ランサムウェアは1980年代から確認されていた

　身代金要求型ウイルスと呼ばれるランサムウェア（Ransomware）。2015年は、ハードディスク内のファイルを暗号化し、拡張子をvvvに変換するランサムウェア「CrypTesla」が国内で確認され話題となった。このようなランサムウェアの活動は、2016年に入ってからも拡大を続けている。

　著作権法違反を警告するメッセージとともにスマートフォン端末をロックするランサムウェアが発見されたほか、2月には請求書を偽造するメールでファイルを開かせファイルを暗号化する「Locky」の被害が相次いだ。さらに3月には、ドイツの病院がランサムウェアの被害に遭い、身代金を支払ったというニュースが世界を駆け巡った。最近では、ハードディスクのMBR（マスターブートレコード）を書き換え、暗号化プログラムを実行し、OSの起動をロックする「Petya」というランサムウェアの被害も報告されている。

　実はランサムウェアの歴史は古く、1980年後半から存在が確認されている。Petyaは、1989年に確認された「AIDS」（エイズ撲滅のための研究費の寄付を強要するワーム）というランサムウェアの亜種、改良版、あるいはオマージュではないかという分析もある。

巧妙な金額設定で蔓延するランサムウェア

　もともとロシアで活発だったランサムウェアは、2012年ごろからグローバルでの感染が報告されるようになった。2013年の「CryptoLocker」、2014年の「Cryptowall」などの被害が顕著な例として挙げられる。

　身代金は、足がつきやすい現金やクレジットカードではなくウェブマネーやビットコイン、アマゾン、iTunesのギフトカードが利用されることが多い。そのため身代金の金額も数万円からと1件あたりの金額はさほど多くない。

　ドイツの病院の例はおよそ200万円の身代金だったが、病院の治療やシステムの回復を急ぐため支払いに応じている。自力で解読や復旧をするより時間、コストとともに身代金を支払ったほうが早いからだ。個人の場合も数万円ならと支払いに応じる層がかなりいると思われ、攻撃の勢いが止まらない理由のひとつなっている。

　感染経路は標的型メール、ばらまき型メールに添付されたファイルやマルウェアが多い。汚染サイトや攻撃サイトに誘導され、閲覧するとブラウザやOSの脆弱性をついて感染する場合もある。スマートフォンの場合は、メール添付か不正サイトからの不正アプリのダウンロードと実行による場合が多い。

ランサムウェア対策まとめ

　以上のランサムウェアの概要を踏まえて、予防策、対処方法について考えてみよう。


　まず重要なのが、不審なメールや添付ファイルを開いたり、不用意にアプリをダウンロードしたりしないことだ。ランサムウェアではないが、「Rovnix」というトロイの木馬を仕掛ける日本郵政の不在配達通知を装ったメールなどは、予備知識や情報がないと誤ってファイルを開いてしまう可能性が高いものも増えているので、メールを開く際には不審な点がないかを疑うことを意識すべきだ。セキュリティアップデートも基本的な対策としては不可欠だ。サイトアクセスやマクロを利用したマルウェアは、OSやブラウザ、アプリケーションが最新であれば感染を防げることがある。


　運悪くランサムウェアに感染し、重要なデータを暗号化されたりロックされたりした場合、どのような対処方法があるだろうか。ポイントとなるのが、身代金は支払うべきか否か？　という問題だ。

　身代金を支払うという選択は、金額が法外なものでなければ、いちばん時間もコストもかからず復旧させる方法ではある。しかし、悪意のある攻撃者をどこまで信用していいのかという問題がある。また、身代金を支払ったところでファイルの復号やロックの解除が確実になされるかという保証はない。たとえ復号が確実だとしても、要求に応じることが攻撃の拡大につながることを考えると、身代金は払うべきではない。

　身代金を支払わずにデータを復旧させたければ、セキュリティベンダーなどが提供する復旧サービスを利用する方法がある。CryptTeslaについては、暗号の解読に挑戦し成功した専門家がその方法をブログで公開している例もあり、スキルのある人は自力で作業するという方法もあるだろう。

【次ページ】ランサムウェア対策、最後の手段とは？