暗号型ランサムウェアが猛威を振るっている。4月13日、IPA(独立行政法人情報処理推進機構)は、2016年3月にランサムウェアの相談が急増したと注意喚起。1月に11件、2月に17件だった相談件数が3月は96件に跳ね上がり、被害は全体の88%に上ったという。4月も継続して相談が寄せられているとする。

キヤノンITソリューションズが発表したマルウェア「Nemucod」の世界分布。Nemucodは、ランサムウェアLocky」を自動ダウンロードさせるためにメールなどでばらまかれるJavaScriptファイルだ。全体の52%が日本で検出されたという

ランサムウェアとは不正プログラムの一種。感染したPC全体やPC内のファイルを暗号化して使用不可能にした上で、復旧の代わりに金銭を要求するマルウェアだ。国内では、2015年12月、感染後にPC内のファイル拡張子が.vvvへ強制的に変更されデータが閲覧できなくなる「vvvウイルス」をきっかけに新たな脅威として注目されている。

ランサムウェアは「儲かる」攻撃

セキュリティ製品「ESET」などを取り扱うキヤノンITソリューションズは、社内で発見されたウイルスやランサムウェアといった不審なマルウェアを、解析・レポートする法人向け有償サービス「マルウェア解析サービス」を27日に発表。同日開催の発表会にて、ランサムウェアが流行する理由を「攻撃しやすい」「追跡が困難」「儲かる」と説明した。

ランサムウェアが流行する理由は「攻撃しやすい」「追跡が困難」「儲かる」

攻撃のしやすさは、ランサムウェアを売り買いする市場がWeb上で確立したことが要因。「ランサムウェア販売サイトは少し検索すればすぐ見つかる状態」だといい、販売ページにはサービスの稼働状況や料金、攻撃時の暗号化方式といった"スペック"のほか、サポート窓口まで用意されているという。これにより、高い技術を持たない人でも手軽にランサムウェアを手に入れ、攻撃することが可能となっている。こうしたサイバー攻撃のサービス化は従来からウイルスやDoS攻撃などの販売にも見られていたが、ランサムウェアもそのひとつに加わったというわけだ(ウイルスやDoS攻撃の販売市場はすでに成熟しており、24時間サポートや数クリックでの手軽な購入をうたう犯罪サイトもある)。

身代金には足のつかないビットコインやプリペイドカードなどで請求したり、Torといった匿名ネットワークを利用したりすることで、攻撃者自身への追跡を困難にさせている。そして、標的型攻撃に比べ短時間で目的を達成でき、費用対効果が高いため「儲かるビジネス」だとしている。

Web上ではランサムウェアが商品として売り買いされる市場「RaaS」(Ransomware as a Service)が成立しているという。名前の由来はもちろんSaaS(Software as a Service)から

また、インテルのセキュリティ部門として「マカフィー リブセーフ」などのセキュリティ製品を扱うマカフィーも警鐘を鳴らしている。世界中に配置した同社センサーからデータを収集、分析した結果、2015年第4四半期に新たに確認されたランサムウェアが、前四半期に比べ26%増加したという。

マカフィーでもランサムウェア流行の要因は、「オープンソース」としてランサムウェアのコードが公開されるといった利用障壁の低さ、逮捕リスクのわりに金銭的な見返りが大きいことが、攻撃者に注目されている要因だとしている。同社Blogでは、2015年10月に行われた大規模なランサムウェア攻撃キャンペーンで、約3億2500万米ドル(約348億5千万円)の身代金被害が確認されたことが紹介されている。

マカフィーも公式ブログ「McAfee Blog」で注意喚起。ランサムウェアの急増は作成のハードル低下と高い見返りが理由とする

感染経路はメールが主流

ランサムウェアの感染経路はメールが主流。例えばランサムウェア「Locky」の場合、まずマルウェア(JavaScriptファイル)が添付されたメールが送られ、これがPCに感染すると、攻撃者が用意したC&Cサーバを通じLockyが自動ダウンロードされる。これら処理はバックグラウンドで動くためユーザーは気づきにくい。ファイルが暗号化されたのちに脅迫文が表示され、初めてユーザーは感染に気づく……といった具合だ。

普通に稼働しているWindows PC。ExcelやWord、JPEGファイルの写真などが閲覧できる状態だ(以下の画像3点はキヤノンITソリューションズの発表会にて撮影したもの)

しかし、不審なメールを受信して添付ファイルをついクリックしてしまうと……。表面上は何も起こらないが、水面下ではランサムウェア「Locky」をダウンロードさせるJavaScriptが動いている

数度画面が再読み込みされた後、突然PCに「脅迫文」の画像が表示される。内容はPC内のファイルを暗号化した、復元したくばお金を払え……というもの

ランサムウェアの感染では、身代金を払ってもデータが復元できるとは限らない。解析が進んだ一部ランサムウェアに対しては、暗号化されたデータを復元するサービスやツールも登場しているが、個人での対策は、まず怪しい添付ファイルを開かないことや、ランサムウェア対策機能のあるセキュリティソフトウェアをインストールすること。しかし、現状最も有効といえるのは感染後のデータ復旧だ。主要なデータを普段PCと切り離されている外付けデバイスやクラウドストレージなどに、常にバックアップしておくことが重要だろう。