情報セキュリティにはさまざまな専門用語がありますが、その多くのワードは「詳しくわからない」「他人に説明できるほどではない」という方が多いのではないでしょうか。マイナビニュースでは、カスペルスキー エヴァンジェリスト前田氏に寄稿いただき、"ググってもわからない"というセキュリティ用語を一から解説します。第6回のテーマは「ランサムウェア」です。

著者プロフィール

前田 典彦(まえだ のりひこ)
カスペルスキー 情報セキュリティラボ チーフセキュリティ
エヴァンゲリスト

マルウェアを中心としたインターネット上のさまざまな脅威解析調査の結果をもとにし、講演や執筆活動を中心とした情報セキュリティ普及啓発活動に従事

ランサムウェアに屈しないために

今回は、マルウェアの一種である「ランサムウェア」について解説します。ランサムウェアは、英語表記では「ransomware」となり、ransomは身代金という意味です。身代金は、誘拐事件で犯人が人質と引き替えに要求する金銭であったり、近現代以前の戦争捕虜釈放の代償として、敵方に対して要求する金銭だったりします。

マルウェアの世界でもこのワードは同じような意味合いで使用されています。コンピュータにおいて、人質あるいは捕虜として攻撃者に取られるものは、ファイルやデータ、あるいはそれらへのアクセスです。

本稿執筆時点(2016年3月)で、国内でもランサムウェアの被害が報告・報道されるようになってきているうえ、その種類も多岐にわたることが知られ始めていることから、注目度が増しているマルウェアであると言えます。ただ、ランサムウェアのアイデアは10年以上前からマルウェアに使用されています。その後、時折被害が報告されてきましたが、ここ1~2年、発生数ならびに被害報告数が急増しているマルウェアの種類です。

増加要因の1つには、マルウェア開発側(攻撃者側)の進化が挙げられます。マルウェア自体が技術的に洗練・高度化していることに加え、マルウェア開発や配布を"サービス"として提供するビジネスも実際に確認されています。こうしたビジネスは、「Malware as a Service(MaaS)」と呼ばれ、その中でもランサムウェアに特化したサービスは「Ransomware as a Service(RaaS)」と呼ばれます。

また近年、ランサムウェアが増加している背景には、周辺の変化も関係しています。その変化は大きく分けて2点あります。初めに、クラウドサービスの普及・一般化に伴って、安価で手軽に利用できるIaaSやPaaSが増加したことが挙げられます。

攻撃者は多くの場合、管理が甘いWebサーバなどのホスティングサービスに不正侵入したり、場合によっては、サービス事業者の管理者権限を奪取したりすることで、正規に運用されているサーバをマルウェア配布サーバやC&Cサーバに仕立てます。

2点目は、ビットコインに代表される、金銭授受手段の多様化・普及です。従来の決済方法に比べて、ビットコインのような仮想通貨による金銭の授受は、"カネの流れ"の追跡が困難で、資金洗浄(マネーロンダリング)や不正に入手した闇資金の送金に適していると言えます。また、攻撃者にとっては、ユーザーを喫緊・緊急の事態に追い込みつつ金銭を要求するため、回収の可能性が高い(金銭が支払われる可能性が高い)ことも増加の一因でしょう。

ランサムウェアに感染すると、ファイルが暗号化されて開けなくなる、あるいはファイルへのアクセスをブロックされてる(その結果ファイルを開けなくなる)ということが起きてしまいます。攻撃者は、ファイルを復号化する、あるいは、アクセスブロックを解除するために、金銭を要求してくる場合がほとんどです。また、ファイルやデータを使用できなくするという意味では、サボタージュ攻撃と呼ばれる、攻撃対象の業務を妨害したり破壊工作を図ったりする攻撃も行われます。

このように、感染してしまったユーザーにとっては突然、普段使用しているパソコン内のファイルやデータが使用できなくなってしまうことから、マルウェアの動作と被害が非常に明確であるという点がランサムウェアの特徴の1つです。昨今のマルウェア、特に情報窃取を目的とするものはユーザーに感染を知られないように動作することを特徴としていますから、その正反対の性格であると言えるでしょう。

ランサムウェア「Locky」に感染する前のフォルダ(画像上)と感染後のフォルダ(画像下)。感染後は、拡張子が「.locky」となっており、これらを開くことはできない

先述の通り、ファイルを元通りに復号・復元して使用できるようにするため、多くの場合、攻撃者は金銭を要求してきます。例えば、暗号化タイプのランサムウェアの場合は、金銭と引き替えに復号化の「鍵」を渡すことを通知してきます。

要求に応じて金銭を支払うべきか否かについては、一部の専門家が「感染時は、素直に金銭を支払うべきである」という助言をしている例もあるようです。また、被害事案の中には、攻撃者に屈して実際に金銭を支払った事例も報告されています。一例としては、米国のHollywood Presbyterian Medical Centerの被害事例があり、被害組織から公式発表がなされています。それによると、攻撃者の要求は40bitcoin(当時のレートで1万7000ドル)で、彼らはそれを支払ったということです。

Locky感染後に表示される攻撃者からの要求。これに従って操作を進めると、最終的には金銭を要求される

ただ、筆者としては明確に反対します。理由は2つあります。第1に相手は"攻撃者"であり"犯罪者"だからです。違法・不法なことを平気で行う者たちですから、要求通り金銭を支払ったとしても、鍵や復元方法を送ってくる保証はどこにもありません。第2は、攻撃者へ支払った金銭は、次のマルウェアや攻撃手法開発などへの原資となる可能性がある点です。間接的とはいえ、被害者が加害者の発展に貢献する道理はないと考えます。

しかしながら業務上、どうしてもファイルを復号・復元する必要が生じることもあるでしょう。セキュリティ事業者の中には、ランサムウェアを解析した結果、復号やアクセスブロック解除の手法を解明している場合もあります。万が一被害に遭ってしまった場合は、使用しているウイルス対策ソフトの製造元や普段付き合いがあるセキュリティ事業者に相談してみることを推奨します。

また、警察に相談する方法もあります。オランダ検察庁やオランダ警察と共同で、いくつかのランサムウェアの復号ツールを無償提供するサイトの公開も行っています。

ただし、仮に善なる事業者や機関が復号化や復元に成功していたとしても、そのことが既に広く知られているとは限りません。非常に古い(つまり攻撃者が既に使用していない)ランサムウェアであれば別ですが、流行の真っただ中にあるようなものであれば、なおさらその傾向は強いものとなります。

なぜなら、復号化・復元ができることが攻撃者側に知られてしまった場合、攻撃者は新たな暗号鍵で暗号化するランサムウェアを作成したり、復元手法を変更したりしてしまうためです。このことからも、繰り返しになりますが、まずは身近な専門家に相談することが、事態打開への早道であると言えます。

このように、ランサムウェアは、普段使用しているファイルやデータを使用できなくすることから、予防策として最も効果が見込めるものは、こまめなバックアップです。バックアップ先は、オンラインではないほうが安全でしょう。バックアップ先・媒体は、オフラインであって、なおかつバックアップあるいはリストア時にのみ使用できるよう、システムとその運用を工夫しておくのが良いでしょう。

バックアップを取っていることを攻撃者に知られた場合、攻撃者はバックアップ側にも攻撃を仕掛けてくる可能性があるからです。また、バックアップを複数世代取っておけば、さらに安全性を高めることにつながるはずです。なお、オンラインとは、インターネット経由であるか否かは関係ありません。

加えて、パソコンのOSやMicrosoft Office、AcrobatやJavaなどの脆弱性(セキュリティホール)は、ランサムウェアを含むマルウェア全般で、感染の糸口として悪用される傾向が強いので、これらのソフトウェアを常に最新の状態に保つことも、基本対策の1つです。ウイルス対策ソフトを最新の状態で使用することも、同様に基本対策となります。