2016年、ランサムウェアによる会社や組織への攻撃がとても目立った。中でも、病院や学校が標的になる場合が、少なからず話題となった。それは、医療機関においては、医療データへのアクセスを回復できるか否かが直ちに生死に関わるケースもあり、犯罪者の要求に従わざるを得ないかもしれないし、他方、学校も、子供に関する情報という「弱み」があり、いずれも、犯罪者の要求に屈してしまう恐れがあるからだ。

だが、犯罪者の要求に従って金銭を支払うのは、たとえそれが最善に見えたとしても、決して得策ではない。ランサムウェアの作成者に支払いの対価を提供する義務は全くない。実際、復号鍵が機能しない、または身代金要求メッセージすら掲示されないケースも多数存在する。大半のサイバー犯罪者はソフトウェアのチェックなど行っていない。「カスタマーサービス」――すなわち被害者がきちんと身代金を支払ってくれるために行われる「ユーザーサポート」の質も決して高いわけではないというのが、その実態である。

先に結論を言ってしまえば、学校を標的にしたランサムウェアを回避する方法は、かなりある。たとえランサムウェアに攻撃されたとしても、被害を復旧できる施策が幾つかあるので、基本的には身代金を支払う必要はないのである。

何が学校を特別な存在にしているのか

ある意味では、学校は小さな町のようなものである。学校には通常、保健室、購買、食堂、さらには銀行ATM、そして会計、管理などを担当する部署や人が存在する。さらには、財務データ、医療・健康情報、生徒（学生）と教職員の記録などもある。それらは全て秘匿情報であり、犯罪者には手に入れたい魅力あるものとして受け止められている。

ランサムウェアはマルウェアの一種であるが、他の種類の最近のマルウェアとは異なり、必ずしも被害者のシステムからデータを抜き取らず、その代わり、被害者がデータにアクセスできないようにするところに特徴がある。生徒（学生）または教職員は常に何らかの締め切りに追われているため、病院のように生死を争うものではないとはいえ、学校ではタイムリーにデータにアクセスすることが非常に重要であり、場合によっては命運を左右すると考えられるものがあっても不思議ではない。

病院ではネットワークに接続できるデバイスがある程度制限されているが、学校では利用者に個人所有のデバイスを持ち込むことを推奨している場合もある。そのため、膨大な数の管理外機器が毎日ネットワークに接続されており、ランサムウェア被害を食い止めるのがより一層困難になっている。

学校を標的としたランサムウェアにどう対処していくべきか

まずは、システムへのマルウェア侵入を予防するところから始める。次に、たとえ侵入されたとしてもその被害を最小化できる施策を考える。それが学校を標的としたランサムウェアへの対策の流れである。

データをバックアップする

ランサムウェアに攻撃されるなどの緊急事態に備えるためにできる唯一かつ最重要な事項は、定期的にバックアップを実施することである。多くのランサムウェアはマウントされているドライブ上のファイルさえ暗号化してしまう。これには、USBメモリースティックや、ネットワークおよびクラウドのファイルストレージなど、あらゆる外部ストレージが含まれる。そのため、外部ストレージに対してはドライブレター（ドライブに割り当てられるアルファベット）を付与してしまわずに、そのつどアクセスすること、そして、外部ドライブやバックアップサービスを使っていないときはシステムおよびネットワークから切り離しておくことが、あるべきバックアップとなるだろう。

ソフトウェアを常に最新バージョンにアップデートする

マルウェアの作成者は通常、脆弱性の存在が知られている古いバージョンのソフトウェアを実行している人を狙い撃ちにする。これらの脆弱性を突くことにより、マルウェアの作成者は気付かれずにシステムに侵入することができる。逆に言えば、ソフトウェアを頻繁にアップデートさえしておけば、マルウェアに感染する可能性は大幅に下がるのである。したがって、可能であれば自動アップデートをオンにする、ソフトウェアの内部アップデートプロセスを用いてアップデートする、またはソフトウェアベンダーのWebサイトにアクセスして直接アップデートを行う、といった対策が必要となる。マルウェアの作成者は時に、ソフトウェアアップデートの通知を装ってマルウェアを拡散させようとするが、例えば、安心できるソフトウェアが集められていると評判の高い「リポジトリサイト」（*）を選んで利用すれば、クリーンかつ検査されたアップデートが入手しやすくなる。Windows利用者であれば、コントロールパネルの「ソフトウェアの追加／削除」を見ることにより、古い(潜在的に脆弱な)バージョンのソフトウェアが存在していないかどうかをチェックできる。

* 編集部注　データやプログラムをまとめて保存しているサイトのこと。

評判の良いセキュリティソフトウェアを利用する

脅威や怪しげなふるまいを特定するためには、ウイルス対策ソフトと（パーソナル）ファイアウォールの両方を利用することをお勧めしたい。マルウェアの作成者は検知を逃れようとマルウェアを頻繁に更新する。そのため、2層による保護が重要となる。そうすることにより、もし新しいランサムウェアの亜種に遭遇し、ウイルス対策ソフトを通過する事態になったとしても、そのマルウェアがファイル暗号化に必要な指令を受け取るためにC&C（コマンド＆コントロール）サーバーに接続しようとする際に、ファイアウォールで検知できるかもしれない。

「最小権限の原則」を適用する

「最小権限の原則」とは、アクセス権限を最小限に抑え、業務に必要なタスクのみ実施できるようにするというもの。通則としては、大半の利用者には機器の管理者権限を持たせるべきではなく、業務範囲外のリソースへのアクセス権限を制限した方がいい。生徒（学生）は教職員とは異なるアクセスレベルを持つべきであり、その教職員も管理者とはアクセスレベルが異なった方がいい。自宅から持ち込まれる私物については、学内ネットワークに設置されている機器とは異なる取り扱いをした方がいい。ネットワーク上に適切なファイアウォールの設置さえしておけば、マルウェアの拡散の速度を抑制できるか、場合によっては拡散を遮断することができるのである。

利用者を教育する

事故はどうしても発生してしまうものであるが、利用者全員が学内リソースの利用について、何をどこまで許容されているのかを理解しておけば、対策として役に立つ。ただしこれは、年度始めに1度だけ理解して中間試験の時期が来るまで忘れられていてよい、というものではなく、頻繁に思い起こされるべきものである。そのための方策としては、共有用のコンピューターやインターネット接続が提供されている場所の全てに、ポスターやその他の教材を目立つように掲示しておくなどが考えられる。また、事故が発生してしまった際に、すぐに利用者が報告するよう働き掛けることも、必要不可欠である。そうすることで、瞬時に対応策を講じることができ、被害を最小限に抑えることが可能となる。問題点を指摘することも含め、より安全になるように努力しようとすることは、セキュリティ環境を構築していく上で、極めて有効であろう。

以下は、現在のランサムウェアの亜種が利用している手法に対応するための助言コメントである。これらのコメントは全てのケースに当てはまるわけではないが、各種のマルウェアのファミリーが利用するアクセス経路を遮断する手法であり、簡単に実施できるので、ぜひ目を通しておいてほしい。

Microsoft Officeファイルのマクロを無効化する

Microsoft Officeファイルは「ファイルシステム内のファイルシステム」とも言えるものであることに、多くの人々は気付いていない。そのファイルシステムでは、通常の実行ファイルとほぼ同等のことが実施できる、強力なスクリプト言語の利用環境を備えている。Officeファイルのマクロ機能を無効にすることで、このスクリプト言語の利用を無効化することができる。

ファイルの拡張子を表示させる

マルウェアが無害なソフトを装うためのよくある手段の一つに「.PDF.EXE」のように二重の拡張子を持ったファイル名を付与する手法がある。WindowsやMacOS Xには拡張子を表示しないという機能があるが、マルウェアはこの機能を悪用し、マルウェアをあたかも通常よく交換されるファイルであるかのように装う。ファイルの拡張子を完全に表示するよう設定することで、怪しげなファイルタイプは特定しやすくなるだろう。

電子メール中の実行ファイルを遮断する

もしゲートウェイのメールスキャナーが拡張子別のフィルタリング機能を有しているならば、「.EXE」ファイルが添付されているメール、もしくは二重の拡張子を持ち、最後の拡張子が実行可能形式になっているファイルが添付されたメール(例えば「Filename.PDF.EXE」)を拒否するのも有効である。もし「.EXE」ファイルが添付された電子メールを拒否しつつ、実行可能形式のファイルを本環境内で問題のない形でやりとりしたいのならば、ZIPファイルにするか、またはクラウドサービスを利用するといいだろう。ZIPファイル形式で送信することで、パスワードを設定可能なため、1ランク上の保証を得ることができるからだ。

「AppData/LocalAppData」フォルダ内のファイルの実行を無効化する

ランサムウェアによく利用される独特のふるまいを禁止すべく、Windowsもしくは侵入防御システムソフトを用いたルールを設定することも、選択肢の一つである。ランサムウェアの特徴として、「App Data」もしくは「Local App Data」フォルダから実行可能ファイルを実行することが多い。そこで、もし利用している正規のソフトウェアが「App Data」エリアから実行されるような設定であれば、本ルールに例外設定をする必要がある(ただし、通常は「App Data」エリアから実行されるようなことはなく、たいていの正規ソフトはインストールする場所を選択可能にしている)。

リモートデスクトップ・プロトコルを無効化する

ランサムウェアは時に「リモートデスクトップ・プロトコル」(RDP)を悪用して機器にアクセスする。RDPは第三者に遠隔からデスクトップへのアクセスを許可するプロトコルである。もしRDPの利用が必要ないのであれば、機器を守るために無効化しておいた方がいいだろう。詳しい設定方法については、下記の「Microsoftサポート技術情報」の記事を参照されたい。

• Windows XP
• Windows Vista
• Windows 7
• Windows 8
• Windows 10

もし、すでにランサムウェアが実行され、上記の事前の対策を一切行っていなかった場合は、取り得る行動の選択肢はかなり制限される。それでも被害を最小化するために取り得る施策は、まだ幾つかある。

復元ツールが入手可能かどうか確認する

時に、マルウェアの作成者は間違いを犯し、復元ツールが作られることがある。また、マルウェアの作成者は自身の行動について自責の念に駆られるか、特定のマルウェアファミリーの開発を終了するなどの理由で、復号鍵を公開することもある。信用できるソースから、生じている問題への打開策が提供されていないかどうか、ざっとインターネット検索をする価値は十分にあるだろう。

瞬時にWi-Fiを切断する、もしくはネットワークからケーブルを抜く

もし、ランサムウェアと思われるファイルを実行してしまったものの、まだランサムウェアの特徴的な画面を見ていないという場合には、ファイルの暗号化が終わる前にランサムウェアがC&Cサーバーと通信するのを止められる可能性がある。即座にネットワークから切断することで、暗号化されるファイルの数を減少することができるかもしれない。

システムの復元機能を用いて、クリーンな状態に戻す

もし、ランサムウェアと思われるファイルを実行してしまったものの、まだランサムウェアの特徴的な画面を見ていないという場合には、ファイルの暗号化が終わる前にランサムウェアもしWindowsマシンでシステム復元機能を有効にしていれば、クリーンな状態にシステムを復元できるかもしれない。多くのランサムウェアの亜種はこれを阻害するようにできているが、全てがそうではない。試してみる価値は十分ある。

BIOSの時計を巻き戻す

ランサムウェアの亜種の中には、ある特定の時間を境に復号鍵の値段をつり上げるものがある。期限を知らせるウィンドウが登場する前にBIOSの時計を巻き戻すことにより、対処するための時間を確保できる場合がある。

犯罪者は、学校が管理しているデータが生徒（学生）と教職員にとって非常に価値の高いものであることを知っているため、それらのデータは魅力ある攻撃対象となっている。そしてもし攻撃対象が脆弱であると特定された際には、犯罪者は再び攻撃するために帰ってくる可能性は高くなり、特に学校を標的としたランサムウェアの場合はその傾向が強い。緊急事態が発生する前に準備する時間を設けることによって、データにアクセスできなくなったり、また、そのアクセス権を取り返すためにお金を払ったりするというリスクを最小化することができるだろう。