ファイルを暗号化するなどの障害を意図的に発生させ、その解決のための身代金を要求するマルウェア。
ランサムウェアの概要
ランサムウェアはデータを「人質」にして身代金を要求するという誘拐・脅迫マルウェアである(「ransom」は「身代金」を意味する)。ただし人質といっても「人」ではなく「データ」の暗号化を行う。そのため別名「クリプトウイルス」とも呼ばれる(「crypto」は「暗号(化)」を意味する)。
マルウェアに感染した場合、一般的には、マルウェアを隔離ないし駆除することでパソコンやスマートフォンなどの端末への影響を食い止めることができる。しかし、ランサムウェアの場合、暗号化されたファイルを修復するためのツールが必要となってくる。つまり、攻撃者が持っている暗号解除の「鍵」がなければ、ファイルは元に戻らないのである。
これまでの事例では、セキュリティベンダや公的機関が暗号解除の鍵やツールを提供するまでには、かなりの時間を要することが分かっている。だから、もしも暗号化される被害に遭ってしまったら、鍵欲しさについ攻撃者の要求を受け入れてしまうという事態に陥り、数万円から数十万円、企業組織の場合であれば数百万円を失いかねない。
まさしくそれが「ランサム」ウェアと呼ばれるゆえんであり、人質を取った上で攻撃者側に有利な条件で交渉してくる、それがランサムウェアの基本形である。現実の誘拐事件と同様に、とても卑劣なやり方だ。
ランサムウェアの特徴
1)マイドキュメントが狙われる
2)数多くのファイルが利用できなくなる
3)対象とされるファイルは、文書作成、表計算、プレゼンテーション、データベースといったオフィス系ソフトで作成されたものが主
4)該当する拡張子は、doc、 docm、 docx、 dotm、 dotx、 jpeg、jpg、 mdb、mp3、pdf、 png、 potm、 potx、 ppam、 ppsm、 ppsx、 ppt、 pptm、pptx、 pst、 wma、 xlam、 xls、 xlsb、 xlsm、 xlsx、 xltm、 xltxなど
5)暗号化されたファイルには鍵(パスワード)が掛かっている
6)鍵(パスワード)はかなり長く、30文字以上あり簡単に判明しない
7)圧縮ファイルにされてパスワードが掛けられることもある
感染の流れ
ランサムウェアにもさまざまな種類があり、攻撃の仕方も多様である。ここでは一例として、2005年ごろに現れた古典的かつ凶悪なGPCode(ジーピーコード、PGPCoderともいわれる)を代表例として、感染の流れをまとめておく。
1)主にWebからDLLの形で端末に侵入
2)DLLがシステム内に組み込まれる
3)パソコンを再起動すると自動的にこのDLLが読み込まれるような設定を行う
4)マイドキュメントのファイルを知らないうちに暗号化(暗号化が終わると、そのファイルは中身を表示できなくなる)
5)ファイルを開こうとすると「ファイルが暗号化されていて開けない」というメッセージが現れる。ここで初めて何者かによってデータが暗号化されたことに気付く
6)ポップアップでメッセージが表示され、暗号解除の方法がリンク先にあることが示唆される
7)リンク先をクリックするとブラウザが立ち上がり、暗号を解除するかのような実行ファイルがダウンロードされる
8)インストール
9)暗号化されたファイル一覧が表示され、1ファイルのみの暗号の解除が促される
10)1ファイルのみ元に戻る
11)「他のファイルも解除したいのならシリアルキーを購入せよ」というメッセージが表示される
12)誰が仕掛けたのか分からないまま解除キーを購入
13)元に戻る場合もあれば、元に戻らない場合もある
このうち6)のところで、パソコンを再起動せずにハードウェアパワーオフを行い、CDから再起動しファイルリカバリーを実行することで修復は可能である。また、例えばPhotoRecとStopGpcodeといったユーティリティツールを使うという手もあることにはあるが、かなり敷居が高い。いずれにせよ、マルウェアの中でも大変厄介な類の攻撃であることは間違いない。
対策
ランサムウェアに限らず、大事なデータは必ずバックアップを取ることが、最悪の事態に備える防御策となる。定期的にデータのバックアップを行っていれば、被害は最小限で食い止められ、場合によっては、脅迫に応じる必要もなくなるかもしれないからである。
その上で、感染の予防と対策としては、主に以下の4点に気を付けたい。
1)OSやソフトは最新の状態で使用する
2)怪しいサイトを訪問しない
3)怪しいソフトウェアやファイルをダウンロードしない
4)ランサムウェアと思しき挙動が発見された場合は、警察(サイバー犯罪窓口)やセキュリティベンダへ報告する