パソコンに感染してファイルを暗号化し身代金を脅迫する身代金要求型ウイルス「ランサムウェア」によるサイバー攻撃が活発になっています。
2016年は「Locky」、OS X初のランサムウェア「KeRanger」、スマホを狙う「AndroidOS_Locker」。2017年は「WannaCry」が世界で一気に流行し多くの被害が出ています。
この状況に情報処理推進機構(IPA)も注意喚起を呼びかけています。
コンピュータやシステムの脆弱性を狙ったランサムウェアによる攻撃の被害は世界で爆発的に増えており、日本企業も続々と被害を受けています。
この記事では、ランサムウェアの概要と被害事例、対策方法ついて紹介します。
目次
ランサムウェア(ransomware)とは?
ランサムウェアとは、コンピュータウイルスの一種で「身代金型ウイルス」とも呼ばれます。
ランサムウェアに感染すると、勝手にファイルが暗号化される・パソコンをロックされるなどで使用不能になります。そしてこの暗号化されたファイルの復元や、ロック解除の引き換えに金銭を要求されます。
ランサムウェアという言葉は「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語です。
元々はロシアやヨーロッパなどの海外で大きな被害をだしていましたが、2014年末に日本語のランサムウェアが増加し、2015年に入って日本での被害が拡大しています。
ランサムウェアに感染したときの症状
ランサムウェアに感染したときの症状は大きく2つに分けられます。
- ファイルを暗号化
- システムをロック
<h3>ファイルを暗号化
ランサムウェアに感染すると、パソコンに保存されているデータ(WordやExcelなどの文書ファイル、画像、映像など)やハードディスクがすべて暗号化され、パスワードがかかって閲覧できなくなってしまいます。
「文書1.doc.vvv」という拡張子がついて暗号化されます。
他には、拡張子が「.locky」「.aaa」「.xyz」「.zzz」「.mp3」「.abc」「.rtf」などになるケースがあります。
同時に「how_recover.html」「HELP YOUR FILES」などのファイルが作成されます。このファイルには「暗号化を解除するためにはお金を払ってください」などの脅迫文が書かれています。
要求される金額は、~数千円など低額であることが多いです。(高額だと払ってもらえない可能性が高いため)しかし企業や大きな組織の場合、数十~数百万円要求されたケースもあります。
要求されるものは、犯人が追跡されないようにするため、仮想通貨(ビットコインなど)が多いです。他にはクレジットカード、プリペイドカード、iTunesカード、電子決済サービス(PayPalなど)が使われることもあります。
<h3>システムをロック
端末そのものをロックし、解除のために金銭を要求する手口です。スマートフォンに仕掛けられることが多いです。
業務に必要な重要ファイルが開けない、パソコンが使えないとなると、緊急事態です。その弱みにつけこんで、データを人質に取り、身代金を要求されます。
ランサムウェアの種類
新型ランサムウェア「Locky」
メールの添付ファイルを開くと感染し、ファイル拡張子が「.locky」に変更され、読み込めなくなってしまいます。
Twitter上でも話題になった「vvvウイルス」
Lockyと同様に拡張子が「.vvv」に変更され、中身が暗号化されて読み込めなくなってしまいます。
ハードディスクを暗号化する「Petya」
主にビジネスユーザーが狙われ、仕事の応募書類などをよそおったスパムメールで感染することが多いです。そしてファイルを1つずつ暗号化するのではなくハードディスクへのアクセスそのものをブロックされるので、やっかいです。
暗号化が完了すると、ASCII文字で描かれたドクロのような絵が映しだされます。
荒ぶるランサムウェアは、どこまでいくのでしょうか…ハードディスクを丸ごと暗号化するタイプのランサムウェア「Petya」が現れました。 https://t.co/uW9MV8Oj46 pic.twitter.com/qVE2wl56Z8
— カスペルスキー 公式 (@kaspersky_japan) 2016年4月12日
Petyaの亜種「GoldenEye」出現、世界で被害 2017年6月27日
Petyaと同様ハードドライブを暗号化するランサムウェアが出現し、海外の政府機関や企業が被害を受けています。日本でも被害が出る可能性があります。
このランサムウェアにはトロイの木馬も仕込まれており、ユーザー名・パスワードを盗まれる危険もあります。Windowsの脆弱性から侵入し、1台に感染すると、ネットワーク経由で他のパソコンへ感染拡大する恐れがあります。
悪質化するランサムウェア「SAMAS」
データの暗号化だけでなく、バックアップも破壊します。さらに正規の管理ツールなどを使い、遠隔でLAN内での拡散活動もおこないます。(標的型攻撃のような活動)
下の画像は、「SAMAS」が表示する身代金要求メッセージの画面例です。
身代金を払ってもファイル削除「Ranscam」2016年
悪質なランサムウェアの亜種が出現したことを米Ciscoセキュリティ部門のTalosが公表しています。
この「Ranscam」はファイルを人質に取り、身代金を要求します。しかしこのウイルスには暗号化と解除の仕組みはなく、実際は感染した時点でファイルは全て削除されてしまいます。
そのため脅しは嘘で、指示通りビットコインを払っても「入金確認できません」という画面になり、「払わなければボタンをクリックするたびにファイルを1本ずつ削除する」と再度嘘の脅しをされます。
消されたファイルの復旧は、身代金をはらったとしてもマルウェア作者ですら不可能だそうです。感染しても身代金を払うのはやめるべき、ということを実感するようなウイルスです。
確定申告を狙う「PowerWare」2016年4月
納税者を狙ったランサムウェアによる被害がアメリカで発生しました。
これはWindows PowerShellを悪用し、通常のランサムウェアが狙うファイルだけでなく、確定申告書作成ソフトで作成された書類も暗号化します。
「invoice(請求書)」などの件名で送られるスパムメールに添付され、不正マクロの埋め込まれたWordファイルを開くと感染します。
150カ国で30万件以上の被害「WannaCry(ワナクライ)」2017年5月
2017年5月12日、世界中でこれほど一気に感染し大流行したランサムウェアは他にありません。イギリスでは複数病院のシステムが3日以上もロックされ、患者の予約や手術のキャンセルが起きました。日本ではJR東日本高崎支社、日立製作所など600カ所が感染しています。
WannaCryにはキルスイッチ(停止機能)が見つかったことで、事態は収束へ向かっています。しかし6月にはホンダの狭山工場が被害を受け、操業を一時停止。マクドナルドではWannaCryの亜種に感染、ポイントやデリバリーサービスが使用不可になる被害が起きています。
ランサムウェアの感染経路
ランサムウェアはどのような場所から感染してしまう可能性があるのか。よくあるケースがつぎのとおりです。
電子メール
おもな感染源といわれています。メールの添付ファイルにランサムウェアが仕込まれていた場合、それを開いてしまうと感染します。
もしくは、メール本文に記載されているURLのウェブサイトが、ランサムウェアに感染するようになっている場合です。
ソフトウェアに脆弱性がある状態で、このようなページにアクセスしてしまうと、パソコン内にソフトウェアをダウンロードさせる「ドライブ・バイ・ダウンロード攻撃」により、感染します。
Webサイト
上記と同様、ソフトウェアに脆弱性がある状態で、ランサムウェアに感染するように改ざんされたサイトにアクセスすると「ドライブ・バイ・ダウンロード攻撃」により感染します。
メールからだけでなく、SNSの投稿に張られたリンクや、また普通のサイトでも、悪意ある第三者により改ざんされてしまうとランサムウェアに感染してしまいます。
また、サイトの閲覧だけでなく、配布されていたソフトウェアなどをインストールする際に、ランサムウェアが仕込まれていて感染してしまうこともあります。
共有ネットワーク
WannaCryというランサムウェアは、1つのパソコンに感染すると、同一ネットワークに接続したパソコンにランサムウェアをコピーしてしまうという能力を持ちます。
このようなランサムウェアに感染してしまうと、同一ネットワークに複数のパソコンなどの端末を接続している場合、ほかの端末に感染が拡大してしまうことがあります。
不正なアプリ
かつてAndroidにおいて、有用なアプリを偽装した不正なプログラムが公開されており、これをインストールするとランサムウェアに感染してしまうという事例がありました。
これらのアプリはAndroidの公式アプリストアである「Google Play」ではなく、それ以外のサイトで配信されているものでした。
リムーバブル接続
USBメモリやSDカードなどにランサムウェアが仕込まれており、それをパソコンへ接続してしまうと、感染することがあります。中古のUSBメモリやウイルスチェックをしていないものは注意が必要です。
ランサムウェアの被害実例
日本企業の被害事例
商業施設で感染 2015年7月
社内のパソコン2台が暗号化ランサムウェアに感染し、社内サーバー内のファイルが閲覧不可になりました。
行政機関で感染 2016年3月
栃木県大田原市の図書館にある事務用パソコンが、新型コンピューターウイルス(ランサムウェア)に感染。パソコン1台とデータ保存用ハードディスクが使えなくなりました。職員がパソコン画面の異常に気づき、業者が調べたところウイルス感染が判明しました。原因は、正規サイトを見ていたときに感染した、とされています。
日立製作所 2017年5月
メールの送受信が不可になり、「WannaCry」への感染が発覚。メールシステムの不具合は約1週間後に復旧しています。
海外の被害事例
病院のPCが感染、身代金を払ったケース アメリカ
患者データを閲覧するネットワークが人質に取られ、救急救命室や治療にまで影響が及び、メールが使えないため院内のファックスが大混雑しました。医療機関なので患者の生命を優先させるため、身代金約190万円を支払う選択をしました。身代金を払ったことで電子カルテシステムは復旧しましたが、攻撃ルートは不明のままです。
素早い対応で大きな被害を防いだケース ドイツ
病院のPCがメールからランサムウェアに感染しました。しかしサーバー1台で検出されたときにネットワーク内199台のサーバーをシャットダウンしたため、病院全体への影響をくい止めることができました。
その他、ファイルを戻せなければクビ…と通告されたり、子どもの写真をすべて失いあきらめてしまった親のケースもあります。
ハッカーに1億2700万円を支払い 韓国 2017年6月
韓国のWebホスティング企業NAYANAがランサムウェア「Erebus(エレブス)」に攻撃され、同社が管理するLinuxサーバー153台が感染し、ホスティングしていた約3400の企業Webサイトが感染しました。
ハッカーは元データとバックアップにパスワードをかけてNAYANAが復旧できないようにし、550ビットコイン(18億ウォン)の身代金を要求。
交渉の結果13億ウォンに減額され、支払いに合意し初回の4億ウォンを支払うと、運用しているサーバー153台中50台を復旧するためのパスワード入手に必要なキーがその日に送られてきたということです。
NAYANA は6月末までに90%のサーバーを復旧できるとしています。
ランサムウェアに感染しないための対策方法
ランサムウェアに感染しないための対策について紹介します。
セキュリティソフト(ウイルス対策ソフト)の導入
最低限必要な対策です。企業で使うパソコンはもちろん、家庭で使う個人のパソコンにもかならず導入します。
企業向け、家庭向けそれぞれに適したソフトがあります。より強固にパソコンを守りたい場合は、有料のソフトを使うべきです。
- ふるまい検知
- 問題URLのブロック機能
パターンマッチングのみのソフトでは新種ウイルスを検知できません。そのため怪しい動きやWebサイトを監視し、ブロックする機能が必要です。
セキュリティ診断を受ける
いつ脆弱性を攻撃されるかわからない今の時代、自社のWebサイトやネットワークに脆弱性がないか調査しましょう。
セキュリティのプロである第三者の目でチェックを受けることには大きな意味があります。
サイトに影響のない範囲で擬似攻撃をおこない、わかりやすい判定と報告書で自社のレベルをチェックできます。
スタッフへのセキュリティ教育
どれだけ対策をしても、従業員がウイルスファイルを開封してしまったら、感染するかもしれません。そもそも、パソコンを使用する人間への教育が重要です。内部犯行も防ぎます。
このように、他のウイルスや情報流出の対策とほぼ変わらない、強固な対策が必要です。
バックアップを定期的に複数おこなう
バックアップは2つ以上でとっておくことがおすすめです。
その理由は、ランサムウェアはネットワークドライブも暗号化するため、「パソコンに接続したままのドライブへのバックアップ(外付けHDD、ネットワーク上のファイルサーバ)に保存していたファイルも暗号化される」場合があるためです。
- クラウドサービスに保存する(Dropbox、Google Driveなど)
- 外付けハードディスク、USBドライブ、外部メディア(CD、DVD)などに保存する
- 共有フォルダのシャドウコピーの自動保存を有効に設定する(Windows Server)
重要データにアクセス、編集できるユーザーを限定する
もしパソコンがランサムウェアに感染しても、共有フォルダへのアクセスやファイルの編集、書き込みができなければ、暗号化はされません。
そのため重要データのあるフォルダへアクセスできるユーザーを限定し、パスワードをかけ、それ以外の端末からはアクセス不可にすることが重要です。
- 重要データの保存場所を管理する
- 重要度の振り分けをする
メールの添付ファイルを安易に開かない
特に注意すべきは英語表記のメール、送信元が不明のメールです。しかし実在する企業や機関になりすまして送信されることもあるので、受信するすべてのメールについて気をつけて見てください。
送信元のアドレスをチェックし、本文をよく読んだ上で必要な場合のみ、添付ファイルを開くようにしましょう。
メール本文のリンクを安易にクリックしない
よくわからない送信者からのメールのリンクは「クリックしない」と決めておきましょう。
どうしてもクリックする必要のある場合は、次のようなWebページの安全性をチェックできる無料ツールで確認してからにします。
ソフトウェアやOSを最新状態にする
最新状態でなく、脆弱性のあるソフトやアプリが1つでもあると、攻撃される危険があります。特につぎのようなメジャーなソフトは、かならず最新バージョンに更新しておきます。
- java
- Adobe Reader
- Adobe Flash Player
使わないアプリケーションは削除、アンインストールする
使わずに忘れていたアプリが原因で、ウイルスに侵入されることもあります。インストールしたアプリはすべて把握し、不要ならアンインストールします。
ランサムウェアに感染した場合の対処法
ランサムウェアに感染した場合、ランサムウェア自体はセキュリティソフトで除去できることが多いですが、暗号化されてしまったデータは別途、復旧措置をおこなう必要があります。
データの復旧方法については、以下の記事でくわしく解説しています。
ただし、ランサムウェアの種類によっては暗号化されたデータが、すべて完全な状態で復旧できるわけではありません。