ランサムウェアとは、感染により暗号化・画面ロックされた場合に、身代金を要求するマルウェアの一種です。非常に悪質で厄介なマルウェアであるということはわかっていますが、いったいどのような種類があり、なぜこのように被害が広まってしまっているのでしょうか。

対策方法としては、

  • 不審なメールは添付ファイル含めて開かない
  • 悪意のあるサイトには接続しない
  • 不審なソフトウェアやアプリはダウンロードやインストールをしない
  • セキュリティ対策ソフトウェアを導入する
  • セキュリティパッチなどをこまめに適用する

などが一般的に考えられますが、巧妙化し続けるランサムウェアについては、対策方法は当然のことながら、万が一被害に遭ってしまった場合の対処法も知っておく必要があります。

当記事ではその方法を整理からランサムウェアに関する知っておくべき情報を整理しましたのでぜひをご覧ください。

ランサムウェアとは

まず、基本的なことですが「ランサムウェア」とはどういったものなのでしょうか。非常に悪質でかつ巧妙なコンピューターウィルスであるランサムウェアは以下のような特徴を持っています。

  • 感染するとパソコン内のデータを暗号化して読めなくする
  • 画面に「読めるようにしたいならお金を払え」と元に戻すためには身代金(ランサム)を要求する

「ランサムウェア」という名称は、「ランサム(Ransom:身代金)」という英語と「ソフトウェア」を組み合わせた造語です。つまり、ランサムウェアとは、パソコン内のデータを暗号化して読めなくし、データの復旧をするためには身代金の支払いを要求するという非常に悪質かつ巧妙なマルウェアです。

感染するとどうなる?

まず、パソコンがランサムウェアに感染するとどうなるのでしょうか。
システムエンジニアである筆者も仕事柄何度か見たことがありますが、以下のようになります。

  • パソコンの画面に大きなウィンドウとともに「暗号化した。解除して欲しければ身代金を支払うように」といったメッセージが出る
  • パソコン内のファイルが暗号化されて読めなくなる

まずランサムウェアに感染すると、パソコンの画面に警告のようなダイアログが出ます。ダイアログには、「データを暗号化した」「復活するには身代金を支払え」の2点が主に書かれています。そして、実際にパソコン内のファイルが読めなくなってしまいます。

ご覧いただいたこともあるかと思いますが、下記のような画面が有名ですね。

画像感染した場合に表示される画面の一例:IPAサイトより引用

種類一覧と種類別の対策

このように非常に悪質なウィルスであるランサムウェアですが、種類にはどのようなものがあるのでしょうか。

感染拡大方法別

感染するためにどのような特徴があるのかで、2つの種類に分けることが出来ます。

  • 進化型
    アップデートを繰り返す進化型
  • 脆弱性型
    OSの脆弱性を悪用したもの

感染時の動作別

また、感染してしまった場合の動作別に「暗号化型」と「画面ロック型」の2種類にも大別できます。

  • 暗号化型(クリプター)
    パソコンなどのファイルをすべて暗号化して使えなくしてしまう。Erebus, Bad Rabbitなどがある
  • 画面ロック型(ブロッカー)
    パソコンなどの画面をロックして操作を出来なくしてしまう。Win32/Reveton, Jisutなどがある

両者を比較すると、画面ロック型はパソコン内のデータ自体は操作されていないので、データ復旧できる可能性は暗号化型に比べて高いと言えます。しかし、近年の傾向として、画面ロック型が減少し、暗号化型が増加する流れが見えます。つまり、感染時の被害がより重大化する可能性が高くなっています。

被害が大きかったランサムウェアの種類

これまで大きな被害をもたらした主なランサムウェアには、以下のようなものがあります。

CryptoWall

2014年に、Cryptowallの最初の版 (1.0) が出現した。 Windowsコンピュータを標的としている。
2014年9月、広告配信ネットワークを悪用するキャンペーンの一環で配られてしまった。信頼できるソフトウェアを装うためにデジタル署名が付されている。
Cryptowall 3.0は、電子メール添付ファイルの一部にJavaScriptで書かれたペイロードを利用しており、これはJPEG画像ファイルを装った実行ファイルをダウンロードする(ドライブバイダウンロード)。

検知を避けながらサーバと通信するために、explorer.exeとsvchost.exeの新しいインスタンスを生成する。 ファイルを暗号化する際に、ボリューム中のシャドウコピーを削除し、パスワードとビットコインのウォレットを盗むスパイウェアをインストールする。

2015年11月に登場したCryptowall 4.0においては、セキュリティソフトウェアに検出されにくくする機能が大幅に強化されたほか、ファイルの内容だけでなくファイル名まで暗号化するようになった。[Wikipediaより]

バージョンアップが繰り返され、検出が難しくなっている。

感染拡大 進化型
動作 暗号化型

復号ツール参考サイトRansom.Cryptowall

TeslaCrypt

2016年5月18日(現地時間)に、ESET社の開発によってランサムウェア「TeslaCrypt」で暗号化されたファイルを復号するツールを公開しました。ランサムウェア「TeslaCrypt」は、日本でもメールを利用した「ばらまき型」攻撃をきっかけに被害を受けたケースとして、過去に当マルウェア情報局でも注意喚起をしていましたが、今回ESET社はこの「TeslaCrypt」に対するユニバーサルマスター復号鍵の入手に成功し、復号ツールの開発に至りました。[マルウェア情報局より]

一部のゲームなどが対象。開発者が活動を止め、複合キーが公開されたことも話題となった。

感染拡大 脆弱性型
動作 暗号化型

復号ツール参考サイトランサムウェア「TeslaCrypt」で暗号化されたファイルを復号するツールを公開

Locky

2017年9月初旬、暗号化型ランサムウェア「LOCKY(ロッキー)」の最新の亜種を拡散する大規模なスパムメール送信活動が確認されました。 2016年2月に初めて確認された悪名高いLOCKY は、継続して「改良」され、拡散方法も変化しており、特にスパムメールを利用した拡散が特徴的です。[トレンドマイクロ セキュリティブログより]

脅迫文がさまざまな言語表示に対応した多言語型ランサムウェア(暗号化型)

感染拡大 脆弱性型
動作 暗号化型

WannaCry

2017年5月13日に出現した WannaCry/Wcry(泣きたくなる)という、世界中で猛威をふるっている、新種のランサムウェア亜種である。このコンピュータウイルスに感染すると、自分のパーソナルコンピュータ(Microsoft Windows)や、サーバに置いた大事なファイルが勝手に暗号化され、ユーザーがファイルを開けなくなる[Wikipediaより]

Windowsの脆弱性を悪用したもので、甚大な被害をもたらした。

感染拡大 脆弱性型
動作 暗号化型

復号ツール参考サイト「WannaCry」に対応したトレンドマイクロ製の無償ツール「ランサムウェア ファイル復号ツール」

PETYA

WannaCryと同じく脆弱性を悪用したもので、こちらも甚大な被害となった

感染拡大 脆弱性型
動作 暗号化型

復号ツール参考サイトPetyaランサムウェアにバグ:復号ツールが開発される

ランサムウエア種類別対策

バックアップをこまめにとっておくことがランサムウェア感染後の対応策としては有効ですが、そもそも感染しない方が良いに決まってます。

万が一にランサムウェアに感染してしまうと、データが暗号化され読めなくなる、最悪の場合には身代金を支払ってしまったにも関わらず復旧できず二度とデータが返ってこないなど非常に大きな被害につながる可能性があります。こういったランサムウェアの被害に遭わないようにするためには、とにかく感染しないようにすることが不可欠です。

では、どうすればランサムウェアの感染を防ぐことが出来るのでしょうか。

「データが暗号化され、読めなくなる」という事態に陥り、業務上非常に大きな問題とならないために必要な対策を整理しましたので、ランサムウェアのタイプ別に見ていきましょう。

全てのタイプに有効なランサムウェア対策

下記の対策は、いずれのタイプにも有効です。

  • 不審なメールは添付ファイル含めて開かない
  • 悪意のあるサイトには接続しない
  • 不審なソフトウェアやアプリはダウンロードやインストールをしない

脆弱性型のランサムウェア対策

OSなどの脆弱性を悪用したランサムウェアには以下のような対策も有効です。

  • セキュリティ対策ソフトウェアを導入する
  • セキュリティパッチなどをこまめに適用する

ちなみに「暗号型」と比べると「画面ロック型」の方が、データ自体は暗号化されていないので復旧できる可能性は高くなります。

3つの感染経路と経路別の対策

非常に悪質なマルウェアであるランサムウェア。では、これに感染しないためにはどういった対策を行えば良いのでしょうか。先ほどの、ウィルスの感染経路についての説明を踏まえて考えてみましょう。

まず、ウィルスの感染経路を振り返ると、原因は主に以下の3つであると説明しました。

  • インターネット上のWebサイト
  • メール(添付ファイル、不正なリンクなど)
  • USBメモリなどの記憶媒体

これを踏まえて、それぞれの対策を考えると以下のようになります。

インターネット上のWebサイトにおける対策

  • ゲートウェイなどでアクセス可能なサイトを制限する(フィルタリングサービス・ホワイトリストの活用)
  • セキュリティ対策ソフトウェアの活用
フィルタリングサービスとは
ウェブやアプリケーションを通じて、子どもが悪影響をおよぼす有害な情報に触れ無いようにアクセスを制限するサービス。
企業においても、セキュリティ対策の面から導入している企業も多くある
参考サイト導入実績No.1 Webセキュリティ「i-FILTER」
セキュリティ対策ソフトウェアとは
言わずと知れた、パソコン、スマートフォンなどをマルウェアなどの脅威から守るためのソフトです。
セキュリティ対策ソフトは、多くの企業から数多く販売されているため、特徴を見極めて導入する必要があります。
参考サイトセキュリティソフトの選び方と売れ筋ソフト徹底比較

メールにおける対策

  • メールソフトのプレビュー表示機能を停止
  • セキュリティ対策ソフトウェアの活用
メールソフトのプレビュー表示機能とは
プレビュー機能とは、添付ファイルのあるメールを閲覧する際に、メールを開かなくても添付ファイル名をクリックするだけで、画面内に内容を表示することができる機能のこと
参考サイトOutlook 2010で添付ファイルのプレビューをオフにする方法

USBメモリ等の媒体

  • 利用禁止措置(規則として、もしくはシステム的に制限をする)
  • セキュリティ対策ソフトウェアの活用

他にも対策はありますが、主なものとしてはこういったところでしょう。
これだけ見ると簡単なことしか実施していませんが、上記のものだけでもしっかりやっておけば、ほとんどの感染を防ぐことができるはずです。

感染した場合の対処法

万が一ランサムウェアに感染してしまった場合はどうすれば良いのでしょうか。まず言えることは「絶対に身代金を支払わない」です。それは以下のような理由からです。

  • 確実にデータが復旧できる保証がない
  • 犯罪組織に資金を提供し、犯罪の手助けをすることになってしまう。

では、ランサムウェアに感染してしまった場合に行うべき対処法は以下の通りです。時系列で並べてみました。

STEP1:ネットワークから切り離す

有線LANの場合はケーブルを抜く。無線LANの場合は端末の無線LAN機能をオフにする。

STEP2:駆除を試みる

駆除方法は、以下の方法があります。

  • ウィルス対策ソフトによる駆除
  • セキュリティベンダー提供の個別の方法

これらによる駆除にトライしてみましょう。

これでもダメな場合は、データの復旧は限りなく難しくなります。パソコンについては、ハードディスクの内容を完全消去し、セットアップをしなおすといった作業が必要です。

筆者がエンジニアとして対応した中でも、ランサムウェアの事例はいろいろとありますが、やはりデータの復旧は難しいケースが多いです。こういったことにならないためにも日頃からのデータバックアップを欠かさず行うことが大切です。

情報セキュリティ10大脅威 2018で上位にランクインしています。

2018年1月30日にoIPAより発表された「情報セキュリティ10大脅威 2018」で、2017年に引き続き「個人の脅威」「組織の脅威」ともに2位にランクインしており、まだまだ予断は許しません。(下図参照)

画像情報セキュリティ10大脅威 2018:IPAサイトより引用

まとめ

コンピュータウィルスの一つであるランサムウェアは、パソコンなどのデータを暗号化したり、画面をロックしてデバイスにアクセスできなくしたりした上で、復旧のためには身代金(ランサム)の支払いを求めるという非常に悪質なものです。

今回紹介したように、ランサムウェアにはいろいろな種類がありますが、これらは一旦感染すると「データが暗号化される」「画面ロックされてさわれなくなる」などパソコンが利用できなくなってしまいます。これを避けるためには、日頃から以下のような対策をすることが大切です。
・不審なメールやメールの添付ファイルは開かない
・セキュリティパッチや更新プログラムを確実に適用する

一度感染すると、データの復旧が出来ないことも多いランサムウェア。今回説明した対策をしっかりと行って、感染しないように注意しましょう。

【無料メール講座】6日間で「未知のマルウェア」&「ヒューマンエラー」対策が分かる最新セキュリティトレンド講座


社内のセキュリティ対策でお悩みではありませんか?
この講座を受けていただくと、6日間のメールで下記のことがわかるようになります。

  • 必要最低限の「セキュリティ対策」を正しく理解する方法とは?
  • 経営者目線のセキュリティ対策とは?
  • 経営者が陥りやすいセキュリティ対策の3つの思い込みとは?
  • セキュリティ対策を進める上で知っておくべき3つのポイント
  • セキュリティ対策の大きな課題「未知のマルウェア」&「ヒューマンエラー」の解決方法

この情報をぜひ貴社のセキュリティ対策にお役立てください。