2016年11月24日

ランサムウェア:これだけは知っておこう

セキュリティ 特別プロジェクト 脅威

この記事を最後まで読むと、300ドル相当の節約になるかもしれません。300ドルとは、身代金の平均額です。恐喝犯がランサムウェアの被害者に対して、暗号化されたファイルや画面ロックされたコンピューターを元に戻してほしければ支払えと要求する、その金額です。

特別なことをするからランサムウェアに感染する、というわけではありません。無料のアダルト画像を何日も探し回ったり、大量のスパムメールを開いたりしなくても、感染の危険があります。この記事では、ランサムウェアとは何か、どこに感染の危険が潜んでいるのか、どうしたら感染から身を守れるのかを、一問一答形式で説明します。

ransomware-faq-featured

1. ランサムウェアとは何ですか?

ランサムウェアは悪意あるプログラムの一種で、コンピューター、タブレット、スマートフォンの画面をロックしたり、ファイルを暗号化したりした後で、元通りにしてほしかったら身代金を払えと要求します。基本的に、ランサムウェアには2つのタイプがあります。

1つめは、暗号化型(「クリプター」ともいう)。ファイルを暗号化して、開けないようにするタイプです。ファイルを復号するには、暗号化に使った鍵が必要です。この鍵と引き替えに、身代金が要求されるのです。

もう1つは、画面ロック型(「ブロッカー」ともいう)。コンピューターなどのデバイスへのアクセスをブロックし、使えないようにします。暗号化されたファイルを復元するよりも、ブロックされたアクセスを取り戻す方が見込みがあり、暗号化型よりは対処のしようがあります。

2. 要求される身代金は、普通どのくらいですか?

「普通」の金額はありません。30ドル程度しか要求しないランサムウェアもあれば、数万ドルを要求するものもあります。企業などの大規模な組織はスピア型フィッシングの標的となりやすく、高額の身代金を要求される傾向にあります。

ただし、身代金を支払ったからといって、ファイルが無事に戻ってくるとは限らないということを肝に銘じておいてください。

3. 身代金を支払わなくても暗号化されたファイルを復号できますか?

できる場合もあります。ランサムウェアの大半は、強靱な暗号化アルゴリズムを使用しています。つまり、暗号化キーがない場合、復号には何年もかかるということです。

時にはランサムウェア攻撃を仕掛ける犯罪者がミスを犯し、暗号化キーが保存された攻撃用サーバーを警察に押収されることがあります。そういう場合は、復号ツールの開発が可能となります。

4. 身代金の支払い方法は?

身代金は通常、暗号通貨(具体的にはビットコイン)での支払いを要求されます。ビットコインは偽造できません。取引履歴は誰でも見ることができますが、ウォレットの所有者を追跡するのは容易ではありません。できるだけ尻尾をつかまれないようにしているサイバー犯罪者がビットコインを好むのはこのためです。

中には、匿名のオンラインウォレットやモバイル決済を利用するランサムウェアもあります。これまでで一番驚かされた支払方法は、50ドルのiTunesカードでした。

5. ランサムウェアはどうやってコンピューターに侵入するのですか?

一番よくある経路はメールです。ランサムウェアは役に立ちそうな、または重要そうな添付ファイル(緊急の請求書、面白そうな記事、無料アプリ)のふりをしています。この添付ファイルを開くと、コンピューターが感染してしまいます。

ネットを見て回っているだけでも、ランサムウェアに侵入される可能性があります。ランサムウェアを操るサイバー犯罪者は、OS、ブラウザー、アプリの脆弱性につけ込んでシステムを掌握しようとします。そのため、ソフトウェアやOSのアップデートをきちんと適用することが大切なのです。なお、カスペルスキー インターネット セキュリティカスペルスキー セキュリティのWindows対応プログラム)の最新バージョンには、アップデートを自動的に処理する機能があります。

ランサムウェアの中には、ローカルネットワークを通じて自ら感染を拡げるものもあります。家庭や企業のネットワークに接続しているデバイスのどれかにこのようなランサムウェアが感染したら、他のデバイスにも感染が広がるのは時間の問題です。ただし、これはレアなケースです。

明らかに危険がありそうなパターンも、当然ながらあります(英語記事)。たとえば、P2Pファイル共有からファイルをダウンロードすることの危険性については、どこかで聞いたことがあるのではないでしょうか。

6. 一番危ないタイプのファイルは何ですか?

最も怪しいのは、実行可能形式のファイル(拡張子が.EXEや.SCRのファイル)です。また、Visual Basicスクリプト(.VBS)やJavaScript(.JS)も、それに続きます。こういったファイルは、危ないファイルだと思われるのを避けるために、ZIPやRARなどのアーカイブに圧縮されていることがよくあります。

他に危ないタイプは、脆弱性を悪用するマクロが含まれている可能性がある、MS Officeのファイル(.DOC、.DOCX、.XLS、.XLSX、.PPTなど)です。Word文書を開いたときにマクロの有効化を要求するメッセージが表示されたら、有効化する前にもう一度よく考えましょう。

ショートカットファイル(.LNK)にも用心してください。Windowsのショートカットファイルには、好きなアイコンを割り当て可能です。アイコンに紐付くファイル名が害のなさそうな名前だったりすると、ついうっかりクリックしてしまい、トラブルが発生するかもしれません。

ここで、注意したいことがあります。Windowsでは、既知の拡張子を持つファイルを開くとき、開いてよいかどうかの確認メッセージが表示されません。また、既定の設定では、既知の拡張子がWindowsエクスプローラーに表示されません。たとえば、「Important_info.txt」と表示されているファイルは「Important_info」と表示されるような具合です。したがって、エクスプローラー内に「Important_info.txt」という名前のファイルが表示されていても、実は「Important_info.txt.exe」という名前で、マルウェアのインストーラーかもしれません。拡張子が表示されるようにWindowsを設定し、セキュリティを強化しましょう(英語記事)。

7. 悪質なWebサイトや怪しい添付ファイルに近寄らなければ、感染しないで済みますか?

残念ながら、用心深い人であってもランサムウェアに感染することがあります。たとえば、大手の有名なWebニュースサイトを見ている間にコンピューターが感染する可能性があります。

このようなWebサイト自体がマルウェアをばらまいているのではありません(ハッキングされていた場合は話が別ですが)。サイバー犯罪者によってセキュリティが侵害された広告ネットワークが配布元となり、未修正の脆弱性を利用してマルウェアを送り込んでいるのです。この場合も、ソフトウェアを適宜アップデートし、OSにきちんとパッチを適用してあるかどうかがポイントとなります。

8. Mac使いです。ランサムウェアのことは心配しなくていいですよね?

Macもランサムウェアに感染する可能性がありますし、現に感染例があります。たとえば、有名なBitTorrentクライアントのTransmissionに侵入したKeRangerというランサムウェアは、Mac利用者を攻撃しました。

当社のエキスパートは、Appleのシステムを標的とするランサムウェアの数は徐々に増加していくと見ています。Appleのデバイスは比較的高価ですから、恐喝犯はMacの所有者をよいカモと見て、身代金の額をつり上げてくるかもしれません。

Linuxを標的とするランサムウェアでさえ、複数の種類が存在します。ランサムウェアの脅威から逃れられるOSはありません。

9. インターネットには、スマートフォンからアクセスしています。やっぱり気をつけないとダメですか?

もちろんです。たとえば、Androidデバイスを標的とするランサムウェアには、暗号化型も画面ロック型もあります。画面ロック型のほうが一般的ですが。スマートフォンにアンチウイルス製品をインストールするのは、もはや用心しすぎではありません。

small-fusob-screen

10. つまり、iPhoneも危ない、ということですか?

今のところ、iPhoneやiPadだけを狙うランサムウェアは存在しません。ただし、これが当てはまるのはジェイルブレイク(脱獄)していないiPhoneの場合です。iOSや、App Storeの厳重なセキュリティ規制に縛られていないデバイスは、マルウェアに感染する可能性があります。

しかし、iPhone向けのランサムウェアもすぐそこまで迫っているだけかもしれず、ジェイルブレイクしていなくても感染するようになるかもしれません。また、話は広がりますが、IoTを標的とするランサムウェアが出現する可能性もあります。スマートテレビやスマート冷蔵庫を乗っ取ったサイバー犯罪者が、高額な身代金を要求してくるかもしれないのです。

11. コンピューターがランサムウェアに感染したかどうかは、どうすればわかりますか?

ランサムウェアは、自分の存在を大々的にアピールしてきます。たとえば、こんなふうに。

teslacrypt-screen

または、こんなふうに。

rfaq-dedcryptor-screen

もしくは、こんな感じで。

eda2-screen

画面ロック型はこんな感じです。

locker-screen

12. どのタイプのランサムウェアが一番出回っていますか?

新しいタイプのランサムウェアが毎日のように出現しているので、一番出回っているものを挙げるのは難しいのですが、特に目立つものをいくつか挙げることはできます。たとえば、Petyaはハードディスクを丸ごと暗号化します。また、当社で2度にわたり撃退したCryptXXXは、いまだに健在です。そして、2016年に入って4か月の間に最も感染を拡げたTeslaCryptがあります。このマルウェアの作者が意表を突いて突然マスター鍵を公開したのは、記憶に新しいところです。

13. ランサムウェアに感染したら、どうすればいいですか?

コンピューターがロックされている、つまりOSが起動しないことがわかったら、Kaspersky WindowsUnlockerを使ってみてください。画面ロック型ランサムウェアを削除してWindowsを起動できるようにする無料のツールです。

暗号化型ランサムウェアの場合は、これよりも手間がかかります。まずは、スキャンを実行してマルウェアを除去する必要があります。コンピューターに適切なアンチウイルス製品がインストールされていない場合は、こちらから無料体験版をダウンロードしてお使いいただけます。

次に、ファイルを元に戻す作業です。

ファイルをバックアップしてある場合は、そのバックアップからファイルを復元するだけです。現時点では、これが一番の手段です。

バックアップをとっていない場合は、復号ツールという特別なプログラムを使って、ファイルの復号を試してみましょう。Kaspersky Labが開発した無料の復号ツールは、すべてNoransom.kaspersky.com(英語サイト)に公開されています。

rfaq-noransom-screen

Kaspersky Lab以外のアンチウイルス製品企業も復号ツールを開発しています。ここで1つご注意を。復号ツールを入手する際には、必ず、信頼できるWebサイト(たとえば、その企業の公式サイト)からダウンロードするようにしてください。そうしないと、別のマルウェアに感染するリスクが高くなります。

適切な復号ツールが見つからない場合は、身代金を払うか、ファイルに永遠の別れを告げるか、どちらかです。とはいえ、身代金の支払いはお勧めできません。

14. さっさと身代金を支払ってはいけないのですか?

まず、ファイルを取り戻せる保証はありません。恐喝犯は信用できませんから。たとえば、Ranscamの開発者を例に挙げましょう。このRanscamというランサムウェアは、ファイルを暗号化せず、あっさり削除してしまいます(なのに、脅迫文には身代金と引き替えに復号すると書いてありました)。

Kaspersky Labの調査によると、ランサムウェア攻撃を受け、身代金を払っても、被害者の約20%はファイルを取り戻すことができませんでした

no-no-ransom-featured_ja

また、身代金を支払うと、このサイバー犯罪モデルを支援し、成長を後押しすることになります。

15. 必要な復号ツールを見つけましたが、うまくいきません。なぜですか?

新しい復号ツールがリリースされると、ランサムウェアの開発者はすぐにマルウェアを修正し、公開されたツールでは復号できないようにします。もぐら叩きゲームと同じです。残念ながら、復号ツールの動作は保証されていません。

16. 今まさにコンピューターが感染中なのに気づいた場合、何かできることはありますか?

まさに感染中に気づいたのであれば、コンピューターの電源を切ってハードディスクを取り出し、別のコンピューターに装着し、そのコンピューターにインストールされているアンチウイルス製品を使って駆除することが、理論上は可能です。しかし現実には、利用者が感染に気づくのは難しいことですし、まったく気付かないこともあります。ランサムウェアは密かに事を進め、身代金要求メッセージを表示するときまで姿を現しません。

17. 定期的にファイルをバックアップしておけば安全ですか?

ファイルのバックアップは間違いなく有益ですが、100%安全とは言い切れません。例を1つ紹介しましょう。自動バックアップが3日に一度行われるように、あなたは自分の家族が使っているコンピューターを設定しました。しばらくして、暗号化型ランサムウェアがこのコンピューターに侵入し、文書や写真などのファイルをすべて暗号化してしまいましたが、コンピューターの持ち主(夫?妻?祖父母かも)は、そのことに気付かないまま。1週間が経った後、あなたがこのコンピューターをチェックしてみると、バックアップされたファイルもすべて暗号化された状態に…。バックアップはとても重要ですが、ただバックアップを取るだけでは、こうした落とし穴に嵌まってしまいます。

18. 感染を回避するには、アンチウイルス製品で十分ですか?

ほとんどの場合は、それで十分です。どのアンチウイルス製品を選ぶかですが、著名な第三者テスト機関が実施したベンチマークテストでは(実は、唯一信頼できるベンチマークでもあります)、カスペルスキー製品は他社製品よりも優れた保護機能を示しました。しかし、100%の効果を発揮するアンチウイルス製品はありません。

自動検知の精度は、マルウェアがどのくらい新しいかに左右されることが多いのですが、シグネチャが定義データベースに追加されていない新種マルウェアであっても、ふるまいの分析による検知が可能です。また、マルウェアの操作によってシステムにダメージが及びそうになると、ただちにその操作はブロックされます。

カスペルスキー製品にはシステムウォッチャーという機能があります。システムウォッチャーは、大量のファイルを暗号化しようとする動きを検知すると、このプロセスをブロックしてすべての変更を元に戻します。この機能は無効化しないでください。

rfaq-system-watcher-screen_ja-%e3%82%b3%e3%83%94%e3%83%bc

19. 設定を調整して、防御力をアップすることはできますか?

  1. まず、アンチウイルス製品をインストールします。
  2. ブラウザーでスクリプトを実行できないようにします。ブラウザー経由の攻撃は、サイバー犯罪者が好んで利用する手段です。スクリプトを無効化する方法は、Kaspersky Daily(当ブログ)でも取り上げています。Chromeの場合はこちらの記事、Firefoxの場合はこちらの記事をどうぞ。
  3. Windowsエクスプローラーでファイル拡張子が表示されるようにします(英語記事)。
  4. VBSファイルとJSファイルを開くときに既定で使用するアプリケーションを、メモ帳に設定します。Windowsでは通常、危険なVBSスクリプトやJSスクリプトがテキストファイルとして表示されます。そのため、コンピューターにあまり詳しくない人が誤ってこれらのファイルを開いてしまう可能性がありますが、メモ帳に関連づけられていればスクリプトは実行されません。
  5. カスペルスキー インターネット セキュリティの実行アプリケーションの制限をオンにすると、ホワイトリストに載っていないプログラムのインストールが制限されます。この設定は既定で有効化されておらず、多少の調整と設定が必要になりますが、非常に役立ちます。特に、コンピューターにあまり詳しくない方にお勧めの機能です。