ランサムウェアの被害総額は、2016年だけで10億ドルを超えるといわれている。これは、ランサムウェアに感染し、悪意ある人にファイルを暗号化されてしまったユーザーが身代金として払った金額だ。
ランサムウェアは現在最も成功しているマルウェアと言われている。ユーザーのファイルを勝手に暗号化し、解除のために身代金を要求する。重要なデータの破壊におけるリスクと支払う金額が見合ってしまうために被害が膨らんでいく。
ランサムウェアとの戦いにおける最大の問題は、攻撃が常に進化しているという点だろう。サイバー犯罪者はランサムウェアを拡散し検出を免れるための新しい方法を常に編み出しており、ファイルが暗号化された途端に自分自身を削除するものまで登場している。こうなると、ITセキュリティ担当はシステム上にどの変種があるのかを発見できない。
ランサムウェアに遭遇する確率が増えていると言われて、その用語を把握しているとしても直感的にそのリスクを"リアル"に理解できなければ、データの恒常的なバックアップや復旧といったこともなかなか億劫になる。
英国のセキュリティベンダーSophosは「The End of Ransomware」というランサムウェア対策専用ページ(英文)を用意し、ランサムウェアについての啓蒙を図っている。英文ではあるが動画には、実際の画面も織り交ぜてある。
同サイトに掲載されているランサムウェアを説明する動画によると、ランサムウェアの感染は、
1)悪意あるリンクなどを含むフィッシングメール
2)悪意あるコードを含むWebサイトの訪問
と主として2つの方法があるという。1)の悪意ある添付ファイルを含む攻撃は常時進化しており、例えばショートカットファイルを利用してユーザーを欺く方法がよく取られているという。Wordドキュメント、PDFをハイジャックしてランサムウェアを挿入したショートカットに変換させることもあるという。気が付かないユーザーがこれをクリックしてしまった場合、JavaScriptが走り、ランサムウェアのダウンロードが行われる。
 |
ランサムウェア動作を解説する動画(The End of Ransomware内の動画より) |
ファイルを暗号化した後に自身を削除するため、IT担当者は被害をもたらしたのがどの種類のランサムウェアなのかわからないままというケースも多いと報告している。もう一つの手法が、スリープタイマーと言われるものだ。時限爆弾のように一定時間マルウェアは活動を休止し、ある時間が来ると活発になるというものだ。
このようなことから、これまでのウイルス対策ソフトで既知のランサムウェアを防ぐだけでは、対策として十分とはいえないという。
Sophosによると、ランサムウェアはほぼ全てを暗号化するが、.sys、.gif、.thm/thumbs.dbといったものは除外されることがあるという。一部では、アクセスできなくなったgifファイルを表示して身代金の支払いを促すものもあるとのことだ。また、ユーザーがデータを取り戻すのを阻止する目的で、WindowsのOS自動バックアップシステムを削除するものも多いと警告する。
ユーザーに残された選択肢は2つだ。1つ目はオフサイトのバックアップからファイルを復旧する、2つ目は要求されている金額を支払う。
このような背景からランサムウェアは金銭的に大きな成功を収めているが、同社の「Sophos Intercept X」ではランサムウェアがユーザーのファイルの暗号化を開始しようとするとこれを検出できるCryptoGuard機能を備えておりローカルとリモートの両方のファイル暗号化をカバーするとしている。
