多くのセキュリティベンダーが、2017年警戒すべき情報インシデントのひとつにランサムウェアを上げている。標的型攻撃とともに2016年を代表するサイバー脅威だったといえるランサムウェアだが、2017年は更にその脅威が増すことが予想されている。情報処理推進機構(IPA)が2017年1月23日に公開したレポート「ランサムウェアの脅威と対策」では、ランサムウェアの感染事例や対策が解説されている。
レポートに行く前に、ランサムウェアとはどのようなサイバー攻撃なのかおさらいしておく。ランサムウェアは「Ransom」(身代金)と「Software」を組み合わせた造語で、その名の通りファイルやコンピューターそのものを「人質」にとって身代金を要求するという物騒なマルウェア。
ファイルを勝手に暗号化し「複合ファイルが欲しければ金を寄こせ」(ファイル暗号化型)あるいは、パソコンそのものを制御不能にして「直してほしければ金を寄こせ」(端末ロック型)と脅しをかけてくる。現状、暗号化を解ける可能性はきわめて低いため、被害者は泣く泣く金を振り込むことになる。最近ではWindowsPCだけでなく、Androidスマートフォンを狙ったランサムウェアも登場している。支払いにビットコインを指定してくるパターンもあるようだ。
具体的な感染の流れは、レポートに詳しく出ている。現在主流とされるファイル暗号化の場合、メールの添付ファイルなどによりパソコンがランサムウェアに感染させられる。パソコン上にファイルを暗号化するための鍵が作成され、その鍵を使ってファイルを暗号化する。その鍵が攻撃者に送付されたのち、被害者のパソコン画面に金銭支払いを要求する画面が表示される。
ファイル暗号化型がやっかいなのが、狙われた端末がつながっている他のシステム、端末などにもその影響が及ぶ場合があることだ。具体的には、端末利用者がアクセス可能なファイルサーバー、インターネット上のクラウドサービス、共有フォルダ、端末に接続してある外部記録媒体などまで影響する可能性があるという。1台の端末が感染しただけで、組織の運営に致命的な影響を及ぼすこともあるというから深刻だ。
2016年2月にその存在が確認されたファイル暗号化型の「Locky」は、多言語対応のため、世界中で猛威を振るった代表的なランサムウェアだ。国内でもすでに複数の被害者が身代金を払ったとされている。
パソコンに金銭を要求する画面が表示
国内では、ばらまき型メールにより不特定多数にばらまかれたようで、受信したメールの添付ファイルを開いたことで、パソコン内のファイルが暗号化されて開けない状態となった。ファイルの拡張子は「.locky」に変更され、パソコンに金銭を要求する画面が表示された。
そのほか感染経路としては、脆弱性があるソフトがインストールされたパソコンからランサムウェアの感染を狙い改ざんされたウェブサイトにアクセスすると、ドライブ・バイ・ダウンロード攻撃によって感染することもある。ドライブ・バイ・ダウンロードは、ウェブブラウザなどを介して秘密裏にダウンロードさせる行為のこと。ウェブサイト自体ではなく、ウェブサイトに掲載されている広告が細工されている場合もあるという。
残念ながら、どのセキュリティベンダーからもランサムウェアの特効薬は出ていないが、これまで見てきたように、感染経路は他のマルウェアと変わらない。そのため対策としては、「OSおよびソフトウェアを常に最新の状態に保つ」「セキュリティソフトを導入し、定義ファイルを常に最新の状態に保つ」「メールやSNSにファイルやURLに注意する」といった、エンドポイントセキュリティの基本的な対策が上げられる。
それだけに、他のサイバー攻撃同様、100%被害を防げるとは限らない。よって、被害を最小限に留める方策が必要となる。ランサムウェアでは、人質になっているファイルがどうしても必要な場合に限って、被害者が身代金を支払っている。情報漏洩の被害とは異なるところだ。
そこで、失った時の影響が大きい重要ファイルをバックアップしておくことで、身代金を支払うリスクを回避できる可能性が高まる。万が一重要ファイルが暗号化されてしまっても、バックアップしたファイルからリストアすれば問題ない。ただし、例えばバックアップ先をUSBメモリーなどの外付け媒体にした場合、パソコンと常時接続しておくと一緒に感染して意味がなくなってしまうので、注意が必要だ。DVD-Rなど、書き換え不可のメディアであれば、パソコンに接続していても暗号化される心配はないという。
