近年、パソコンに感染してファイルを暗号化し身代金を脅迫する身代金要求型ウイルス「ランサムウェア」によるサイバー攻撃が活発になっています。
2016年は「Locky」、OS X初のランサムウェア「KeRanger」、スマホを狙う「AndroidOS_Locker」。2017年は「WannaCry」が世界で一気に流行し多くの被害が出ています。
この状況に情報処理推進機構(IPA)も注意喚起を呼びかけています。
コンピュータやシステムの脆弱性を狙ったランサムウェアによる攻撃の被害は世界で爆発的に増えており、日本企業も続々と被害を受けています。
万が一、ランサムウェアに感染したときの対処法や感染しないための事前対策についてご説明します。
ランサムウェア(ransomware)とは?
コンピュータウイルスの一種で、「身代金型ウイルス」とも呼ばれます。ランサムウェアに感染すると、勝手にファイルが暗号化される・パソコンをロックされるなどで使用不能になります。そしてこの暗号化されたファイルの復元や、ロック解除の引き換えに金銭を要求されます。
ランサムウェアという言葉は「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語です。元々はロシアやヨーロッパなどの海外で大きな被害をだしていましたが、2014年末に日本語のランサムウェアが増加し、2015年に入って日本での被害が拡大しています。
感染するとどうなる?症状・手口
ファイルを暗号化する手口
ランサムウェアに感染すると、パソコンに保存されているデータ(WordやExcelなどの文書ファイル、画像、映像など)やハードディスクがすべて暗号化され、パスワードがかかって閲覧できなくなってしまいます。
「文書1.doc.vvv」という拡張子がついて暗号化されます。
他には、拡張子が「.locky」「.aaa」「.xyz」「.zzz」「.mp3」「.abc」「.rtf」などになるケースがあります。
同時に「how_recover.html」「HELP YOUR FILES」などのファイルが作成されます。このファイルには「暗号化を解除するためにはお金を払ってください」などの脅迫文が書かれています。
要求される金額は、~数千円など低額であることが多いです。(高額だと払ってもらえない可能性が高いため)しかし企業や大きな組織の場合、数十~数百万円要求されたケースもあります。
要求されるものは、犯人が追跡されないようにするため、仮想通貨(ビットコインなど)が多いです。他にはクレジットカード、プリペイドカード、iTunesカード、電子決済サービス(PayPalなど)が使われることもあります。
ランサムウェアのやっかいな点
ランサムウェアを駆除しても、暗号化されたファイルは閲覧できないままになってしまいます。ツールなどを使っても復旧できないこともあり、いちど感染してしまうと、やっかいなウイルスです。
システムをロックする手口
端末そのものをロックし、解除のために金銭を要求する手口です。スマートフォンに仕掛けられることが多いです。
業務に必要な重要ファイルが開けない、パソコンが使えないとなると、緊急事態です。その弱みにつけこんで、データを人質に取り、身代金を要求されます。
ランサムウェア3つの感染経路
メールから感染(フィッシングメール、ばらまき型メール)
他のウイルスと同じように、メールからの感染には注意が必要です。スパムメールには添付ファイルがついていたり、本文に不正サイトのURLを記載し、そこからウイルスファイルをダウンロードさせたりすることで、ランサムウェアに感染します。
不正メールは、「請求書」「送り状」など、よくあるタイトルで送られるケースが多いです。
添付される不正ファイルの例
マクロ型不正プログラム
- 添付された不正なWordやExcelファイルなどを開くと、「セキュリティの警告:マクロが無効にされました。」という警告が表示される
- 「コンテンツの有効化」などを押してマクロを有効化すると、不正マクロが実行される
- 不正プログラムがVBスクリプト(Microsoftで使えるプログラム)を実行し、不正プログラムをダウンロードする
マクロが自動で有効になる設定はオフにしておきましょう。
不正JS(JavaScript)ファイル
不正プログラムが書かれたテキストファイルです。
ただ、メールを受信しても、添付ファイルを開いたりサイトにアクセスしたりしなければ、感染することはほぼありません。メールからの感染は、ふだんから注意していれば防げるものです。
Webサイトから感染
パソコンやネットワークの脆弱性を攻撃する不正サイトへ強制的に誘導され、ランサムウェアが侵入します。(ドライブ・バイ・ダウンロード攻撃)
感染元の例
- 改ざんされた正規サイトから感染
- サイトからダウンロードしたファイルで感染
- 正規サイトに表示される不正広告から感染
攻撃される脆弱性の例
- Flash Player、Adobe Reader、Javaなどのアプリケーション
アップデートされておらず穴のあるプラグインが1つでもあると、感染の恐れがあります。
ランサムウェアのやっかいな点
ランサムウェア被害を防ぐのが難しい理由として改ざんサイトを見分けにくい点があげられます。
改ざんされた正規サイトは見た目やURLがそのまま本物なので、改ざんされていることを見分けることは難しい。もし改ざんサイトにアクセスしたときのため、普段からパソコンのセキュリティ対策をしっかりしておくことが重要になります。
スマートフォンアプリから感染
2016年3月、日本語表示に対応したAndroid版ランサムウェアが初めて確認されています。このアプリはGoogle Play以外の経路で「System Update」という名前で配布された可能性があります。
不正アプリをインストールするとどうなる?
「セキュリティポリシーをアクティベートしますか?」と表示され、「有効にする」とスマートフォンが人質にされ、ロック解除のための罰金(iTunesギフトカード1万円分)を払うよう脅されます。
「脅迫画面を消せない」対策がAndroid 7.1に追加
この「戻るボタンを押しても終了せず、脅迫画面が消えない」対策として、「戻るボタンで終了できないアプリを強制終了する」隠し機能がAndroid 7.1に追加されたそうです。
この機能により、戻るボタンを0.3秒以内に4回押すと、アプリを強制終了させられるようになっています。
スマートテレビから感染
インターネット接続のできるスマートテレビに感染し、画面を停止させ金銭を要求するウイルスが2016年に300件以上検出されています。サイバー攻撃がパソコンだけでなく、家電などのIoT(モノのインターネット)へもおこなわれるようになってきています。
症状・手口
テレビ画面が停止し、「違法行為を確認、ブロック解除のため1万円を支払ってください」などと法務省や米国土安全保障省をよそおい、日本語や英語で要求が表示されます。コントローラーは動かなくなり、電源を入れ直しても戻りません。
身代金としてiTunesカードの購入を求め、裏面のコード番号を打ち込むよううながされ、72時間の制限時間内に払わないとブロック解除できない、と脅されます。
感染経路
テレビ上でアプリ(ゲームや音楽)をダウンロードしたとき、感染する可能性があります。
復旧にはテレビのOS(基本ソフト)初期化が必要で、メーカーへ問合せなければなりません。
ランサムウェアの種類
新型ランサムウェア「Locky」
メールの添付ファイルを開くと感染し、ファイル拡張子が「.locky」に変更され、読み込めなくなってしまいます。
Twitter上でも話題になった「vvvウイルス」
Lockyと同様に拡張子が「.vvv」に変更され、中身が暗号化されて読み込めなくなってしまいます。
ハードディスクを暗号化する「Petya」
主にビジネスユーザーが狙われ、仕事の応募書類などをよそおったスパムメールで感染することが多いです。そしてファイルを1つずつ暗号化するのではなくハードディスクへのアクセスそのものをブロックされるので、やっかいです。
暗号化が完了すると、ASCII文字で描かれたドクロのような絵が映しだされます。
荒ぶるランサムウェアは、どこまでいくのでしょうか…ハードディスクを丸ごと暗号化するタイプのランサムウェア「Petya」が現れました。 https://t.co/uW9MV8Oj46 pic.twitter.com/qVE2wl56Z8
— カスペルスキー 公式 (@kaspersky_japan) 2016年4月12日
Petyaの亜種「GoldenEye」出現、世界で被害 2017年6月27日
Petyaと同様ハードドライブを暗号化するランサムウェアが出現し、海外の政府機関や企業が被害を受けています。日本でも被害が出る可能性があります。
このランサムウェアにはトロイの木馬も仕込まれており、ユーザー名・パスワードを盗まれる危険もあります。Windowsの脆弱性から侵入し、1台に感染すると、ネットワーク経由で他のパソコンへ感染拡大する恐れがあります。
悪質化するランサムウェア「SAMAS」
データの暗号化だけでなく、バックアップも破壊します。さらに正規の管理ツールなどを使い、遠隔でLAN内での拡散活動もおこないます。(標的型攻撃のような活動)
下の画像は、「SAMAS」が表示する身代金要求メッセージの画面例です。
身代金を払ってもファイル削除「Ranscam」2016年
悪質なランサムウェアの亜種が出現したことを米Ciscoセキュリティ部門のTalosが公表しています。
この「Ranscam」はファイルを人質に取り、身代金を要求します。しかしこのウイルスには暗号化と解除の仕組みはなく、実際は感染した時点でファイルは全て削除されてしまいます。
そのため脅しは嘘で、指示通りビットコインを払っても「入金確認できません」という画面になり、「払わなければボタンをクリックするたびにファイルを1本ずつ削除する」と再度嘘の脅しをされます。
消されたファイルの復旧は、身代金をはらったとしてもマルウェア作者ですら不可能だそうです。感染しても身代金を払うのはやめるべき、ということを実感するようなウイルスです。
確定申告を狙う「PowerWare」2016年4月
納税者を狙ったランサムウェアによる被害がアメリカで発生しました。
これはWindows PowerShellを悪用し、通常のランサムウェアが狙うファイルだけでなく、確定申告書作成ソフトで作成された書類も暗号化します。
「invoice(請求書)」などの件名で送られるスパムメールに添付され、不正マクロの埋め込まれたWordファイルを開くと感染します。
150カ国で30万件以上の被害「WannaCry(ワナクライ)」2017年5月
2017年5月12日、世界中でこれほど一気に感染し大流行したランサムウェアは他にありません。イギリスでは複数病院のシステムが3日以上もロックされ、患者の予約や手術のキャンセルが起きました。日本ではJR東日本高崎支社、日立製作所など600カ所が感染しています。
WannaCryにはキルスイッチ(停止機能)が見つかったことで、事態は収束へ向かっています。しかし6月にはホンダの狭山工場が被害を受け、操業を一時停止。マクドナルドではWannaCryの亜種に感染、ポイントやデリバリーサービスが使用不可になる被害が起きています。
インターネット経由の感染で同時多発
WannaCryはメール経由のばらまき型ではなく、自ら感染拡大させる自己増殖機能(ワーム活動)で感染を拡散させました。
侵入手口は、Windowsの脆弱性を突いてバックドアを作るツール「DoublePulsar」を使ったものです。その後、模倣犯も出現しています。
感染の可能性がある条件
- Microsoftが3月に配布したパッチをWindowsアップデートで適用していない(サポート終了のWindows XPは特に危険。その後XPにも特例でパッチが配布された)
- 445番ポートが空いている
- ルーターやファイアウォールを使っていない
ランサムウェアの発生状況、データ
ランサムウェアの危険は、年々拡大しています。IPA発表の「情報セキュリティ10大脅威 2017」でも、“ランサムウェアを使った詐欺・恐喝”は個人別・組織別脅威の総合順位2位となっています。
昨年の総合3位よりも脅威ランクが上がっており、特に「組織」では7位→2位と、危険度が大きく上がっています。
IPAへの相談件数は、2016年に入り2倍以上も増えています。
新種ランサムウェアが次々と出現
2016年上半期だけで、2015年全体の2.7倍もの新種ランサムウェアが確認されています。
新種ランサムウェアはセキュリティソフトで検知できない可能性があります。
さらに今までとは異なる手口で攻撃してくる恐れもあり、より警戒しなければならない状況になっています。
法人での被害が9倍に拡大 2016年過去最悪に
日本のランサムウェア感染とデータ暗号化の被害は、法人で爆発的に増えています。
2016年上半期の被害報告件数は1740件(前年比7倍)となり、法人での被害が全体の87%を占め、前年比9倍にもなっています。
法人でのランサムウェア被害の怖さ
業務がストップ、売上・信頼がダウン
ネットワーク共有上のデータをかたっぱしから暗号化する手口が2015年より増え、企業や組織での被害が深刻になっています。
感染したPC以外の端末も被害を受けると、業務全体に影響を及ぼしてしまいます。顧客の機密データなどが被害を受けると、企業の今後を左右するような事件になる恐れがあります。
被害が拡大している理由
防止、調査が難しい
ウイルス対策ソフトで検出できない新種ウイルスが多いです。さらに証拠隠滅のためウイルス自身を消去するシステムのものも出現し、防ぎにくくなっています。
また身代金請求にはビットコインやプリペイドカード、匿名ネットワーク(Torなど)を利用し、追跡を困難にしています。
クリックされやすい日本語のメールやサイトが増えた
今までは感染経路のメールや広告が英語のものばかりでしたが、思わず開きたくなるような日本語の巧妙な感染経路がメインになっています。
身代金を払う人が後を絶たず、儲かるビジネスとして成り立っている
騙されたり、データやPCが使えないことに焦ったりして、攻撃者に言われるがままお金を払ってしまうケースがなくなりません。
「TeslaCrypt(テスラクリプト)」というランサムウェアの被害者1231人のうち、263人はメッセージングシステムを使って攻撃者と接触し、身代金の減額などを訴えていたそうです。
ランサムウェアがすぐ手に入る
今、ランサムウェアは販売サイトから簡単に入手できます。サポート窓口まで用意されているなど、素人でも攻撃しやすい状況になっています。
ランサムウェアの被害額
Cyber Threat Alliance(マカフィーなどの組合)が「CryptoWall(クリプトウォール)攻撃」について調べた結果、この攻撃による身代金の推定額は、3億2500万ドル(約400億円)にも達したそうです。
1件1件の被害額は数千円など少額のものもありますが、積み重なることで犯罪者たちの大きな資金になっています。
ランサムウェアの被害実例
日本企業での被害ケース
商業施設で感染 2015年7月
社内のパソコン2台が暗号化ランサムウェアに感染し、社内サーバー内のファイルが閲覧不可になりました。
行政機関で感染 2016年3月
栃木県大田原市の図書館にある事務用パソコンが、新型コンピューターウイルス(ランサムウェア)に感染。パソコン1台とデータ保存用ハードディスクが使えなくなりました。職員がパソコン画面の異常に気づき、業者が調べたところウイルス感染が判明しました。原因は、正規サイトを見ていたときに感染した、とされています。
日立製作所 2017年5月
メールの送受信が不可になり、「WannaCry」への感染が発覚。メールシステムの不具合は約1週間後に復旧しています。
海外の被害ケース
病院のPCが感染、身代金を払ったケース アメリカ
患者データを閲覧するネットワークが人質に取られ、救急救命室や治療にまで影響が及び、メールが使えないため院内のファックスが大混雑しました。医療機関なので患者の生命を優先させるため、身代金約190万円を支払う選択をしました。身代金を払ったことで電子カルテシステムは復旧しましたが、攻撃ルートは不明のままです。
素早い対応で大きな被害を防いだケース ドイツ
病院のPCがメールからランサムウェアに感染しました。しかしサーバー1台で検出されたときにネットワーク内199台のサーバーをシャットダウンしたため、病院全体への影響をくい止めることができました。
その他、ファイルを戻せなければクビ…と通告されたり、子どもの写真をすべて失いあきらめてしまった親のケースもあります。
ハッカーに1億2700万円を支払い 韓国 2017年6月
韓国のWebホスティング企業NAYANAがランサムウェア「Erebus(エレブス)」に攻撃され、同社が管理するLinuxサーバー153台が感染し、ホスティングしていた約3400の企業Webサイトが感染しました。
ハッカーは元データとバックアップにパスワードをかけてNAYANAが復旧できないようにし、550ビットコイン(18億ウォン)の身代金を要求。
交渉の結果13億ウォンに減額され、支払いに合意し初回の4億ウォンを支払うと、運用しているサーバー153台中50台を復旧するためのパスワード入手に必要なキーがその日に送られてきたということです。
NAYANA は6月末までに90%のサーバーを復旧できるとしています。
14才が攻撃者に。日本の逮捕実例
14才少年を逮捕 2015年11月
手に入れたランサムウェア作成ツールを、LINEを使い女子中学生に販売していたとして14才男子中学生が逮捕されています。
このように若年者でもランサムウェア作成ツールを入手でき、攻撃をおこなえるということがわかります。
ランサムウェア作成容疑で国内初の逮捕 大阪14才少年 2017年6月
国内初のランサムウェア作成容疑での逮捕者が男子中学3年生だったことで、注目を集めました。
少年は作成ツールを使わずネットの情報を参考にランサムウェアを作ったとされ、オンラインストレージ「MediaFire」にアップロードし、サイトのURLをTwitterで広めていました。
感染したときの対処法
万が一感染して脅迫文があらわれても、あわてないでください。1つずつ冷静に対処することで、状況悪化をくい止められるかもしれません。
身代金は払わないようにする
身代金を払っても、解決しないどころかさらに悪い状況になる危険があります。身代金を払うことには、こんなリスクがあります。
お金を払っても、攻撃者が約束を守るとはかぎらない
身代金を払ってネットワークを復活した病院の例もありますが、要求どおりにお金を払ったとしても、サイバー犯罪者が約束を守る保証はどこにもありません。払ったとしても弱みにつけこまれ、復元どころかさらに金銭を要求される恐れもあります。
「お金を払う標的」とみなされ、別の攻撃を仕掛けられる恐れがある
脅迫すればお金を払うターゲットとして攻撃リストに追加され、別の犯罪の標的にされる危険があります。
サイバー犯罪増加の手助けになってしまう
攻撃者に資金を与えることで、攻撃者活動を活発にさせ、さらに被害者を増やすことにつながる恐れがあります。
ただ、医療機関や重要インフラでの感染など人命がかかっている場合は、やむを得ず支払う決断を迫られるケースもあります。
感染した端末をネットワークから切り離す
他のパソコンへの感染を防ぐため、LANケーブルを抜く、無線LAN機能を無効化するなどしてネットワークから切断します。
ウイルスを除去する
最新状態に更新されたセキュリティソフトで、パソコンをスキャンします。そのまま放置しておくと、別のウイルス侵入や情報流出につながる危険があります。
プロへの依頼で早急に解決
被害にあったとき/怪しいサイトやメールを見つけたときは、専門機関へ連絡してください。
サイバー事故対応(フォレンジック)をおこなう専門サービスへの依頼が安全です。
むやみに触ってしまい状況悪化する前に、プロの手で対処すれば解決する可能性もあります。
相談は無料で、料金がかかるのは申込後、作業開始してからというサービスもあります。
IPA(情報処理推進機構)では連絡先のほか相談前に整理すべき情報や、インターネットで困ったときのその他相談窓口も紹介されています。
データ復元できる可能性のある方法
感染したランサムウェアの種類やパソコンの状況によって、データを復活できる可能性があります。
Windowsの「シャドウコピー」「システムの復元」機能を使う
シャドウコピーとは、Windowsサーバーの共有フォルダ内のデータを削除すると、ゴミ箱にたまらずその瞬間消えてしまう問題に対応するための機能です。
- リアルタイムでのバックアップはできない
- 利用領域により、古いデータから自動削除される
- 復元ポイントそのものを破壊するランサムウェアの場合、復旧はできない
Windows7、Windows10の場合:デフォルトで有効になっているので、バックアップしていなくても暗号化されたファイルを以前のバージョンに復元できる可能性あり
Windows8の場合:デフォルトで無効になっているので、以前に機能を有効にしていれば復旧できる可能性あり
暗号解除ツールを使う
Kaspersky、Cisco、FireEye、Fox-ITなどのセキュリティやシステム会社が復元ツールを提供しています。感染したランサムウェアの名前をネットで検索すると、解除ツールが見つかる可能性があります。
しかし攻撃者も解除させない対策を日々進化させているので、解除できない場合もあります。
データ復元、ウイルス駆除サービスに依頼する
自分で復旧しようとすると、データが破損するリスクもあります。そのためプロのサービスに依頼する方法があります。成果報酬型で、復元できなければ料金は発生しないサービスもあります。
もしデータを復旧できず、あきらめる場合はパソコンを初期化し、再インストールすることになります。
感染しないための対策方法4つ
大前提として必要な対策
セキュリティソフト(ウイルス対策ソフト)の導入
最低限必要な対策です。企業で使うパソコンはもちろん、家庭で使う個人のパソコンにもかならず導入します。企業向け、家庭向けそれぞれに適したソフトがあります。より強固にパソコンを守りたい場合は、やはり有料のソフトを使うべきです。
- ふるまい検知
- 問題URLのブロック機能
パターンマッチングのみのソフトでは新種ウイルスを検知できません。そのため怪しい動きやWebサイトを監視し、ブロックする機能が必要です。
「侵入されること」を前提とした対策
どれだけ防御しても、攻撃を完ぺきに防ぐことはできません。今は攻撃者の自動巡回ツールが24時間動いて、攻撃できそうなパソコンを探しています。どんな小さなスキマから感染するかわからないので、「もし攻撃されても被害が最小限にすむよう」ふだんからの対策が必要です。
ランサムウェアの侵入を防ぐ対策
総合セキュリティソフトの導入
パソコンとネットワーク、Webの入り口と出口を、多層防御でウイルスから守ることが重要です。
セキュリティ調査を受ける
いつ脆弱性を攻撃されるかわからない今の時代、自社のWebサイトやネットワークに脆弱性がないかどうか?セキュリティのプロである第三者の目でチェックを受けることには大きな意味があります。
サイトに影響のない範囲で擬似攻撃をおこない、わかりやすい判定と報告書で自社のレベルをチェックできます。
スタッフへのセキュリティ教育
どれだけ対策をしても、従業員がウイルスファイルを開封してしまったら、感染するかもしれません。そもそも、パソコンを使用する人間への教育が重要です。内部犯行も防ぎます。
このように、他のウイルスや情報流出の対策とほぼ変わらない、強固な対策が必要です。
ファイル暗号化リスクへの対策
バックアップを定期的に複数おこなう
バックアップは2つ以上でとっておくことがおすすめです。その理由は、ランサムウェアはネットワークドライブも暗号化するため、「パソコンに接続したままのドライブへのバックアップ(外付けHDD、ネットワーク上のファイルサーバ)に保存していたファイルも暗号化される」場合があるためです。
- クラウドサービスに保存する(Dropbox、Google Driveなど)
- 外付けハードディスク、USBドライブ、外部メディア(CD、DVD)などに保存する
- 共有フォルダのシャドウコピーの自動保存を有効に設定する(Windows Server)
重要データにアクセス、編集できるユーザーを限定する
もしパソコンがランサムウェアに感染しても、共有フォルダへのアクセスやファイルの編集、書き込みができなければ、暗号化はされません。
そのため重要データのあるフォルダへアクセスできるユーザーを限定し、パスワードをかけ、それ以外の端末からはアクセス不可にすることが重要です。
- 重要データの保存場所を管理する
- 重要度の振り分けをする
個人が気をつけるべき対策
メールの添付ファイルを安易に開かない
特に注意すべきは英語表記のメール、送信元が不明のメールです。しかし実在する企業や機関になりすまして送信されることもあるので、受信するすべてのメールについて気をつけて見てください。
送信元のアドレスをチェックし、本文をよく読んだ上で必要な場合のみ、添付ファイルを開くようにしましょう。
メール本文のリンクを安易にクリックしない
よくわからない送信者からのメールのリンクは「クリックしない」と決めておきましょう。どうしてもクリックする必要のある場合は、次のようなWebページの安全性をチェックできる無料ツールで確認してからにします。
ソフトウェアやOSを最新状態にする
最新状態でなく、脆弱性のあるソフトやアプリが1つでもあると、攻撃される危険があります。特につぎのようなメジャーなソフトは、かならず最新バージョンに更新しておきます。
- java
- Adobe Reader
- Adobe Flash Player
使わないアプリケーションは削除、アンインストールする
使わずに忘れていたアプリが原因で、ウイルスに侵入されることもあります。インストールしたアプリはすべて把握し、不要ならアンインストールします。
よくわからないスマートフォンアプリをダウンロードしない
- Google Playや携帯キャリア以外のマーケットからダウンロードしない
- 「提供元不明のアプリのインストールを許可する」を有効にしない
- AndroidスマホをAndroid 6.0(Marshmallow)にアップデートできればおこなう
まとめ
- 企業でのランサムウェア被害が急増
- Iot家電に感染など新種ランサムウェアも出現
- 身代金を払ってもデータは戻らないことがある
- 解決、データ復旧はセキュリティ事故対応サービスへ相談
たとえ改ざんされたサイトにアクセスしてしまっても、検知できるよう多重防御をする、普段からデータをバックアップしておくなど、万が一のことがあっても最悪の事態は防げるような対策がやはり重要です。
