暗号化されてしまった会社のデータはほぼ復号できないと考えるべき理由

2019年4月3日

ノルウェー企業のNorsk Hydroで起きた事件が示すように、ランサムウェアの脅威は今もなお存在しており、皆が皆、対策できているわけではないようです。考えられる理由の1つに、攻撃を受けてもデータを元に戻せるという通念が挙げられます。要は、社内のITスペシャリストに無理だとしても外部のセキュリティエキスパートが、それでもだめなら最後の手段としてサイバー犯罪者本人であれば(身代金と引き換えに)データを復号できるだろう、という考えです。確かに、データの復号を確約する企業は少なくありません。しかし、そうした企業に依頼した場合、サイバー犯罪者に身代金を払う以上に悪い結果となることがあります。

データ復号を確約する企業を頼ることの危険性

暗号化型ランサムウェアに関する情報を検索すると、「どんなデータでも取り戻せる」と約束する広告がいくつも見つかります。そうした企業のWebサイトでは、犯罪者に身代金を支払ってはいけない理由が長々と解説され、データ復号方法に関する創意あふれる説明が掲載されていることが多いものです。説得力に満ちたWebサイトもしばしばですが、額面どおりに受け取れない場合があります。

最新の暗号アルゴリズムは、設計上、重要な情報の暗号化が誰にでもできるようになっていますが、暗号化された情報を元に戻すことができるのは、復号キーを持っている人だけです。つまり、攻撃者がミスでも犯さない限り、ファイルの復号は他の誰にもできないのです。あなたの会社のシステム管理者にも、世界的なITセキュリティ企業にもできません。

したがって、絶対に復号できるという主張は、怪しいと考えた方がよいでしょう。昨年末、パートナー企業のリサーチャーたちがそのような主張をする企業を特定しました(英語記事)。その企業は「復号サービス」の料金としてかなりの額をランサムウェア被害者に要求していましたが、裏では攻撃者に連絡を取り、割引価格で復号用のキーを教えてくれないかと交渉していたことが明らかになったのです。結果として、被害者は攻撃者だけでなく、第三者の詐欺師にもお金を渡すことになりました。

身代金を支払ってはいけない理由

攻撃者本人にお金を払うのは、最も楽な方法に見えます。その手段をとり、実際にデータを取り戻した例も少なくありません。たとえば2016年には、ランサムウェアLockyによる攻撃で医療機関であるHollywood Presbyterian Medical Center(HPMC)の機能が停止し(英語記事)、復号を急がないと患者の健康ばかりか状況によっては生命が左右されるまでの事態に追い込まれました。経営者は難しい判断を迫られ、1万7,000ドルの身代金を支払う決断を下しました。

しかし、最も簡単な方法が常にベストであるとは限りません。生死を問うほどの問題でない場合は特にそうです。支払った身代金が、さらに高度な悪意あるプログラムを開発するために使われるのは、まず間違いありません(このように過去に支払いの意思を示した人が、その新しいプログラムの標的になるかもしれません)。また、身代金を支払ったからといってうまくいく保証はありません。HPMCの場合は不幸中の幸いでしたが、お金だけを取られてファイルは復号されないケースも多々あります。攻撃者に復号する能力がない場合もあります。

セキュリティ企業がデータを復号できない理由

当然ながら、暗号化されたデータの復号方法を常に探している企業もあります。Kaspersky Labもそのうちの1社です。しかし情報の解読がかなうのは、攻撃者の技術レベルが十分でなく標準のアルゴリズムを実装できていない場合(または単純にどこかでミスを犯している場合)に限られます。当社が復号ツールの作成に成功した場合は、こちらのWebサイトにて無料で公開しています。ただし、それは例外的なケースで、必ず復号ツールを作成できるとは限りません。

したがって、最善の策は感染を防ぐことです。たとえば、無料で利用できるKaspersky Anti-Ransomware Tool for Businessはサードパーティのセキュリティベンダー製の製品と併用可能で、Windows Serverで稼働するワークステーションとサーバーの保護を強化します。

Kaspersky Anti-Ransomware Tool for Businessは、企業のデバイスを既知および未知の暗号化型マルウェアから保護するだけではなく、悪意ある仮想通貨マイナー、危険が潜む可能性のあるプログラム、ポルノウェアなどの脅威を検知することも可能です。