。バックアップ用コピーを作成したら、ファイルに対して制限を設けてください。つまり、バックアップを保管してあるデバイスに対しては読み取りと書き込みだけを許可し、削除や編集はできないように設定するのです。こうして準備したバックアップ用コピーは、誤って重要なファイルを削除してしまったときや、ハードドライブが故障したときなど、あらゆる状況で助けになってくれることでしょう。
  1. バックアップ用コピーに問題がないことを、定期的に確認しましょう。予期せぬ障害が発生したとき、ファイルが破損することもあるからです。
  2. サイバー犯罪者がよく使う手口の1つは、オンラインストアや銀行が送るメール通知を模倣した偽メールを送りつけ、メール内の不正なリンクをクリックさせてマルウェアを送りこむことです。このような手口のことを、フィッシングと呼びます。これを念頭に置いてアンチスパムの設定を調整しましょう。また、見知らぬ送信元からの添付ファイルは絶対に開かないでください。

  1. 文字通り、誰も信用してはなりません。悪意あるリンクは、何らかの原因でアカウントをハッキングされたSNS上の友達や同僚、またはオンラインゲームの仲間などから送られてくることもあります。

  1. Windowsでエクスプローラーのオプションから[登録されている拡張子は表示しない]のチェックを外し、拡張子がわかるように設定しましょう。こうしておくと、不正と思われるファイルを区別しやすくなります。ランサムウェアも含め、トロイの木馬はコンピュータープログラムなので、「exe」「vbs」「scr」などの拡張子のファイルには触らないようにしましょう。また、多くの見慣れたファイル形式にも危険が潜んでいることがあるため(英語記事)、警戒は怠らないでください。複数の拡張子を使って、不正なファイルを普通の動画や写真や文書のように見せかけていたりします(たとえば、hot-chics.avi.exeやscrなど)。
  1. OS、ブラウザー、アンチウイルス、その他のプログラムを定期的に更新しましょう。犯罪者はシステムをハッキングする際に、ソフトウェアの脆弱性を悪用する傾向があります。
  2. 強力なセキュリティ製品をインストールして有効にし、システムをランサムウェアから守りましょう。たとえばカスペルスキー インターネット セキュリティカスペルスキー マルチプラットフォーム セキュリティのWindows対応プログラム)は、ランサムウェアなどのマルウェアの侵入からコンピューターを守り、万が一侵入された場合も特別な機能で重要なファイルを保護する機能を備えています。

  1. 不正なプロセスや見慣れないプロセスをコンピューター上で発見したら、すぐにインターネット接続を切りましょう。ランサムウェアが暗号鍵をコンピューターから削除する前であれば、ファイルを復元できる可能性がまだ残されていることになります。ただし、この方法が万能とは言い切れません。新種のランサムウェアは、事前に定義された鍵を使うなど、対策を新たに施してきているためです。
  2. 不幸なことにファイルが暗号化されてしまった場合、暗号化されたファイルが何としても今すぐに必要だという場合でないかぎり、身代金を支払わないでください。むしろ支払いがあるかぎり、この違法行為は増殖し続けるでしょう。

  1. ランサムウェアに感染したら、そのランサムウェアの名前をネットで検索してみてください。古いバージョンのランサムウェアであれば、もしかすると比較的簡単にファイルを復元できるかもしれません。以前のランサムウェアは、それほど高機能ではありませんでした。また、警察やサイバーセキュリティのエキスパートたち(Kaspersky Labの社員も)は互いに連係し、攻撃者の拘束やファイル復元ツールのオンライン配布を行っています。このようなツールを利用することで、身代金を支払わずにファイルを復号化できた人もいます。復元可能かどうかは、https://noransom.kaspersky.com/から確認してみてください。
    ※このページは英語のページです。確認ステップはこちらの日本語記事でも紹介していますので、参考になさってください。

 

※日本語版注:
なお、日本でもTeslaCryptの感染例が報告されていますが(「vvvウイルス」の名称で話題になっているもの)、弊社ラボの解析によると、これは2015年2月に観測されて以来アップデートを重ねながら拡散を続けているランサムウェアです。Adobe Flash Playerの脆弱性を悪用するAnglerエクスプロイトキットを通じて感染します。このランサムウェアの特徴のひとつは、感染しようとするコンピューターにカスペルスキー製品がインストールされているかどうかをチェックし、インストールされていると感染しない、という挙動を見せる点です。TeslaCryptの詳細については、こちらの記事こちらの記事をご確認ください。なお、カスペルスキー製品はTeslaCryptを「Trojan-Ransom.Win32.Bitman」として検知・ブロックします。