LokiBlog

セキュリティ関連の記事を公開しています

ランサムウェアについてまとめてみた

ランサムウェアとは

ランサムウエアとはマルウエアの一種です。ランサムとは身代金の意味です。身代金要求型不正プログラムとも呼ばれ、感染したデバイスをロックしたり、ファイルを暗号化したりすることによってユーザによるアクセスを制限し、「元に戻して欲しければ」と代金の支払いを要求します。(※1)

感染経路について

感染経路については、以下が考えられます。

  • 攻撃者からのEメールを受信して添付ファイルを開く
  • メール本文中に記載されているURLリンクをクリックする
  • 改ざんされたWebサイトにアクセスした際にドライブバイダウンロード攻撃を受ける
  • 攻撃目的で細工されたサービス要求が送られる
  • USBメモリなどの記憶媒体

流行の背景

ビットコインなどの匿名での受け取りが容易な仮想通貨の普及が考えられます。ランサムウエア被害にあった場合、要求に応じて身代金を支払ったとしても、データやシステムが元どおりアクセスできるようになる保証はありません。身代金を取られ、データやシステム機能も失ったままという、ランサムウエアによる二重の被害になる可能性もあります。

ランサムウエアの種類

2016年の一年間だけでも247種類(※2)が確認されており、なかには高度な機能をもつものもあります。

CryptoWall

2013年9月頃に米国で初めて感染が確認され、日本国内においても2015年11月頃から感染が確認され始めました。ビットコインによる身代金の支払いを要求した最初のマルウエアです。マカフィーによると、2015年2月から4月の2カ月の調査期間における、ビットコインをドル換算した場合の平均的な価値を基に取引金額を計算した結果、支払われた身代金の総額の推定額は3億2500万ドル(約400億円)(※3) に達しており、金銭被害という面で甚大な被害を及ぼしたランサムウエアのひとつです。同ランサムウエアに感染すると、ファイルの拡張子がランダムな文字列に変更されることで知られています。

TeslaCrypt

2015年2月に海外で話題になり、国内においても同年の12月頃に被害を確認しています。初期のTeslaCryptのターゲットは、ビデオゲームのコミュニティと考えられており、一般的なファイル(文書、画像、データベースファイルなど)以外に、ゲーム用のファイルを暗号化することが特徴的です。暗号化されたファイルの拡張子を「.vvv」に変更するランサムウエアとして知られています

Locky

2016年1月、米国や、オーストラリア、ドイツ、イギリスなど世界中で拡散が確認され、日本においても同年の2月に感染が急増しました。国内で感染が拡大した主な理由として、同ランサムウエアが多言語対応型であり、脅迫文が日本語で記載されていたことが挙げられます。Lockyの拡散経路として、Word文書ファイルを添付したスパムメールが確認されており、このファイルを開くと、マクロやJavaScriptが実行されてLockyをダウンロードします。暗号化されたファイルの拡張子を「.locky」に変更するランサムウエアとして知られています。

ランサムウエアの対策

前述したように、ランサムウエアの感染経路にはEメールやWebサイトを介するもの、細工されたサービス要求によるものなどさまざまなケースが想定されます。そのため、次に示す被害低減策や予防策を多重的に行うことで、その被害を最小限に抑えていく必要があります。

ファイルやシステムの定期的なバックアップを実施する

バックアップを定期的に行うことで、万一ランサムウエアに感染しても、データを復旧できるようにする。耐性を高めるため、定期的なバックアップと世代管理を行い、オリジナルとは別のネットワークにバックアップデータを保管することを推奨します。

メールの添付ファイルの開封やウェブ・ページ等のリンクをたどる際には注意する

メールやSNSにおいては送信者、文面、添付ファイル等に細心の注意を払い、心当たりがない場合や内容に不自然な点がある場合は安易に開いたり、クリックしたりしない。

ファイアウォールやメールフィルタを適切に設定し、不審な通信をブロックする

ファイアウォールで外部との不審な通信を制限し、スパムメールの判定やメール送信ドメインの検証を行うことによってメールをフィルタにかけ、不審な通信をブロックし、ネットワーク経由の感染リスクを低減する。

不要なサービスを無効化し、使用しているサービスについてはアクセスを制限する

SMB(Server Message Block)やRDP(Remote Desktop Protocol)など、使用していないサービスを無効化する。またはサービスへのアクセスを制限する。

OSやアプリケーション・ソフトウエアを最新の状態にアップデートする

OSやアプリケーション・ソフトウエアを最新の状態にすることで、脆弱性を解消し、感染するリスクを低減する。

セキュリティソフトを導入し、定義ファイルを常に最新の状態に保つ

セキュリティソフトを活用し、最新の定義ファイルに保つことで、感染するリスクを低減する。

パスワードの設定を見直す

各サービスのログインに必要なパスワードを適切に設定する。特にリモートからPCを操作できる設定にしている場合などは、パスワードが弱いと侵入を受ける可能性があるため、適切なパスワードの設定と管理を行う。

感染した場合の対処法

ランサムウエアに感染した場合、攻撃者が要求してきた身代金を支払っても、データやシステムの制限が解除される保証はありません。身代金は支払わず、次の流れを参考に、各ケースに応じてシステムの復旧を行うことをおすすめします。

感染した端末をオフラインにする

感染した端末をネットワークから隔離する。また、外部ストレージを接続している場合は、外部ストレージを切断する。

ランサムウエアの種類を特定する

感染端末をオフラインにした後、端末に表示されている画面を保存し、類似する画面をインターネットで検索することで、感染したランサムウエアを特定する。
「No More Ransom」プロジェクトの「Crypto Sheriff」を活用することで、ランサムウエアの種類が特定できる場合があります。(※4)

ランサムウエアを駆除する

ランサムウエアが端末に残っている状態で、データを復元しても再感染するため、端末内のランサムウエアを駆除する。信頼性の高いセキュリティ製品を活用することで、駆除できる場合があります。

データの復号を試みる

バックアップからデータを復元する。バックアップを行っていない場合は、復号ツールを活用し、データを復号する。
「No More Ransom」プロジェクトのWebサイトでは、セキュリティベンダーから提供されているさまざまな復号ツールが紹介されています。(※5)

上記サイトを活用し、データを復号する際は、以下の手順書を参照してください。

参考

※1 ランサムウエア対策特設サイト(JPCERT)

※2 ランサムウェアの脅威の変遷と今後の予測

※3 被害額3億2500万ドル(約400億円)のCryptoWallランサムウェアの調査結果レポートを共同で発表

※4 ランサムウエアの特定

※5 The No More Ransom