TREND COMMENTARY

トレンド解説 | マルウェアに関する最新の動向、対処方法

ファイルを次々と消去するランサムウェア「ジグソウ」(Jigsaw)

この記事をシェア

ホラー映画「ソウ」に登場するビリー人形が突然モニターに姿を現し、ユーザーに向かってこう述べる。「ゲームをしよう。ファイルは全て暗号化した。150ドルをビットコインで支払わなければ、指数関数的な勢いでファイルは消去される」と。ランサムウェア「ジグソウ」の登場である。

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を基に、日本向けの解説を加えて編集したものである。

ファイルを次々と消去するランサムウェア「ジグソウ」(Jigsaw)

とうとう犯罪者たちは、ランサムウェアが、それほど労力を使わずにかなりの利益をもたらし得るメカニズムであることを理解し始めた。多くのユーザーは自分のコンピューターにアクセスできなくなってから初めて気付くのだが、コンピューターにストックされた情報は一般的に思われているよりも相当に価値があるものだ。

「ジグソウ(Jigsaw)はランサムウェアの作り手が実施しているさまざまな試みのうちの1つの例にすぎない」

そのため、2015年から2016年にかけて、ランサムウェアのさまざまな亜種が波のように絶え間なく押し寄せてくる様を目の当たりにしてきた。それらには 、クリプトロッカー(Cryptolocker)テスラクリプト(TeslaCrypt)トレントロッカー(TorrentLocker)という名で知られるマルウェアの亜種が含まれていた。しかし今私たちがここで目撃するのは、自分の分け前を分捕ろうとしている、血に飢えた新たな亜種たちである。

ファイルの暗号化と消去

画面には次のように書かれている。

「ゲームをしよう。ルールを説明する。写真、ビデオ、文書などの個人的なファイルがこれから消えていくだろう。でも心配ご無用。もしも要求に応じなければ、そうなってしまうというだけだ。とはいっても、すでに個人ファイルは全て暗号化してある。だからそれらのファイルにはすでにアクセスできない。

これから1時間ごとにそのファイルから幾つかを選んで永久に消し去ることにする。そうなると誰も(私でさえ)そのファイルにはアクセスできなくなる。永久に消えるということだ。「指数関数的増加」はご存じだろうか。噛み砕いて説明しよう。最初はゆっくりと始まるものの、急速にその量が増していくということだ。最初の24時間には、ほんの数個のファイルが失われる。2日目には数百のファイルが、3日目には数千のファイルが失われる、といった具合にその数は増えていくのである。

もしもコンピューターの電源を切って、この画面を閉じたとしよう。次にコンピューターのスイッチを入れるとこの画面が再び現れるが、そのときには1,000のファイルが失われることになるだろう。決してふざけているわけではない。至って真面目な話なのだ。とはいっても、この画面が再び登場することは望ましいことである。なんといってもこの画面からしかファイルを復旧できる道はないのだから。一切パソコンが動かなくなるまで待つようなことはしない方が身のためだ。

さあ、このささやかなゲームを始め、一緒に楽しもうではないか」

59:35 (タイマーの表示、つまり残り「59分35秒」を示している)

「1ファイルが失われた」

「暗号化したファイルを見る」のボタン。

「以下のところから最低40ドルのビットコインを送りなさい」

「支払いをしたのでファイルを返してください」のボタン。


この新たなランサムウェアのプログラムバッチにジグソウが含まれている。これはESET が「MSIL/Filecoder.Jigsaw 」として検知する亜種で、際立った固有の特徴を幾つか持っている。第一に、ファイルが暗号化されたと知らせる派手なデスクトップ画面で、映画「ソウ」シリーズの有名な登場人物の1人であるビリー人形のイメージが用いられている。

このイメージの上に、ユーザーのファイルに何が起こったかを説明する文章が書かれている。あたかもこの有名なホラー映画に出てくる試練の1つであるかのように。身代金の支払い方法について必要事項の指示も書かれている。額は画面では「ビットコインで最低40ドル」とあるが、実際には150ドルである。

「実際に怖いのは、1時間ごとに暗号化されたファイルが幾つか消されていくこと」

この画像に加え、このランサムウェア亜種による実害は、1時間ごとに暗号化されたファイルが消去されることである。もしファイルを元に戻したいのなら、時間が重要な要因となる。かといって、時間の進行を止めようとして電源を切りってシステムを再起動すれば、ジグソウは1,000のファイルを消去してしまうだろう。こうなると身代金を払わずにデータの復元をするためにユーザーが取れる手立ては限られてしまう。

ただ奇妙なことに、他の亜種がビットコインでの身代金の支払いを細かく指示するのに対して、ジグソウ はユーザーがこの暗号通貨を入手できるリンクを単に貼っているだけである。このことから、このランサムウェアの作者は他の亜種の作者と比べあまりプロらしくないという考えも成り立つのかもしれない。

幸い、ジグソウに感染したユーザーが暗号化されたファイルを元に戻すためのツール(download.bleepingcomputer.com/demonslay335/JigSawDecrypter.zip)とガイドがすでに利用可能である。犯罪者がユーザーのコンピューターに保存された情報の見返りとしていくばくかの金銭を得るといった事態を防ぐために、上記の「ガイド」のリンクに書かれている手順に従って対応することをお勧めする。

開発は続いている

ジグソウはマルウェアの作成者たちがランサムウェアに関して実行している膨大な数の試行のうちのたった1つであるにすぎない。このケースが目新しいのは、被害者にダメ押しの警告を行うためにファイルの消去をするという点である。つまり、新たな脅迫の手段を探し求めることで結果を出し続けようとしているのである。

現在、これが彼らにとって最も利益の出る脅威の1つである。そしてそれは攻撃的な性格を持つため、ESETをはじめ数多くのセキュリティ・ベンダーと研究者たちがファイルの復号方法を見いだすべく日々新たな亜種の分析を行っている。

私たちは、常に彼らが新たな戦略を駆使し、近い将来にはもっと洗練された姿で具体的に登場してくることを予想しておくべきであろう。そればかりではなく、ランサムウェアがこれまでの生息地であるWindowsとAndroidから外に出てLinuxやMac OS Xといった他のOSにまで広がっている様を目の当たりにしているのであり、さらにはIoT(モノのインターネット) にまで拡散している証拠すら存在しているのである。

時間の経過とともにユーザーはより敏感になり、それに伴い今や犯罪者側は(よく知られた有害なメール添付ファイル以外の)異なったテクニックを使い始めている。これらのテクニックには合法的なWebサイト上のエクスプロイトキットを利用するものがあり、そういったサイトの中には毎日何百万もの人が訪れるものさえある。こうしたことが、犯人たちが犯罪行為を拡散し、新たな被害者を見つけることを可能としてしまうのである。

それゆえ私たちは、より巧妙なテクニックが現れるときに備えて、警戒を怠らず伝統的な攻撃手段の先を見据える必要がある。ユーザーは今までのようにITセキュリティの鎖の最も弱い輪であってはならず、犯罪者の動きの機先を制しなければならない。

私たちはまず自分の最も大事なファイルのバックアップを取ることから始めて、新しいランサムウェアの亜種が登場したときにそれを検知することのできるセキュリティソリューションを用意し、感染したコンピューターが会社や組織のネットワーク上の共有のリソースに感染を広げるのを防ぐために会社や組織のセキュリティポリシーを実施するといったことで、この手の脅威に対して その威力を緩和する手段を取らなければならない。

これらの手段はほとんど単純で常識的なものであるが、ここで挙げたような手段を講じていれば、ランサムウェアとの闘いにおいてはほぼ全面的に勝利を挙げることになるだろう。しかしそうするために、私たちは今すぐに始める必要があるし、新たな脅威が現れたときに確実に反撃を加えられるよう、情報を日々更新しておく必要もある。

この記事をシェア

ランサムウェアのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!