ファイルを人質に身代金を要求、猛威をふるうランサムウェアへの対策

今の情報セキュリティ分野における最大の脅威と言えるのが「ランサムウェア」である。被害に遭わないためには、どのような対策を講じる必要があるのだろうか。

» 2016年06月20日 10時00分 公開
[PR/ITmedia]
PR

画像ファイルやOfficeドキュメントが人質に

 ここ数年、特に耳にすることが多くなったセキュリティの脅威の一つに「ランサムウェア」がある。ランサム(Ransom)とは英語で「身代金」の意味だ。2010年頃から本格的に出回り始め、ここ数年は企業・個人を問わずに被害が拡大している。

 ランサムウェアは、何らかの方法でPCの操作を妨害し、回復させるための代償として金銭の支払いを求める悪意のあるプログラムである。いまや仕事や生活に不可欠なPCを人質にして身代金を要求することから、いつしかランサムウェアと呼ばれるようになった。最近はファイルを暗号化して身代金を要求するものが増えているが、PCに不適切な画像を表示し続け、その画像を消すために身代金を要求するような非暗号化のランサムウェアもある。

ランサムウェアの攻撃イメージ(出典:日本ヒューレット・パッカード)

 暗号化タイプのランサムウェアは、特に画像ファイルやOfficeドキュメントを狙う場合が多い。個人にとっては、撮り貯めた大切な写真画像が奪われるダメージが非常に大きいといえる。また、企業にとっては機密情報や顧客情報が記録された文書が失われれば、業務継続が困難になるおそれがある。ファイルの暗号化は共有フォルダとして利用されているファイルサーバにも及ぶので、機密文書をネットワーク上に保存している場合でも決して安心できない。ランサムウェアを送り込む犯罪者は、そうした痛いところを突いてくるのだ。

ユーザーを脅すランサムウェア(出典:カスペルスキー)

 ランサムウェアの特徴に、身代金の要求額が大金ではないことも挙げられる。よくあるのは「1Bitcoin(2016年6月現在で約6万円相当)を支払え」というもの。大金を要求すると被害者が支払わない可能性が高いことを犯罪者はよく知っているので、被害者がつい支払ってしまう程度の金額を要求するのだ。最近は「身代金を支払ってもファイルが復元される保証はないので、支払ってはいけない」という注意喚起も周知されるようになったため、暗号化されたファイルが復元できることをデモするようなランサムウェアまで出てくる始末である。

ランサムウェアの感染源はメールが最多

 そんなランサムウェアが猛威を奮うようになったのは、2014〜2015年のことだ。闇市場ではランサムウェアを簡単に作成できるツールキットが取引されており、犯罪に手を染める者が増えた。例えば、2015年末に話題となった「vvvウイルス」も、その正体はランサムウェアである。

 このようにランサムウェアが急増するとともに、多様化も進んでいる。日本語のランサムウェア、Windows以外の複数のOSに対応したランサムウェア、さらには端末をロックしてしまうスマートフォンを狙ったランサムウェアも現れている。特に日本語のランサムウェアは、不特定多数ではなく特定の企業を狙った標的型攻撃の場合もある。少し前までは、言葉遣いやフォントが少しおかしい変な日本語のメールが多かったが、最近では滑らかな日本語のランサムウェアも登場しているので、要注意である。

 では、ランサムウェアはどのように感染するのだろうか。最も多いのは、メールの添付ファイル経由で侵入してくるケースである。メールの本文には添付ファイルの確認を促す文章が書かれ、ZIP形式の添付ファイルの中にはJS(JavaScript)ファイルやVBS(VBScript)ファイルが入っている。これらのスクリプトを実行してしまうと、犯罪者が用意したC&C(コマンド&コントロール)サーバへ勝手に接続され、そこからファイルを暗号化するプログラムがダウンロード、実行される。このプログラムはPCに保存されている特定のファイルを検索し、そのファイルを閲覧、編集できないように暗号化するというわけだ。

 この他に、よくあるECサイトに似せたフィッシングサイト、あるいは改ざんされたWebサイトのページを閲覧したり、不正な広告のリンクをクリックしたりしたところから感染する場合もある。これはOSやWebブラウザの脆弱性を突いたものが大半なので、セキュリティソフトウェアのパターンファイルも含めて最新のパッチを適用せずに使っていると感染する危険性が非常に高い。

ランサムウェア対策は?

 ランサムウェアへの対策には、やるべきことがいくつかある。まず基本となるのは、OSやWebブラウザ、その他のアプリケーションの更新プログラムを漏れなく適用するとともに、セキュリティソフトウェアを常に最新の状態にしておくことだ。

 ただし、ランサムウェアは亜流が非常に多いため、セキュリティソフトウェアを導入していてもすり抜けて侵入してくる場合も多い。特にJSファイルやVBSファイルが格納されているZIPファイルの侵入率は高い。この侵入を防止するのは、セキュリティソフトウェアの迷惑メール(スパムメール)対策機能なので、この機能は確実に有効にしておくべきだ。

 万一ZIPファイル内のスクリプトを実行してしまっても、C&Cサーバからプログラムをダウンロードして実行するようなバックドアプログラムを検知する仕組みを用意すると安心だ。例えば、ルータまたはブリッジとして動作するセキュリティアプライアンスを導入しておけば、スクリプトが実行されてしまってもファイルを暗号化する不正プログラムの侵入を防止できる可能性が高くなる。とりわけ中堅・中小企業やSOHO、個人事業主などの場合、PCを保護するエンドポイントのセキュリティウイルス対策ソフトウェアしか適用していないことが多いので、できればセキュリティアプライアンスを導入しよう。

セキュリティ製品でランサムウェアを検知する(出典:カスペルスキー)

 ランサムウェアの侵入を許し、ファイルが暗号化されてしまった場合はどうするのか。その対策として最も有効なのは、やはりファイルをバックアップしておくことである。ただし、ファイルサーバのようにPCから常時操作できるところにバックアップしたファイルを保存しておくと、一緒に暗号化されてしまいかねない。そこでファイルをUSBメモリなどに保存したうえでPCから物理的に取り外して保管しておく、あるいは信頼性の高いクラウドストレージサービスを利用してファイルをバックアップしておくといった対策を講じることが望ましい。

 ファイルのバックアップを怠り、既にランサムウェアにファイルを暗号化されてしまった場合、諦める前に試してほしいことがある。Windows PCならば復元ポイントやファイル履歴、Windows Serverのファイルサーバならばシャドウコピーのスナップショットで元に戻せる可能性があるのだ。ただし、これらの機能は平時から有効にしなければならないので、ファイルをバックアップするとともに、これらの機能を必ずオンにしておこう。

データを必ずバックアップしておくこと(出典:IPA)

 そして、PCリテラシーの低いユーザーに対しては、「心当たりのないメールの添付ファイルは絶対に開かない」「業務に不必要なWebサイトにアクセスしたり、リンクを不用意にクリックしたりしない」といった教育も忘れずに行うことだ。本記事を読んでいただいた皆さんには、周囲の“PCに詳しくない人”にぜひランサムウェアの脅威を教えてあげてほしい。

 犯罪者にとっての資金源となり得るランサムウェアは、今後も姿を変化させながら個人や企業を脅かし続けるだろう。しかし、きちんとした対策を講じておけば、被害に遭うことはないのである。


もっと詳しく知りたい方に

おすすめのランサムウェア関連製品の資料をまとめてダウンロードすることができます。ご覧になりたい製品にチェックを入れ、「資料ダウンロード」ボタンを押して下さい。

  • キーマンズネット会員の方は、こちらからログインしてご利用下さい。
  • 別ウインドウでキーマンズネットのページが開きます。
  • キーマンズネット会員では無い方もご利用いただくことができます。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:株式会社カスペルスキー、日本ヒューレット・パッカード株式会社
アイティメディア営業企画/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2016年8月19日

関連特集