エフセキュアでは、ランサムウェアによる被害の報告を行い、注意を喚起している。まずは、ランサムウェア(トロイの木馬の一種)をご存知であろうか。ユーザのデータを人質にとり、身代金を要求するものである。その具体的な手口を紹介しよう。

ランサムウェアの手口

初期段階では、「Trojan:W32/DatCrypt」という不正プログラム起動する。具体的には、感染したシステム上の特定ファイル(たいていの場合は、Microsoft Office書類、ビデオファイル、音楽ファイル、画像ファイル)が「破損」しているように見せかける。

図1 不正プログラムがファイルの破損を告げる(エフセキュアブログより引用)

実際に、このファイルはDatCryptにより暗号化されているので、確かにユーザはファイルを開くことができなくなっている。すると、DatCryptはユーザに「お奨めのファイル修復ソフトウェア」をダウンロードし、実行するようアドバイスする(図2)。

図2 修復ソフトウェアを推奨(エフセキュアブログより)

タスクトレイのアイコンからのメッセージに見せかけることで、ユーザの注意力をそらそうとしている。つい信用して、この修復ソフトウェアをダウンロードしてしまう。この例では、「Data Doctor 2010」という、これまたそれらしい名前をしたソフトウェアがダウンロードさせられる。しかし、実行しても破損したファイルは1つしか修復できないといわれる。

図3 「このソフトは無料版なので修復できるファイルは1つだけです」といわれる(エフセキュアブログより)

完全に修復するためには(正確には、復号化するため)には、89.95ドルの製品版を購入するよう誘導する。製品版が購入されると、暗号化されたファイルは元に戻り、ユーザが自由にアクセスできるようになる。これをユーザの視点で考えると、

  • 「ああ、なんということだ。大切なファイルを無くしてしまった!」
  • 「友達全員にData Doctorを奨めよう」

ということになる。ユーザは、自分が身代金を払っているということさえ気付いていないのだ。破損したというファイルが、仕事で使うものであったり、重要なデータであるならば、余計にそう感じるであろう。しかし、実際には、ユーザは自分自身のファイルの身代金(ランサム)を払うよう強要されているのだ。エフセキュアでは、騙されたユーザに誤った満足感さえ与える、非常に悪質なものとしている。

対策はバックアップが効果的

ユーザのデータを人質にして身代金を要求するサイバー犯罪は、決して新しい手法ではない。しかし、最近感染を拡大している新種のトロイの木馬は、より巧妙で、ユーザが被害に気が付かない危険性があると、エフセキュアでは警告する。さらに定期的なバックアップを怠っているユーザが、この手の詐欺の被害に遭う可能性が高く、エフセキュアでは、重要なファイルは、CD、DVD、USBメモリなどのリムーバブルメディアのバックアップを推奨している。手口の最初に戻ってみよう。

もし「ファイルが破損した」といわれても、バックアップをきちんととっていれば、あわてる必要はない。破損したファイルをごみ箱に入れ、バックアップメディアから、リカバリすればよいのである。しかし、バックアップをとっていなかったら、どうなるであろうか。ランサムウェアの陰謀は、ユーザが金を支払ってでも影響を受けたファイルをリカバリしたいと考えるだろうという憶測、そしてユーザがこれらのファイルのコピーをどこかに保存していないという憶測に基づいている。あらためて、重要なファイルのバックアップについて、再度確認してみてほしい。

最後に、エフセキュアのセキュリティ研究所CRO(主席研究員)のミッコ・ヒッポネンのコメントを紹介しよう。「このトロイの木馬は、かなり手の込んだ手法で機能しています。ユーザは、自分のファイルを取り戻してほっとしてしまい、まさか自分がたんに暗号化されただけのファイルのために、身代金を支払ったことに気が付かないかもしれません。さらに被害者が友人にこの偽リカバリソフトを推薦する危険性もあります」 と続け、「このような詐欺手法は、2009年流行したFile Fix Proのユーティリティと共通点がある」とのことである。くれぐれも用心してほしい。