ランサムウェアは一種の悪意を持ったプログラムで、感染者のPCにあるファイルやディスクを開けないように(暗号化)して、データを取得することで業務に影響を及ぼすだけでなく、被害者に復号の費用としてビットコインなどを要求します。しかし、費用を支払っても復号ツールが得られないことが多々あります。
ファイルが暗号化され、開けないことは文字だけで影響は想像できないかもれませんが、簡単な例として、例えば長年撮ってきた子供の写真が開けない、または夫婦で何十年間撮ってきた思い出の写真が開けない等、一般人にとってもかなり影響の大きい問題です。またはデザイナーがAutoCADで何週間も掛かって作成したデザイン案が締め切り直前に暗号化されて開けないとすると、ただデザイナーが精神的に被害を受けるだけでなく、会社の信用と利益にも大きく影響します。
このような事例は実際にアメリカの病院、警察署などで起きています。発生当時の病院は一時的に事務作業を紙で実施するしかなく、警察署も事件の緊急性から仕方なく復号費用を支払いました。2016年11月26日にも、サンフランシスコのライトレールシステムでランサムウェアにより切符が販売できないという事件が起きました。当局は最終的に復号費用を支払わず、無料乗車に切り替えることで対応しました。このように、ランサムウェアは民間だけでなく、公共機関にも影響する恐れのある脅威です。
今までのトロイの木馬・ウイルス・スパムウェアなどは、アンチウイルスソフトウェアやナレッジの手順で削除すれば問題を解消できます。トロイの木馬やウイルスもしっかり削除できればまた通常通りに端末を使用できます。しかし、ランサムウェアは全く違います。ランサムウェア自体を削除しても、端末に保存された重要ファイルは戻りません。
Fortinet社の統計によると、2015年には台湾はアジアの中で10番目にランサムウェアの脅威にさらされているとのことでしたが、2016年前半になるとこれが2番目にまで上がりました。(注:2016年前半で日本は1位)
感染ルート
トレンドマイクロ社のグローバル技術開発センターの統計によると、76%のランサムウェアはEメール経由で感染しています。これはユーザが一番接触しやすい感染ルートです。社内のファイアウォール、迷惑メール対策システムで危険なメールがフィルタリングされると思うかもしれませんが、実際数少ない社員の端末がメールでランサムウェアに感染しています。なぜなら攻撃側もこれらの防御システムに詳しく、簡単に偽装できるからです。例えば、一見なんの変哲もないごく普通の注文書に偽装したメールを受け取った社員が、何の疑いもなく本文にあるパスワードを使って添付の圧縮ファイルを開き、そのままランサムウェアに感染してしまった、というケースは多々あります。よくある本文に偽装したメールや、パスワードで暗号化されたファイルは、各種の防御システムを易々とすり抜けますし、アンチウイルスソフトウェアでも検出することはできません。
また、ユーザがブラウザでのネットサーフィン中、安全なサイトと偽造サイトを誤認して、特定サイトからリダイレクトされた先のサイトで感染するケースが8%程度あります。これらのサイトは隠されたphp(PHP Web)、js(IIS Web)、python 等のプログラムコードでランサムウェアをユーザ端末にこっそりインストールします。
最後の16%はアプリストアから感染したソフトウェアのインストールや、ハッカーによる直接攻撃などのルートでランサムウェア感染されられているケースです。円グラフからは各感染ルートの比率を確認できます。
感染ルートイメージ図
動作形式
一度端末にランサムウェアがインストールされてしまうと、通常は以下の動作が実施されます。
- HDD全体の暗号化
現状このようなケースは比較的少ないですが、一番被害が大きい方法です。PCを再起動するとOSにログインできず、起動する時はまず右図のような脅迫メッセージが表示されます。(画像はGoogle検索から取得したもの)復号費用を支払わないと、PCのOSを再インストールすることしかできず、全てのファイルとデータが紛失します。
- ファイル単位の暗号化
これが一番よく見るケースで、ユーザはPCを通常通りに使用でき、ネットにも接続できます。(PCを操作してネット上で復号費用を支払うのに使えます)ランサムウェアはよく使われるOfficeファイル、PDFファイル、画像ファイル、VDI、DWG…等などを暗号化して、フォルダに暗号化された旨と支払いの手順についてのメッセージを残します。右図は弊社がサンドボックス環境でテストしてキャプチャした実際の画像です。デスクトップの壁紙がランサムウェアにより置き換えられ、フォルダも暗号化され、リネームされています。(一部のランサムウェアはファイル名をリネームしません)ファイルが暗号化されたあと、脅迫メッセージの画像ファイルが開きます。
フォルダのURLリンクファイルをクリックすると、画像のようにTorブラウザをインストールしてから支払いの手順を進めるように指示されます。
Torインストール後、脅迫者は親切にも多言語で支払い方法を教えてくれます。
テスト環境の画面を見ると、感染したのはLockyというランサムウェアだとわかります。しかし、ファイル型のランサムウェアはLockyだけではありません。またこのタイプのランサムウェアの作者も亜種を作り続けるので、感染対象は拡大する一方です。
- システムのセキュリティホールを探知して、ランサムウェアを散布します。内部ネットワークからアクティブに他端末やホストのセキュリティホールを探知して侵入できるルートを探すので、他端末も簡単にランサムウェアに感染して、さらに被害が拡大します。
保護方法
ランサムウェアに対しては以下の仕組みを組み合わせることで、被害を軽減できます。
- アンチウイルスシステム
これは第一線のフィルタの仕組みで、メールがユーザの受信トレイに入る前にスキャンを掛ければ、大多数のランサムウェアメールをフィルタリングできます。また、一部のアンチウイルスソフトウェアメーカー(Kasperskyなど)も特定ランサムウェアの復号ツールを提供しています。しかし不用意に出所不明の復号ツールを使うと、2次被害が発生する可能性があります。この場合、端末は別のランサムウェアに感染する、他の悪意プログラム、トロイをインストールされる恐れがあります。 - ランサムウェアによるファイル暗号化を防ぐ
TotalSecurityFortでは、指定プログラム(例:Word、Excel、AutoCAD等)しかアクセスできない保護フォルダを指定することができますので、このようなフォルダに重要ファイルを保存します。保護フォルダを設定すれば、指定したプログラム以外はアクセス拒否されるので、もしランサムウェアに感染してもランサムウェアが暗号化することはできず、また保護フォルダ内のファイルを安全に取り出せます。 - 定期的なファイルバックアップ
バックアップファイルを保護できる仕組みのバックアップシステムを選択して、定期的にファイルをバックアップすれば、どのようなランサムウェア感染でも被害を軽減できます。またHDD故障によるデータ紛失にも対応できます。 - ユーザへの教育
ユーザのランサムウェア認知度を上げれば、知識のない、好奇心、不適切な操作習慣による損害を軽減できます。