IPAは、コンピュータウイルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、ランサムウェアについて取り上げている。

ランサムウェアとは

ランサムウェアであるが、本書でもその脅威と対策を紹介してきた。改めてその挙動であるが、感染したユーザーのPCを使用不能な状態にして、身代金を請求するというトロイの木馬である。初期には、PCを再起動すると起動画面を乗っ取り、その後の操作を不能にするというものが多かった。

図1 FBIを騙るランサムウェアの一種

図1では米国の操作機関であるFBIを騙っている。同じように、警察署などの捜査機関、裁判所などを騙ることもあった。もちろん、その目的はいかにも公的な機関であることを装い、身代金を不正にユーザーから奪いやすくすることが目的であった。

そして、その状況に変化が見られたのは、クリプト型のランサムウェアの登場である。上述した起動画面を乗っ取るランサムウェアならば、感染後も状況によっては、ウイルスの駆除などが可能なこともあった。しかし、クリプト型の最大の特徴は、ユーザーのデータを暗号化してしまうことである。つまり、ランサムウェアが駆除できたとしても、ユーザーデータのほとんどを失うことになり、実質的には使用不能な状況に陥ることになる。こういった状況を作成し、身代金を奪い取ろうとするという、非常に悪質なウイルスといえるだろう。さらに、個人用のPCだけでなく、組織や会社のサーバーに侵入し、共有データを暗号化するといった事例も報告されちている。

いずれのランサムウェアでも、身代金を支払ったとしても、PCが復元できる可能性は低い。それどころか、連絡したクレジットカードを悪用される危険性すら存在する。最近では、仮想通貨のビットコインなどを身代金として請求されることが多い。悪意を持った攻撃者に送金をしても、身元の追跡は非常に難しいといえるだろう。

国内におけるランサムウェアの被害状況

これまで、IPAではランサムウェアについて、注意喚起を行ってきた。しかし、図2を見てほしい。

図2 ランサムウェアに関する相談件数の推移(IPAの今月の呼びかけより)

IPAによれば、かなり正確な日本語表示を行うランサムウェアが確認されたのは、2015年4月であった。その後、急速にIPAへの相談件数が増加している。その後は、沈静化もみられた。しかし、2015年秋以降、相談件数が急増している。その理由であるが、IPAでは、

  • 10月:ウイルス感染を目的としたWebサイトの改ざん
  • 12月:ランサムウェア感染を目的としたメールのばら撒き

といった事例をあげている。いずれの相談においても、ファイルが使用不能になる点は共通の被害であった。結果として、多くの組織や企業において、業務に著しい影響を与えることになった。IPAでは、ランサムウェアの対策は、定期的なバックアップとしている。

ランサムウェアの感染経路

では、どのようにランサムウェアに感染するのか。IPAの分析結果を紹介したい。他のウイルスと同じく、メールとWeb経由の2つがある。まず、メール経由である。

  • メール本文中のURLにアクセスすることで感染
  • メールの添付ファイルを開くことで感染

IPAが確認したものでは、請求書の確認を促すような英語の文面で、zipファイルが添付されていた。このzipファイル内に、ランサムウェアをダウンロードするように細工された別の不正プログラムがあり、最終的にランサムウェアに感染してしまった。 次に、Webサイト経由である。

  • 改ざんされた正規のWebサイトや細工された不正広告を閲覧することで感染
  • Webサイトからダウンロードしたファイルを開くことで感染

一般的なウイルスなどでも使われる手口である。さらには、Webサイトを閲覧しただけで感染した事例もあるとのことだ。

もっとも効果的な対策は、日々のバックアップ

クリプト型のランサムウェアに感染してしまうと、ユーザーデータやHDDのデータをもとの状態に戻すことは、きわめて難しい(高度な暗号化方式が使われている)。したがって、ランサムウェアへの対策として、バックアップがもっとも効果的となる。つまり、ランサムウェアに感染しても、感染する以前の状態に戻すことができれば、データを失うことはないのである。

IPAでは、バックアップを行ううえでの注意事項として、以下をあげる。

  • バックアップに使用する装置・媒体は、バックアップ時のみPCと接続する
  • バックアップに使用する装置・媒体は複数用意し、バックアップする
  • バックアップから正常に復元できることを定期的に確認する

ここで重要なのは、1番目である。常時、PCやサーバーに接続していると、ランサムウェアに感染した時点で、外付けのHDDなども暗号化されてしまう。つまり、バックアップとして使えなくなってしまう。そこで、バックアップを作成する(その時点で、ランサムウェアに感染していなければ正しく行えるハズだ)際にのみ、PCやサーバーに接続するのである。さらに複数のバックアップ装置を用意することで、もし、ランサムウェアに感染したとしても、被害を最小限に防げる可能性もある。

そして、ドライブバイダウンロードなどの攻撃に遭わないために。

  • OSやアプリケーションの脆弱性の解消
  • 安易にリンク先をクリックしない
  • セキュリティ対策ソフトの導入

といった基本的な対策も必須となるだろう。