IPAの今月の呼びかけ(6月) - 日本を攻撃目標としたランサムウェアの流行が懸念

IPAは、コンピュータウイルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、ランサムウェアについて注意喚起を行っている。まずは、ランサムウェアであるが、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語である。決して目新しいものではなく、米国などでは警察、裁判所、司法関係、公的機関を名乗り、画面をロックし、PCを使えない状態にする。

「罰金払え」といった名目で金銭を詐取することを目的としている。PC乗っ取り型(デスクトップロッカー型とも呼ばれる)ランサムウェアである。ユーザーを信用させるために、それらしい理由などが記載されている。当然ながら、英語圏以外では、翻訳の作業が必要になる。したがって、日本ではランサムウェアの攻撃者らにネイティブレベルで日本語を使えることが必要となる。これは、ランサムウェアに限ったことではないが、言語の壁が防波堤となり、ウイルスや不正プログラムへの自然な防御策ともなっていた。偽セキュリティ対策ソフトなどでも、不自然な日本語が使われており、注意力を働かせることができた。

クリプト型ランサムウェア

最近になり、異なる種類のランサムウェアが登場してきた。PC内のユーザーデータを暗号たするランサムウェアである。PC内に保存してある文書、写真などのデータを暗号化する。そして、元に戻す(復号キーを入手)ためには、金銭を払えと脅してくるのである(もちろん、支払っても戻る可能性はない)。

PC乗っ取り型では、ランサムウェアを駆除することで解決する。しかし、クリプト型ランサムウェアでは、駆除しても暗号化されたデータは元に戻ることはない。最近の暗号化はAES-265やRSA暗号などが使われ、復号キーを入手する以外に元に戻す方法はないといってもいいだろう。この点が、非常に悪質なところである。

そして、IPAが警告するのは、流暢な日本語が使われている点である。図3は、IPAに寄せられたランサムウェアに関する相談数の推移である。

初めてIPAに寄せられたランサムウェアに関する相談は、2011年7月とかなり以前であった。当然ながら、その頃の脅迫文は英語であった。ところが、2014年12月に日本語のランサムウェアの相談が寄せられるようになった。2015年4月には日本語によるランサムウェアの相談が6件となった(そのうちの1件は、企業から寄せられた相談であった)。

要求される身代金は、数万円程度である。さらに、支払い方法にビットコインが指定されていた。日本国内では、ビットコインはそれほど流通しておらず、このことが障壁となって被害が拡大することがないだろうと、IPAでは予測している。しかし、最初は機械翻訳したような日本語から、ネイティブのような日本語に変化してきたように、金銭を奪う方法も変化することは十分に考えられる。一方で、ランサムウェアに対する認知度も、IPAの2014年10月に実施した意識調査では2割程度とかなり低い。対策や危機意識が乏しい状態では、被害が急激に拡大する危険性もある。この点にも、IPAでは懸念を表明している。

ランサムウェアの感染経路

さて、ランサムウェアの感染経路についても、IPAでは調査を行っている。基本的には、他のウイルスなどと同様に、メール添付、メール内のURLのクリック、攻撃者の作成したWebサイトへ誘導されることで感染する。しかし、今回の相談では、特にそのような行為を行った形跡はみられなかった。よく確認してみると、怪しいとは思えないブログを閲覧した後で、身代金を請求されるようになったとのことだ。

IPAでは、PCにインストールされているアプリケーションなどの脆弱性を悪用し、ドライブバイダウンロード攻撃が行われたと推測する。ドライブバイダウンロード攻撃は、そのWebサイトを閲覧しただけで、ウイルスなどに感染してしまうものだ。したがって、注意力で防ぐことは、非常に難しい。

ランサムウェアへの対策

上述のように、ランサムウェアには感染しないことが、最大の防御となる(感染したら、データが暗号化されてしまう)。そこで、以下の対策をあげている。

• セキュリティ対策ソフトを導入する
• OSおよびアプリケーションを最新の状態にする
• 重要なファイルを定期的にバックアップする

いずれも基本的な対策であるが、怠りなく実施する必要があるだろう。そして、バックアップである。2014年10月に実施した意識調査では、定期的にバックアップをとっているユーザーは5割程度である。IPAでは、ランサムウェア以外にも、PCの故障などにも有効な対策となるので、ぜひバックアップを定期的に行うようにと推奨している。