2016年に入ってから、日本語で脅迫するランサムウェア「Locky」、OS X初のランサムウェア「KeRanger」、スマホを狙う「AndroidOS_Locker」による被害状況の悪化に伴い、情報処理推進機構(IPA)も注意喚起を呼びかけています。
ランサムウェアの被害は日本だけでなく海外でも増えており、世界的に増加傾向にあります。
万が一、ランサムウェアに感染したときの対処法や感染しないための事前対策についてご説明します。
目次
- 1. ランサムウェアとは?
- 2. 感染するとどうなる?症状・手口
- 3. ランサムウェア3つの感染経路
- 4. ランサムウェアの種類
- 5. ランサムウェアの発生状況、データ
- 6. ランサムウェアの被害実例
- 7. 感染したときの対処法
- 8. データ復元できる可能性のある方法
- 9. 感染しないための対策方法4つ
1. ランサムウェア(ransomware)とは?
コンピュータウイルスの一種で、「身代金型ウイルス」とも呼ばれます。ランサムウェアに感染すると、勝手にファイルが暗号化される・パソコンをロックされるなどで使用不能になります。そしてこの暗号化されたファイルの復元や、ロック解除の引き換えに金銭を要求されます。
ランサムウェアという言葉は「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語です。元々はロシアやヨーロッパなどの海外で大きな被害をだしていましたが、2014年末に日本語のランサムウェアが増加し、2015年に入って日本での被害が拡大しています。
2. 感染するとどうなる?症状・手口
2-1. ファイルを暗号化する手口
ランサムウェアに感染すると、パソコンに保存されているデータ(WordやExcelなどの文書ファイル、画像、映像など)やハードディスクがすべて暗号化され、パスワードがかかって閲覧できなくなってしまいます。
【例】「文書1.doc」というファイルの場合
「文書1.doc.vvv」という拡張子がついて暗号化されます。
他には、拡張子が「.locky」「.aaa」「.xyz」「.zzz」「.mp3」「.abc」「.rtf」などになるケースがあります。
同時に「how_recover.html」「HELP YOUR FILES」などのファイルが作成されます。このファイルには「暗号化を解除するためにはお金を払ってください」などの脅迫文が書かれています。
要求される金額は、~数千円など低額であることが多いです。(高額だと払ってもらえない可能性が高いため)しかし企業や大きな組織の場合、数十~数百万円要求されたケースもあります。
要求されるものは、犯人が追跡されないようにするため、仮想通貨(ビットコインなど)が多いです。他にはクレジットカード、プリペイドカード、iTunesカード、電子決済サービス(PayPalなど)が使われることもあります。
ランサムウェアのやっかいな点
ランサムウェアを駆除しても、暗号化されたファイルは閲覧できないままになってしまいます。ツールなどを使っても復旧できないこともあり、いちど感染してしまうと、やっかいなウイルスです。
2-2. システムをロックする手口
端末そのものをロックし、解除のために金銭を要求する手口です。スマートフォンに仕掛けられることが多いです。
業務に必要な重要ファイルが開けない、パソコンが使えないとなると、緊急事態です。その弱みにつけこんで、データを人質に取り、身代金を要求されます。
3. ランサムウェア3つの感染経路
3-1. メールから感染(フィッシングメール、ばらまき型メール)
他のウイルスと同じように、メールからの感染には注意が必要です。スパムメールには添付ファイルがついていたり、本文に不正サイトのURLを記載し、そこからウイルスファイルをダウンロードさせたりすることで、ランサムウェアに感染します。
不正メールは、「請求書」「送り状」など、よくあるタイトルで送られるケースが多いです。
添付される不正ファイルの例
・マクロ型不正プログラム
- 添付された不正なWordやExcelファイルなどを開くと、「セキュリティの警告:マクロが無効にされました。」という警告が表示される
- 「コンテンツの有効化」などを押してマクロを有効化すると、不正マクロが実行される
- 不正プログラムがVBスクリプト(Microsoftで使えるプログラム)を実行し、不正プログラムをダウンロードする
マクロが自動で有効になる設定はオフにしておきましょう。
・不正JS(JavaScript)ファイル
不正プログラムが書かれたテキストファイルです。
ただ、メールを受信しても、添付ファイルを開いたりサイトにアクセスしたりしなければ、感染することはほぼありません。メールからの感染は、ふだんから注意していれば防げるものです。
3-2. Webサイトから感染
パソコンやネットワークの脆弱性を攻撃する不正サイトへ強制的に誘導され、ランサムウェアが侵入します。(ドライブ・バイ・ダウンロード攻撃)
感染元の例
- 改ざんされた正規サイトから感染
- サイトからダウンロードしたファイルで感染
- 正規サイトに表示される不正広告から感染
攻撃される脆弱性の例
- Flash Player、Adobe Reader、Javaなどのアプリケーション
アップデートされておらず穴のあるプラグインが1つでもあると、感染の恐れがあります。
ランサムウェアのやっかいな点
- 添付ファイルの開封や不正サイトへアクセスしても、パソコンにおかしな動作などは見られない場合ことも多い。データやパソコンが使えなくなって、はじめて感染に気づくケースがあります。
- 改ざんされた正規サイトは見た目やURLがそのまま本物なので、改ざんされていることを見分けることは難しい。もし改ざんサイトにアクセスしたときのため、普段からパソコンのセキュリティ対策をしっかりしておくことが重要になります。
3-3. スマートフォンアプリから感染
2016年3月、日本語表示に対応したAndroid版ランサムウェアが初めて確認されています。このアプリはGoogle Play以外の経路で「System Update」という名前で配布された可能性があります。
不正アプリをインストールするとどうなる?
「セキュリティポリシーをアクティベートしますか?」と表示され、「有効にする」とスマートフォンが人質にされ、ロック解除のための罰金(iTunesギフトカード1万円分)を払うよう脅されます。
3-4. スマートテレビから感染
インターネット接続のできるスマートテレビに感染し、画面を停止させ金銭を要求するウイルスが2016年に300件以上検出されています。サイバー攻撃がパソコンだけでなく、家電などのIoT(モノのインターネット)へもおこなわれるようになってきています。
症状・手口
テレビ画面が停止し、「違法行為を確認、ブロック解除のため1万円を支払ってください」などと法務省や米国土安全保障省をよそおい、日本語や英語で要求が表示されます。コントローラーは動かなくなり、電源を入れ直しても戻りません。
身代金としてiTunesカードの購入を求め、裏面のコード番号を打ち込むよううながされ、72時間の制限時間内に払わないとブロック解除できない、と脅されます。
感染経路
テレビ上でアプリ(ゲームや音楽)をダウンロードしたとき、感染する可能性があります。
復旧にはテレビのOS(基本ソフト)初期化が必要で、メーカーへ問合せなければなりません。
4. ランサムウェアの種類
新型ランサムウェア「Locky」
メールの添付ファイルを開くと感染し、ファイル拡張子が「.locky」に変更され、読み込めなくなってしまいます。
Twitter上でも話題になった「vvvウイルス」
Lockyと同様に拡張子が「.vvv」に変更され、中身が暗号化されて読み込めなくなってしまいます。
ハードディスクを暗号化する「Petya」
主にビジネスユーザーが狙われ、仕事の応募書類などをよそおったスパムメールで感染することが多いです。そしてファイルを1つずつ暗号化するのではなくハードディスクへのアクセスそのものをブロックされるので、やっかいです。
暗号化が完了すると、ASCII文字で描かれたドクロのような絵が映しだされます。
荒ぶるランサムウェアは、どこまでいくのでしょうか…ハードディスクを丸ごと暗号化するタイプのランサムウェア「Petya」が現れました。 https://t.co/uW9MV8Oj46 pic.twitter.com/qVE2wl56Z8
? カスペルスキー 公式 (@kaspersky_japan) 2016年4月12日
悪質化するランサムウェア「SAMAS」
データの暗号化だけでなく、バックアップも破壊します。さらに正規の管理ツールなどを使い、遠隔でLAN内での拡散活動もおこないます。(標的型攻撃のような活動)
下の画像は、「SAMAS」が表示する身代金要求メッセージの画面例です。
身代金を払ってもファイル削除「Ranscam」2016年
悪質なランサムウェアの亜種が出現したことを米Ciscoセキュリティ部門のTalosが公表しています。
この「Ranscam」はファイルを人質に取り、身代金を要求します。しかしこのウイルスには暗号化と解除の仕組みはなく、実際は感染した時点でファイルは全て削除されてしまいます。
そのため脅しは嘘で、指示通りビットコインを払っても「入金確認できません」という画面になり、「払わなければボタンをクリックするたびにファイルを1本ずつ削除する」と再度嘘の脅しをされます。
消されたファイルの復旧は、身代金をはらったとしてもマルウェア作者ですら不可能だそうです。感染しても身代金を払うのはやめるべき、ということを実感するようなウイルスです。
5. ランサムウェアの発生状況、データ
ランサムウェアの危険は、年々拡大しています。IPA発表の「情報セキュリティ10大脅威 2016」でも、“ランサムウェアを使った詐欺・恐喝”は個人別・組織別脅威の総合順位3位となっています。
5-1. 新種ランサムウェアが次々と出現
2016年上半期だけで、2015年全体の2.7倍もの新種ランサムウェアが確認されています。
新種ランサムウェアはセキュリティソフトで検知できない可能性があります。
さらに今までとは異なる手口で攻撃してくる恐れもあり、より警戒しなければならない状況になっています。
5-2. 法人での被害が9倍に拡大 2016年過去最悪に
日本のランサムウェア感染とデータ暗号化の被害は、法人で爆発的に増えています。
2016年上半期の被害報告件数は1740件(前年比7倍)となり、法人での被害が全体の87%を占め、前年比9倍にもなっています。
5-3. 法人でのランサムウェア被害の怖さ
ファイルサーバの重要データを暗号化
ネットワーク共有上のデータをかたっぱしから暗号化する手口が2015年より増え、企業や組織での被害が深刻になっています。
感染したPC以外の端末も被害を受けると、業務全体に影響を及ぼしてしまいます。顧客の機密データなどが被害を受けると、企業の今後を左右するような事件になる恐れがあります。
5-4. 被害が拡大している理由
防止、調査が難しい
ウイルス対策ソフトで検出できない新種ウイルスが多いです。さらに証拠隠滅のためウイルス自身を消去するシステムのものも出現し、防ぎにくくなっています。
また身代金請求にはビットコインやプリペイドカード、匿名ネットワーク(Torなど)を利用し、追跡を困難にしています。
クリックされやすい日本語のメールやサイトが増えた
今までは感染経路のメールや広告が英語のものばかりでしたが、思わず開きたくなるような日本語の巧妙な感染経路がメインになっています。
身代金を払う人が後を絶たず、儲かるビジネスとして成り立っている
騙されたり、データやPCが使えないことに焦ったりして、攻撃者に言われるがままお金を払ってしまうケースがなくなりません。
「TeslaCrypt(テスラクリプト)」というランサムウェアの被害者1231人のうち、263人はメッセージングシステムを使って攻撃者と接触し、身代金の減額などを訴えていたそうです。
ランサムウェアがすぐ手に入る
ランサムウェア販売サイトはすぐに見つかり、サポート窓口まで用意されているなど、素人でも攻撃しやすい状況になっています。
5-4. ランサムウェアの被害額
Cyber Threat Alliance(マカフィーなどの組合)が「CryptoWall(クリプトウォール)攻撃」について調べた結果、この攻撃による身代金の推定額は、3億2500万ドル(約400億円)にも達したそうです。
1件1件の被害額は数千円など少額のものもありますが、積み重なることで犯罪者たちの大きな資金になっています。
6. ランサムウェアの被害実例
6-1. 日本企業での被害ケース
商業施設で感染 2015年7月
社内のパソコン2台が暗号化ランサムウェアに感染し、社内サーバー内のファイルが閲覧不可になりました。
行政機関で感染 2016年3月
栃木県大田原市の図書館にある事務用パソコンが、新型コンピューターウイルス(ランサムウェア)に感染。パソコン1台とデータ保存用ハードディスクが使えなくなりました。職員がパソコン画面の異常に気づき、業者が調べたところウイルス感染が判明しました。原因は、正規サイトを見ていたときに感染した、とされています。
6-2. 海外の被害ケース
病院のPCが感染、身代金を払ったケース アメリカ
患者データを閲覧するネットワークが人質に取られ、救急救命室や治療にまで影響が及び、メールが使えないため院内のファックスが大混雑しました。医療機関なので患者の生命を優先させるため、身代金約190万円を支払う選択をしました。身代金を払ったことで電子カルテシステムは復旧しましたが、攻撃ルートは不明のままです。
素早い対応で大きな被害を防いだケース ドイツ
病院のPCがメールからランサムウェアに感染しました。しかしサーバー1台で検出されたときにネットワーク内199台のサーバーをシャットダウンしたため、病院全体への影響をくい止めることができました。
その他、ファイルを戻せなければクビ…と通告されたり、子どもの写真をすべて失いあきらめてしまった親のケースもあります。
6-3. 14才が攻撃者に。日本の逮捕実例
17才少年を逮捕 2015年7月
海外の不正サイトで購入したランサムウェア作成ツールを使い、作ったウイルスを匿名掲示板などで拡散させた、また他の不正アクセスもおこなったとして17才少年が逮捕されています。
14才少年を逮捕 2015年11月
手に入れたランサムウェア作成ツールを、LINEを使い女子中学生に販売していたとして14才男子中学生が逮捕されています。
このように若年者でもランサムウェア作成ツールを入手でき、攻撃をおこなえるということがわかります。
7. 感染したときの対処法
万が一感染して脅迫文があらわれても、あわてないでください。1つずつ冷静に対処することで、状況悪化をくい止められるかもしれません。
7-1. 身代金は払わないようにする
身代金を払っても、解決しないどころかさらに悪い状況になる危険があります。身代金を払うことには、こんなリスクがあります。
お金を払っても、攻撃者が約束を守るとはかぎらない
身代金を払ってネットワークを復活した病院の例もありますが、要求どおりにお金を払ったとしても、サイバー犯罪者が約束を守る保証はどこにもありません。払ったとしても弱みにつけこまれ、復元どころかさらに金銭を要求される恐れもあります。
「お金を払う標的」とみなされ、別の攻撃を仕掛けられる恐れがある
脅迫すればお金を払うターゲットとして攻撃リストに追加され、別の犯罪の標的にされる危険があります。
サイバー犯罪増加の手助けになってしまう
攻撃者に資金を与えることで、攻撃者活動を活発にさせ、さらに被害者を増やすことにつながる恐れがあります。
ただ、医療機関や重要インフラでの感染など人命がかかっている場合は、やむを得ず支払う決断を迫られるケースもあります。
7-2. 感染した端末をネットワークから切り離す
他のパソコンへの感染を防ぐため、LANケーブルを抜く、無線LAN機能を無効化するなどしてネットワークから切断します。
7-3. ウイルスを除去する
最新状態に更新されたセキュリティソフトで、パソコンをスキャンします。そのまま放置しておくと、別のウイルス侵入や情報流出につながる危険があります。
7-4. 専門機関へ相談を!
被害にあったとき/怪しいサイトやメールを見つけたときは、専門機関へ連絡してください。
サイバー事故対応(フォレンジック)をおこなう専門サービスへの依頼が安全です。
むやみに触ってしまい状況悪化する前に、プロの手で対処すれば解決する可能性もあります。
相談は無料で、料金がかかるのは申込後、作業開始してからというサービスもあります。
IPA(情報処理推進機構)では連絡先のほか相談前に整理すべき情報や、インターネットで困ったときのその他相談窓口も紹介されています。
8. データ復元できる可能性のある方法
感染したランサムウェアの種類やパソコンの状況によって、データを復活できる可能性があります。
8-1. Windowsの「シャドウコピー」「システムの復元」機能を使う
シャドウコピーとは、Windowsサーバーの共有フォルダ内のデータを削除すると、ゴミ箱にたまらずその瞬間消えてしまう問題に対応するための機能です。
シャドウコピーの注意点
- リアルタイムでのバックアップはできない
- 利用領域により、古いデータから自動削除される
- 復元ポイントそのものを破壊するランサムウェアの場合、復旧はできない
Windows7、Windows10の場合:デフォルトで有効になっているので、バックアップしていなくても暗号化されたファイルを以前のバージョンに復元できる可能性あり
Windows8の場合:デフォルトで無効になっているので、以前に機能を有効にしていれば復旧できる可能性あり
8-2. 暗号解除ツールを使う
Kaspersky、Cisco、FireEye、Fox-ITなどのセキュリティやシステム会社が復元ツールを提供しています。感染したランサムウェアの名前をネットで検索すると、解除ツールが見つかる可能性があります。
しかし攻撃者も解除させない対策を日々進化させているので、解除できない場合もあります。
≫ランサムウェアCoinVaultを除去、ファイルを復元する方法(Kaspersky)
8-3. データ復元、ウイルス駆除サービスに依頼する
自分で復旧しようとすると、データが破損するリスクもあります。そのためプロのサービスに依頼する方法があります。成果報酬型で、復元できなければ料金は発生しないサービスもあります。
もしデータを復旧できず、あきらめる場合はパソコンを初期化し、再インストールすることになります。
9. 感染しないための対策方法4つ
9-1. 大前提として必要な対策
セキュリティソフト(ウイルス対策ソフト)の導入
最低限必要な対策です。企業で使うパソコンはもちろん、家庭で使う個人のパソコンにもかならず導入します。企業向け、家庭向けそれぞれに適したソフトがあります。より強固にパソコンを守りたい場合は、やはり有料のソフトを使うべきです。
ランサムウェアに適したセキュリティ機能
- ふるまい検知
- 問題URLのブロック機能
パターンマッチングのみのソフトでは新種ウイルスを検知できません。そのため怪しい動きやWebサイトを監視し、ブロックする機能が必要です。
「侵入されること」を前提とした対策
どれだけ防御しても、攻撃を完ぺきに防ぐことはできません。今は攻撃者の自動巡回ツールが24時間動いて、攻撃できそうなパソコンを探しています。どんな小さなスキマから感染するかわからないので、「もし攻撃されても被害が最小限にすむよう」ふだんからの対策が必要です。
9-2. ランサムウェアの侵入を防ぐ対策
総合セキュリティソフトの導入
パソコンとネットワーク、Webの入り口と出口を、多層防御でウイルスから守ることが重要です。
セキュリティ調査を受ける
いつ脆弱性を攻撃されるかわからない今の時代、自社のWebサイトやネットワークに脆弱性がないかどうか?セキュリティのプロである第三者の目でチェックを受けることには大きな意味があります。
サイトに影響のない範囲で擬似攻撃をおこない、わかりやすい判定と報告書で自社のレベルをチェックできます。
スタッフへのセキュリティ教育
どれだけ対策をしても、従業員がウイルスファイルを開封してしまったら、感染するかもしれません。そもそも、パソコンを使用する人間への教育が重要です。内部犯行も防ぎます。
このように、他のウイルスや情報流出の対策とほぼ変わらない、強固な対策が必要です。
9-3. ファイル暗号化リスクへの対策
バックアップを定期的に複数おこなう
バックアップは2つ以上でとっておくことがおすすめです。その理由は、ランサムウェアはネットワークドライブも暗号化するため、「パソコンに接続したままのドライブへのバックアップ(外付けHDD、ネットワーク上のファイルサーバ)に保存していたファイルも暗号化される」場合があるためです。
- クラウドサービスに保存する(Dropbox、Google Driveなど)
- 外付けハードディスク、USBドライブ、外部メディア(CD、DVD)などに保存する
- 共有フォルダのシャドウコピーの自動保存を有効に設定する(Windows Server)
重要データにアクセス、編集できるユーザーを限定する
もしパソコンがランサムウェアに感染しても、共有フォルダへのアクセスやファイルの編集、書き込みができなければ、暗号化はされません。
そのため重要データのあるフォルダへアクセスできるユーザーを限定し、パスワードをかけ、それ以外の端末からはアクセス不可にすることが重要です。
- 重要データの保存場所を管理する
- 重要度の振り分けをする
9-4. 個人が気をつけるべき対策
メールの添付ファイルを安易に開かない
特に注意すべきは英語表記のメール、送信元が不明のメールです。しかし実在する企業や機関になりすまして送信されることもあるので、受信するすべてのメールについて気をつけて見てください。
送信元のアドレスをチェックし、本文をよく読んだ上で必要な場合のみ、添付ファイルを開くようにしましょう。
メール本文のリンクを安易にクリックしない
よくわからない送信者からのメールのリンクは「クリックしない」と決めておきましょう。どうしてもクリックする必要のある場合は、次のようなWebページの安全性をチェックできる無料ツールで確認してからにします。
≫「Site Safety Center」(トレンドマイクロ)
ソフトウェアやOSを最新状態にする
最新状態でなく、脆弱性のあるソフトやアプリが1つでもあると、攻撃される危険があります。特につぎのようなメジャーなソフトは、かならず最新バージョンに更新しておきます。
- java
- Adobe Reader
- Adobe Flash Player
使わないアプリケーションは削除、アンインストールする
使わずに忘れていたアプリが原因で、ウイルスに侵入されることもあります。インストールしたアプリはすべて把握し、不要ならアンインストールします。
よくわからないスマートフォンアプリをダウンロードしない
- Google Playや携帯キャリア以外のマーケットからダウンロードしない
- 「提供元不明のアプリのインストールを許可する」を有効にしない
- AndroidスマホをAndroid 6.0(Marshmallow)にアップデートできればおこなう
まとめ
- 企業でのランサムウェア被害が急増
- Iot家電に感染など新種ランサムウェアも出現
- 身代金を払ってもデータは戻らないことがある
- 解決、データ復旧はセキュリティ事故対応サービスへ相談
もしフィッシングメールが届いても、メールの添付ファイルやURLを開かないように私たちが気をつけていれば、感染は防げます。
たとえ改ざんされたサイトにアクセスしてしまっても、検知できるよう多重防御をする、普段からデータをバックアップしておくなど、万が一のことがあっても最悪の事態は防げるような対策がやはり重要です。