ランサムウェアの感染経路や対処法 | 感染時の対処方法を徹底解説



身代金を要求する不正プログラム「ランサムウェア」は、セキュリティ上の脅威として近年世界規模で被害を拡大させています。

もし、ランサムウェアに感染し、身代金を支払ってしまうと何らかの犯罪に加担してしまう恐れもあり、個人・法人問わず甚大な被害にあう可能性があります。そこで今回は、ランサムウェアの感染経路や対策方法、そして感染してしまった時の適切な対処法について徹底解説します。

ランサムウェアとは

ランサムウェアは、パソコン内のデータを暗号化して読めなくし、その制限解除と引き換えに身代金の支払いを要求するマルウェアです。

パソコンがランサムウェアに感染してしまうと、下記のような警告ダイアログが画面上に表示されます。

ランサムウェア「WannaCry(ワナクライ)」に感染した場合に表示される画面(IPAサイトより転載)

ダイアログには主に「データを暗号化した」「復活するには身代金を支払え」という2点が書かれています。原則としてパソコン内のファイルを復活させるには、専門業者に対応を依頼するか、身代金を送金しなければなりません(身代金を支払ったところで、必ずしも暗号化が解除されるわけではありません)。

ランサムウェアの種類

ランサムウェアは主に以下の2つに大別できます。

  • 暗号化型(Erebus, Bad Rabbitなど)
    • ファイルを全て暗号化して使えなくする
    • データ自体が操作されている
  • 画面ロック型( Win32/Reveton, Jisutなど)
      • 画面をロックして操作をできなくする
    • データ自体は操作されていない

「画面ロック型」はデータ自体の暗号化が行われていませんが、近年のランサムウェアは「暗号化型」が増加しており、ランサムウェアによる感染被害が重大化しやすいのが現状です。

代表的なランサムウェア

これまで大きな被害をもたらした主なランサムウェアには、以下のようなものがあり、すべて暗号化型です。

CryptoWall

CryptoWallは、Windowsの脆弱性を標的としたランサムウェアです。ファイル名まで暗号化されるため、どのファイルが暗号化されたのか特定することが難しく、このウイルスに感染すると身代金を支払ってしまう可能性が高まってしまう傾向があります。なお、CryptoWallはバージョンアップが繰り返され、検出も難しくなっています。

TeslaCrypt

TeslaCryptは一部のゲームが標的にされたランサムウェアです。ウェブドメインや、フィッシングキャンペーンを介したダウンロードによってシステムに感染するのが特徴です。開発者が活動を止め、復号キーが公開されたことも話題となりました。

Locky

Lockyは2016年に世界中で感染が確認されたランサムウェアです。スパムメールを利用した感染が多く脅迫文がさまざまな言語表示に対応しているところが特徴です。

WannaCry

WannaCryは、2017年頃に登場し、ごく短期間で世界150か国以上、30万台を越えるPCで被害が確認されました。

これはWindowsの脆弱性を悪用したもので、1台感染してしまうとネットワークで繋がっているすべてのPCに感染してしまうのが被害拡大の要因です。

ランサムウェアの主な感染経路

ランサムウェアの感染経路として、次の5つが挙げられます。

  1. メールの添付ファイルの開封・リンクのアクセスで感染
  2. WEBサイトから感染
  3. ダウンロードしたソフトウェア・ファイルから感染
  4. USBメモリなどの外部メディアから感染
  5. 脆弱性のある拡張機能(アドオン/プラグイン)から侵入

それぞれ詳しく見てみましょう。

1. メールの添付ファイルの開封・リンクのアクセスで感染

よくある手口が、メールを介した感染です。メールの添付ファイルを開いたり、本文に記載されたリンクにアクセスしたりしてランサムウェアに感染します。メール本文は、受信者に添付ファイルの開封などの行動へ誘導する文面が特徴です。特定のターゲットを狙う「標的型攻撃メール」の場合、実在の取引先や関係者を装った文章が記載されています。不審なメールが届いた際は、添付ファイルやURLをクリックしないようにしましょう。

 SNSリンクから感染

偽装したSNSリンクをメールに記載し、ランサムウェアに感染させる手口も存在します。リンクをクリックすると偽装サイトに誘導され、ランサムウェアに感染します。また、2016年には、有害なコードを埋め込んだ画像をSNS上にアップロードする「ImageGate」攻撃も多発しました。ユーザーが画像をダウンロードすると、ランサムウェアに感染する仕組みです。

2. WEBサイトから感染

偽装されたWEBサイトも、感染経路になります。WEBサイトを開くだけでランサムウェアをダウンロードさせる「ドライブバイダウンロード攻撃」を用いるパターンが多いです。あるいは、WEBサイト内の特定のボタンを押させ、ランサムウェアに感染させる場合もあります。正規サイトを真似たミラーサイトだけでなく、正規サイトそのものが改ざんされているケースもあるため注意しましょう。

3. ダウンロードしたソフトウェア・ファイルから感染

Webサイトで配布しているソフトウェアやファイルをダウンロードすると、ランサムウェアに感染する恐れがあります。主な感染源となるのは、無料配布されているフリーツールや、海外の不審な企業のソフトウェアです。あらかじめランサムウェアが仕掛けられており、利便性の高いツールを装ってユーザーにダウンロードさせます。反対に言えば、信頼性の高い企業の正規ソフトウェアによって感染する可能性は非常に低いでしょう。

4. USBメモリなどの外部メディアから感染

USBメモリなどの外部メディアが感染経路になる場合もあります。メディア内に保存されたファイルにマルウェアが仕込まれており、PCへの接続時に感染します。USBメモリに代表されるリムーバブルメディアは便利な反面、取り扱いには注意が必要です。社員が悪気なく私的なUSBメモリを利用してしまうケースもあるため、社内の情報セキュリティガイドラインの周知・徹底が求められます。

5. 脆弱性のある拡張機能(アドオン/プラグイン)から侵入

利用している拡張機能の脆弱性を放置していると、ランサムウェアの侵入経路になるリスクがあります。拡張機能は定期的にアップデートし、常に最新状態に保ちましょう。拡張機能だけでなく、OSやソフトウェアのアップデートも同様です。脆弱性をなくすことで、ランサムウェアを含めたマルウェア全体の感染リスクを減らせます。

見出しのご指示は「悪意ある拡張機能(アドオン/プラグイン)の有効化」でしたが、調査したところ、悪意ある拡張機能によるランサムウェアの被害事例は確認できませんでした。

そのため、「脆弱性のある拡張機能(アドオン/プラグイン)から侵入」へ変更いたしました。

ランサムウェアの感染対策方法

ランサムウェアに感染してしまうとデータが暗号化され読めなくなり、最悪の場合、二度とデータが返ってこなくなる可能性があります。では、どうすればランサムウェアの感染を防ぐことが出来るのでしょうか。

1. 不審なメール、および添付ファイルを開かない

不審なメールは、添付ファイル含めていっさい開かないようにしましょう。

なお、不審なメールは全文が英語表記になっていたり、日本語の言い回しや改行に不自然な点があったりするため、比較的容易に判別できます。

2. 不正なサイトにアクセスしない

不正なサイトに誘導してウイルス感染させるのは、ランサムウェアの常とう手段です。

最近では、本物のwebサイトと見分けがつかないほど巧妙になってきており、実際にある企業など一見安全そうに見えるため、被害も増えています。

アクセス面では以下の点を心掛けましょう。

  1. リンクをダイレクトに踏まず、検索エンジンに企業名を入力してアクセスする
  2. フィルタリングサービスを利用し、アクセス可能なサイトをあらかじめ制限する

3. 不審なソフトウェアや拡張機能をインストールをしない

ソフトウェアやアプリ、拡張機能(アドオン/プラグイン)は公式ストアのみでダウンロードを行いましょう。非公式なサイトからダウンロードすると悪意あるマルウェアやランサムウェアに感染する恐れがあります。

なお、無料のソフトウェアやアプリの中にはセキュリティソフトと称してランサムウェアに感染させる手口もあるようで注意が必要です。

4. OSやソフトウェアのアップデートを怠らない

日頃からOSやソフトウェアはアップデートするようにしましょう。

上記で述べたようにランサムウェアの中にはプログラムの脆弱性を突き感染させるものがあります。古いOSやソフトウェアを使用している場合、アップデートは怠らず常に最新版にすることを心掛けましょう。

5. 定期的なバックアップを心掛ける

万が一に備え、重要なデータやファイルは定期的にバックアップを行いましょう。

ただ、バックアップ先がネットワークに接続されていると、バックアップ自体もランサムウェアに感染してしまう危険性があるため、ネットワークから隔離された場所に保存するとより安全な対策と言えます。

注意ランサムウェアは巧妙に進化を続けています。これらすべての対策を行えば安心できるわけではありません

6. ランサムウェアに適したセキュリティ製品を導入する

今後、サイバー攻撃被害に遭わないために、社内体制に見合ったセキュリティ対策が必要不可欠ですが、すでに一般的なセキュリティソフトでランサムウェアに対応することは困難です。

しかしながら、近年はランサムウェアに対応したセキュリティ製品も一定数存在しており、これらを導入することで効率的なセキュリティ対策が可能です。

おすすめの製品については、下記の記事で詳しく紹介しています。

ランサムウェアに感染した場合の対処法

ランサムウェアに感染してしまった場合はどうすれば良いのでしょうか。

もっとも大切なのが絶対に身代金を支払わないことです。身代金を払ってしまうと、犯罪組織に資金と情報を提供し二次被害に繋がる可能性があります。次に重要なことが、ランサムウェアの感染によって生じた被害の徹底した調査を行うことです。理由としてランサムウェアに感染した時点で、ハッカーが出入り自由な状態になっている可能性が高く、セキュリティの脆弱性ならびに、情報保護の観点から、どのような情報が漏えいしたのかを特定する必要があるからです。

ここでは、ランサムウェアに感染してしまった場合に行うべき対処法を手順にならって紹介いたします。

STEP1:ネットワークから切り離す

二次感染を防ぐためにも有線LANの場合はケーブルを抜き、無線LANの場合は端末の無線LAN機能をオフにしてネットワークから切り離しましょう。

STEP2:復元(復号)を試みる

下記の方法によって復元(復号)を試みましょう。しかし、個人作業で誤った処置をしてしまうと感染状況を悪化させてしまう可能性があるため注意が必要です。

バックアップから復元

バックアップがネットワークに接続されていない場合、ここから復元できる可能性があります。またWindowsでは「システムの復元」機能がデフォルトで有効となっているため、ここから復元できる可能性もあります。

ただし、ランサムウェアの種類によっては、「システムの復元」機能を無効化してしまうものもあります。また、仮に復元できたとしても、復元ポイント以降のファイルはいっさい復元できないため注意しましょう。

復号ツールの利用

一部のランサムウェアは、すでに復号(復元)ツールが公開されており、これを利用することで暗号化を解除できる可能性があります。

しかし、復号ツールが公開されているランサムウェアは限られており、また、ランサムウェアのバージョンが違うと復号できません。そのため、感染源のランサムウェアを正確に把握する必要があります。なお、復号ツールの不具合によってデータが消えてしまうリスクもあるため、これを利用する際は注意しましょう。

STEP3:専門の業者に相談する

個人での原因特定、および復元(復号)作業には限界があるため、専門業者に相談することが最善の対処法と言えます。もし上記方法でも復元(復号)できない場合や、より安全にデータを復元したい場合は、専門の復旧業者に相談しましょう。

なお、相談から見積もりまで無料で対応している業者もあるため、個人での対処が難しい場合、条件に見合う適切な専門業者に相談することをおすすめします。

まとめ

今回はランサムウェアの感染経路から対策方法、感染してしまった際の対処法について紹介しました。

コンピュータウィルスの一つであるランサムウェアは、パソコンなどのデータを暗号化したり、画面をロックしてデバイスにアクセスできなくしたりした上で、復旧のためには身代金(ランサム)の支払いを求めるという非常に悪質なものです。

感染してしまうと自分だけでなく他の人まで感染させてしまう二次被害の危険性もあるため、今回紹介した対策をしっかりと行い、感染しないように注意しましょう。万が一感染してしまった際は焦らずにネットワークの接続を切り専門業者に相談することが最善の対処法です。