ランサムウェアとは、PCやスマートフォンをなんらかの方法で使用不能状態にし、元に戻すためには身代金を払え――と要求するマルウェアの一種だ。身代金のRansomとSoftwareからの造語である。

ランサムウェア自体は20年以上前から存在していたものの、手口は巧妙化、凶悪化が進み、近年被害が拡大している。2016年4月には、IPAが「ランサムウェアに感染した」という相談が急増しているとして注意を喚起。また、2016年6月頃には、家庭のスマートテレビを操作不能にし、ロック解除のための身代金を要求するランサムウェアが登場するなど、今後IoTに関連した攻撃も活発化していくとみられている。

今回、ランサムウェアの実態や最新の状況、さらには対策などについて、全4回にわたり紹介していきたい。また、いくつかの事例については、トレンドマイクロの森本純氏に最新の情報を尋ねた。

最初に流行した端末ロック型

まずは、ランサムウェアの歴史を簡単に振り返ってみたい。ランサムウェア自体は、1989年頃まで遡る。いくつかのパターンがあったが、2011年頃に流行したのが、ポリスランサムといわれるランサムウェアだ。

図1 ポリスランサム

この例ではインターポールを騙り、罰金を払うように命じている。オバマ大統領の写真も掲載され、"いかにも"な雰囲気を出している。同様な手口として、FBI、アメリカ国土安全保障省、ロンドン警視庁など法的機関などを騙ることが多い。このようなランサムウェアは、端末ロック型と呼ばれるもので、画面表示を乗っ取り、操作不能状態にする。そして、この状態を解除したければ身代金を払え、と脅迫する。端末ロック型は、ランサムウェア自体を駆除すれば、PCが利用可能になる。

駆除してもファイルが戻らない暗号型

また、暗号化型のランサムウェアは、初期のランサムウェアでも多くみられた。これはその名の通り、ユーザーのファイルを暗号化し、PCを使用不能する。暗号化型のやっかいなところは、ランサムウェアを駆除しても、暗号化されたファイルがそのままになってしまうことだ(2次被害ともいえるだろう)。図2は、2013年9月に検知されたCryptLockerだ。

図2 CryptLocker

日本語にも対応したランサムウェア

2014年には、日本語のランサムウェアも登場する。日本語化というよりも、マルチランゲージ化対応といったほうがよいかもしれない。OSのロケール情報を読み取り、その国の言語で脅迫文を表示する。しかし、日本語レベルは低く、機械翻訳を使ったものと推察される。

図3 CryptoWall

図3は、2015年に検知された、CryptoWallだ。この段階になると、かなり日本語レベルもあがってきている。と同時に、ランサムウェアの脅威も非常に高いものとなってきた。