2016年 8月

企業のITセキュリティ講座

ランサムウェアに感染したらどうする? 本音で語るランサムウェア被害の復元と対策

テキスト: ITジャーナリスト・三上洋

ランサムウェアの被害が企業にも広がっている。もしランサムウェアに感染したらどうすればいいのか、専門家であるNTTコムセキュリティの北河拓士氏にインタビューした。議論になっている「感染したらお金を払ってもいいのか?」という点を含め、ランサムウェア対策を本音で語っていただいた。

【現状】 多様化するランサムウェア。もうかるビジネスとして犯罪グループが参入

ランサムウェア、身代金要求型マルウェアの被害が広がっている。情報処理推進機構(IPA)へのランサムウェア相談件数は、2016年3月の1カ月間で96件あり、前月よりも5倍以上に増えた。またトレンドマイクロでの統計では、世界的に見てもランサムウェアの検出数が増加している。2016年3月のランサムウェア検出台数は約3万台で、前月よりも1.5倍に増えている。

ランサムウェアに感染すると、ファイルが暗号化されて読めなくなったり、スマートフォンやPCがロックされて起動できなくなったりすることもある。企業での被害も報告されており、感染すると仕事に大きな影響が出てしまう。

このランサムウェアについて、専門家であるNTTコムセキュリティの北河拓士氏にお話を伺った。今まであまり語られてこなかった「ランサムウェアの被害に遭ったらどう対処すればいいのか?」「復元できるのか?」「身代金を払ってもいいのか?」ということを含めて、実践的なランサムウェア対策を聞く。

NTTコムセキュリティの北河拓士氏の画像

NTTコムセキュリティの北河拓士氏。

ーまずランサムウェアの現状について教えてください。

北河「ランサムウェアには、暗号化してファイルを読めなくする『ファイル暗号化型ランサムウェア』と、PCやスマートフォンを起動できなくする『端末ロック型ランサムウェア』があります。ファイル暗号化型は、2016年6月の時点で100種類以上が確認されており、多様化が進んでいます。ランサムウェアがもうかることを犯罪者が知ったためか、いろいろな犯罪者グループが参入してきているようです。オンラインバンキングを狙ったトロイの木馬などのマルウェアを使ってきた犯罪者グループが、ランサムウェアへとシフトしています」

ー「多様化」ということは手口が高度になってきているのでしょうか?

北河「必ずしもそうではありません。付加機能を加えた高度なものから、レベルが低く簡単に元に戻せるものまで、両極化が進んでいます。ただしレベルの低いものは簡単に元に戻せてしまうため、犯罪者が使わなくなり、結果として流行しないんですね。犯罪者は効率的にもうけることができる高度なランサムウェアを使おうとします」

ー最近流行しているランサムウェアにはどんなものがありますか?

北河「暗号型ランサムウェアは100種類以上が確認されておりますが、流行していると言えるものは限られており、その時々で3から4種類ほどです。拡張子が『.locky』になる『Locky』、パスワードなどのログイン情報を盗み取るマルウェアが付属している『CryptXXX』、音声で脅迫しDDoS攻撃の足場にも使われてしまう『Cerber』などが世界的に流行しています。拡張子を『.vvv』にする『TeslaCrypt』も一時流行しましたが、2016年5月に活動の停止を宣言してファイルを元に戻すための暗号化キーが公開されました」

ーそれぞれ被害の程度や対処法が違ってくるんでしょうか?

北河「そうですね。ランサムウェアと言ってもさまざまなものがあり、一般化して語ることは難しくなっています。どんなランサムウェアなのかを特定し、個々に考える必要があります」

ー犯人はどのような形で、ランサムウェアを使ってもうけているのでしょうか?

北河「ランサムウェアでは、マルウェアの作成・拡散から、支払いサーバーでのお金のやり取り、復号プログラムやキーの受け渡しなど、多くの工程があります。このうちのどれを、末端の犯罪者がやるかで収益を得る仕組みが違ってきます。単純にランサムウェアのソースコードだけを販売する場合は、末端の犯罪者が支払いサーバーを自分で用意しなければなりません。それに対して支払いサーバーを含めたプラットフォームごと提供するモデルもあり、これは『アフィリエイトモデル』と呼んでもいいでしょう」

ーショッピングサイト広告などのアフィリエイトと同じような仕組みですか?

北河「似ていますね。ランサムウェアの提供側が、支払いサーバーでの決済から復号キーの受け渡しまで代行してくれるため、末端の犯罪者はランサムウェアを拡散するだけでいいのです。ランサムウェアのアフィリエイターと言ってもいいでしょう。この場合、アフィリエイターはよりもうかるランサムウェアを使おうとします。解析されて元に戻せるもの、支払っても元に戻せないものは、もうからないので使われなくなるんですね。きちんと元に戻せて集金できるランサムウェアが好んで使われることになります」

目次へ戻る

【感染した場合の対処策】 ランサムウェアの種類を調べて復号、またはバックアップからの復元

ーもしランサムウェアの被害に遭った場合、どのように対処すればいいでしょうか?

北河「まずは感染したランサムウェアの種類を特定すること。そのうえで六つの解決方法のいずれかでファイルの復元を試みます」

ーランサムウェアの種類はどうやって特定すればいいですか?

北河「ランサムウェアの種類をデータベース化した『ID Ransomware』というWebサイトがあります。身代金要求文、もしくは暗号化されたファイルのサンプルをアップロードすると、ランサムウェアの種類を特定できるサイトです。ランサムウェアの分析や解除ツールの開発で有名なマイケル・ギレスピー(Michael Gillespi)氏を中心としたグループが、『ID Ransomware』を運営しています。セキュリティの研究者などが集まる掲示板などの情報を基に、最新のランサムウェアのデータが蓄積されています。トップページの日本語化は私がお手伝いしています。ただし、新種のランサムウェアによる可能性のある場合は、ファイルが研究者の間に共有されますので、アップロードするファイルは復元されても問題のないものにしてください」

「ID Ransomware」

「ID Ransomeware」の画面

身代金要求文や暗号化ファイルからランサムウェアの種類が分かるWebサイト「ID Ransomware」。

ーこの「ID Ransomware」では、ファイルを元に戻す解除ツールがあるかどうかも分かりますか?

北河「2016年6月下旬時点で約120種類のランサムウェアが登録されており、ファイルを復元する解除ツールが存在していれば表示されます。もし解除ツールがあれば、お金を支払わなくてもファイルの復元は可能です」

ーファイルを特定したうえで行う六つの解決方法を教えてください。

北河「ポイントでまとめます」

  • 解除ツールを使う方法

    セキュリティ会社が配布している解除ツール、セキュリティ研究者などが開発した解除ツールを使って、暗号化されたファイルを元に戻す方法です。『ID Ransomware』で確かめることができます。

  • バックアップやクラウドストレージから戻す方法

    定期的にバックアップしていればそこから戻す、またはクラウドストレージを使っていればその機能で戻す方法です。よく『クラウドストレージは同期されてしまうので暗号化されたらアウト』と言われますが、復元できる場合もあるんです。クラウドストレージによりますが、ファイル変更履歴から復元できたり、削除されたファイルを戻せたりするクラウドストレージもあります。

  • ボリュームシャドウコピーで復元させる

    Windows 7やWindows 10でデフォルトで有効になっている『システムの復元』を使って、ボリュームシャドウコピー(VSS:バックアップ機能の一つ)で復元できるかもしれません。ランサムウェアによっては消してしまうものもありますが、残っていることもあります。

  • 削除ファイルの復元ツールを使う

    ランサムウェアによっては暗号化して拡張子を変更する前のファイルを上書き消去しないタイプもあります。上書き消去していなければ削除ファイルの復元ツール(例:Recuva)で、ファイルが戻るかもしれません。

  • ボリュームシャドウコピーを復元ツールで復元させる

    上記のボリュームシャドウコピーを、削除ファイルの復元ツールで復元させて、ファイルを元に戻す方法です。ただし、最近の高度なランサムウェアでは、3、4、5の解決方法が通用しなくなっているものが多いようです。

  • 身代金を払うという選択

    どうしても駄目であれば身代金を払って、ファイルを復元させるという選択もあるでしょう。
    身代金を支払わずファイルを諦める場合も、将来解除ツールが提供される可能性もあるため、暗号化されたファイルは消去せずに残しておいた方が良いでしょう

目次へ戻る

【身代金】 事業に致命的な影響があるなら払うことを考えてもいいのではないか

ーIPAやセキュリティ会社の多くは「身代金を払っても戻る保証はない。払っては駄目」と言っています。

北河「基本的には支払うべきではないと思いますが、ケースバイケースでしょう。ファイルが元に戻せなければ会社が倒産してしまう、病院のように人命に関わりがある、など深刻な場合は身代金を支払うという選択肢もあると思います。もちろん、そのような選択をしなくても良いように事前に対策をしておくべきですが」

ー身代金を払うと犯罪者の資金源になってしまうとの指摘があります。

北河「それはその通りですが、ランサムウェア被害に遭って追い詰められている人に『払うな』と言うだけでは、犯罪撲滅にはつながりません。それよりも感染しないための対策やファイルのバックアップ、犯罪者の摘発に力を入れるべきです」

ー身代金を払えばファイルは復元できるのですか?

北河「ランサムウェアの種類によります。戻せるもの、戻せないものがありますから、ランサムウェアの種類を特定したうえで考えるべきですね。身代金を安易に支払うことを勧めるものではありませんが、事実から言うと、最近のランサムウェアは支払えば復元できるものが多いのです」

ーなぜ「支払うと復元できるランサムウェア」が増えてきたのでしょうか?

北河「犯罪者の目的は、嫌がらせではなく金もうけです。犯罪者にとって一番まずいのは『身代金を払っても元に戻せない』とのうわさが立って、誰も払わなくなることです。これではもうけが少なくなってしまいます。犯罪者にとっては、払えば復元できるランサムウェアの方がもうかるのです。最近ではランサムウェア感染後の表示に『ヘルプデスク』というタブがあり『払っても元に戻らない場合は連絡をしてくれ』というものすらあります。ただし、環境やバグなどにより復元できない場合もありますから、『支払えば必ず復元できる』という保証はありません」

ー身代金を払うと再び狙われるから駄目という呼び掛けもあります。

北河「先ほど紹介したアフィリエイトモデルでは、ランサムウェアを配布する犯罪者と、身代金を受け取る犯罪者は別グループのことが多くなっています。支払った人のリストをグループ間で共有することは可能でしょうが、そこまでするメリットはないでしょう。なぜなら、ランサムウェアの多くはバラマキ型であり、100通送るのも10万通送るのもコストは変わらないからです。支払う・支払わないに関わらず、バラマキ型のスパムメールは今後も届きます。スパムメールのリストに入っている限り、何度でも狙われるわけです。またランサムウェアに一度感染して痛い目にあった人は、バックアップを取るなどの対策を強化しているはずです。そのため感染者を再度狙うのは、犯罪者にとって効率が悪いでしょう。ですので『再び狙われるからダメ』というのは正確ではありません」

目次へ戻る

【対策】 ランサムウェアに感染しないための対策とバックアップの取り方

ーランサムウェアの対策を教えてください。

北河「基本的には従来のマルウェア対策と同じです。ランサムウェアに感染するルートは、メールとWebサイトの2種類があります」

ーメールの添付ファイル対策は?

北河「メールでの手口としては、ZIP圧縮された添付ファイルでJavaScript(.js)やOffice文書のマクロ、実行ファイル(.exeや.scr)で感染させるものが多くなっています。ですのでOffice文書でのマクロ実行を禁止する、拡張子を表示させる、拡張子『.js』を実行禁止にするなどの対策をグループポリシーで強制するといいでしょう。併せて圧縮ファイルのアーカイバ(圧縮・解凍ソフト)にはWindows標準のものを使うこと。サードパーティ製では、展開時にネットから取得したものであるという識別子(ZoneID)を削除してしまうものがあり、実行ファイルやJavaScriptのファイルを開いた時に警告が出ない場合があるためです」

ーWebサイトでの感染を防ぐにはどうしたらいいですか?

北河「Webサイトでは不正広告(マルバタイジング)、正規サイトの改ざんなどで感染するパターンがあります。ブラウザーの脆弱性やFlash、Java、Silverlightなどのブラウザプラグインの脆弱性を攻撃してくるものです。特に古いFlashのプラグインをアップデートせずに使い続けていることが最も多い感染の要因です。
対策の基本は、ブラウザーやプラグインを最新に更新することですが、プラグインの更新はどうしても怠りがちになります。これを避けるにはブラウザーにChromeやFirefoxなどを使用するといいでしょう。ChromeではChrome本体とともにFlashプラグインが自動更新されますし、デフォルトでは、Flashのサブコンテンツは自動実行されません。2016年秋からはメインコンテンツであってもFlashが自動実行されないようになります。
また、Firefoxでは古いFlashプラグインの場合、実行がブロックされます。どうしてもIEでなければ表示できないサイトのみIEを使い、通常のメインブラウザーはChromeやFirefoxを使用することを勧めます。
そして可能であれば、Windows 10へのアップデートを勧めます。Windows 10ならFlashプラグインがWindowsアップデートで更新されますし、ドライブバイダウンロード(Webサイトを表示しただけで感染させる手口)対策が強化されているからです」

ーランサムウェア感染の備えとしてのバックアップはどうすればいいですか?

北河「バックアップはランサムウェア対策だけではなく、ディスク障害や災害時の対策としても必須です。ぜひバックアップを強化してほしいですね。ランサムウェア対策として覚えておいてほしいのは『端末からアクセスできるところは駄目』ということ。マウントされているドライブやネットワーク上の共有フォルダーは、ランサムウェアによって暗号化されてしまう可能性があります。ネットワークバックアップでは、ファイルサーバー側にアクセス制限をかけておき暗号化を防ぐようにしてください。また前述したように、クラウドストレージもランサムウェア対策になりますから検討してください」

ーそのほかに対策がありますか?

北河「不要に管理者権限でログインしないことです。一般ユーザーでログインした方が安全ですし、被害範囲を小さくすることができます」

ー最後に日本でのランサムウェアの今後について教えてださい

北河「ランサムウェアが広がっているとの報道がありますが、まだ大規模な流行ではなく、国内ではまだそれほど深刻な状況ではないように思います。感染源となるメールは英語が多く、だまされる人が限られているからです。しかし日本語化されれば、日本国内で大流行する可能性があるので注意が必要です。感染を防ぐ対策とバックアップは強化してほしいですね」

このように北河氏は、ランサムウェアでは種類によって対応が大きく変わること、身代金を払わないなどと決めつけずにさまざまな手段を検討すること、そしてメール・ブラウザー対策とバックアップが重要だと述べた。万が一、ランサムウェアの被害に遭った場合でも、慌てずに種類を特定し、そのランサムウェアに合った対処策を落ち着いて実行してほしい。

目次へ戻る