ランサムウェア Q&A

• 1989年: 世に知られた最初のランサムウェアは、ジョセフ・ポップによって作成された AIDS というトロイの木馬(別称: PC Cyborg)です。
• 2005年5月: 脅迫型のランサムウェアが発生しました。
• 2006年中頃: Gpcode、TROJ.RANSOM.A、Archiveus、Krotten、Cryzip、MayArchive などのワームが、長さで暗号強度を高めることでより洗練されたRSA暗号方式を使い始めました。
• 2011年: Windowsライセンス認証の通知を模倣したランサムウェアワームが発生しました。
• 2013年: Stamp.EKエクスプロイトキットに基づいたランサムウェアワームが発生し、Mac OS Xに特化したランサムウェアワームも登場しました。CryptoLocker がこの年の最後の4か月で約5百万ドルを荒稼ぎしました。
• 2015年: 複数のプラットフォームで複数の亜種が大きな被害を引き起こしています。

暗号化型ランサムウェア

• 暗号化型ランサムウェアは、個人ファイルやフォルダ(ドキュメント、スプレッドシート、画像、動画)を暗号化します。
• 感染したファイルは、暗号化されると削除されます。そして、アクセスできなくなったファイルと同じフォルダに身代金の支払い方法が記載されたテキストファイルが残されます。
• これらのファイルを開こうとするそのときまで、ユーザーは問題に気付かない可能性があります。
• 次のような「ロック画面」が表示されるタイプの暗号化型ソフトウェアもあります。

• 
• 
• 
• 

ロック画面が表示されるランサムウェア — WinLocker

• このランサムウェアは、PCの画面をロックし、身代金を要求します。
• PCの全画面に画像が表示され、他のすべてのウィンドウがブロックされます。
• 個人ファイルは暗号化されません。

• 

マスターブートレコード(MBR)を標的とするランサムウェア

• マスターブートレコード(MBR)は、PCのハードドライブの一部で、オペレーティングシステムを起動するために使用されます。
• MBRを標的とするランサムウェアは、通常の起動プロセスを妨げるためにPCのMBRを変更します。
• 代わりに、画面には身代金要求が表示されます。

• 

Webサーバを暗号化するランサムウェア

• このランサムウェアは、Webサーバを標的とし、Webサーバ上の多数のファイルを暗号化します。
• 多くの場合、コンテンツマネジメントシステム(CMS)の既知の脆弱性を利用して Webサービスにランサムウェアを配置します。

• 

モバイル端末を標的としたランサムウェア(Android)

• モバイル端末(主にAndroid)が 「ドライブバイ・ダウンロード」 によって感染する可能性があります。
• また、Adobe Flashやウイルス対策製品などの広く利用されているサービスを装った、偽アプリによって感染する可能性もあります。

• 

身代金を支払うことは、絶対に推奨しません。主な理由として、身代金を支払っても問題が解決するという保証はないことが挙げられます。また、事態が悪化してしまう可能性もあります。たとえば、マルウェアにバグがあるために、適切な鍵を使っても暗号化されたデータを復旧できない場合があります。

また、身代金を支払うと、ランサムウェアが有効であることをサイバー犯罪者に証明することになります。その結果、サイバー犯罪者は引き続き犯罪行為を行い、システムを悪用する新しい方法を見い出すため、感染数が増え、サイバー犯罪者が獲得する身代金も増えることになります。

ランサムウェア攻撃は通常、メールの添付ファイルとして配布されており、実行可能ファイル、アーカイブ、イメージなどの添付形式が例として挙げられます。ユーザーが添付ファイルを開くと、ユーザーのシステムにマルウェアが送り込まれます。また、サイバー犯罪者がWebサイトにマルウェアを埋め込む場合もあります。ユーザーが知らずにそのサイトにアクセスすると、マルウェアがユーザーのシステムに送り込まれます。

ユーザーは、感染したことにすぐには気づきません。システムやデータロックメカニズムが配置されるまで、マルウェアはバックグラウンドで密かに動作します。配置されると、データをロックしたことを通知し、ロック解除するための身代金を要求するダイアログボックスが表示されます。このような事態になってからセキュリティ対策を適用しても、データを救出するには遅すぎます。

詳細については、以下の動画をご覧ください。

すべての消費者と企業がランサムウェアの被害者になる可能性があります。サイバー犯罪者は、被害者を選択するのではなく、最大限の利益を得るために可能な限り多くのユーザーを攻撃しようとします。

はい。暗号化されるデータは、機密性が高くかつビジネスを継続するために不可欠なものであるため、サイバー犯罪者は企業が身代金を支払う可能性が高いと確信しています。なお、身代金を支払うよりもバックアップを復元する方がコストがかかる場合もあります。

現在、50種類を超えるランサムウェアのファミリーが出回っており、数が増加しているだけでなく、急速に進化しています。新型の亜種には高度な暗号が使用されており、新しい機能も備わっています。このような事態を無視することはできません。

唯一の解決策を見つけることが非常に難しい理由の1つとして、暗号化自体は悪意のあるものではないことが挙げられます。暗号化は優れた開発であり、多くの無害なプログラムで使用されています。

初期の暗号化型マルウェアでは、暗号化と復号に同じ鍵を使用する対称鍵アルゴリズムが使用されていました。破損した情報は、通常セキュリティ企業の支援によって解読することが可能でした。しかし、時間の経過とともに、サイバー犯罪者は、ファイルを暗号化するための公開鍵と復号するための秘密鍵の異なる2つの鍵を使用する、非対称暗号化アルゴリズムを実装し始めました。

トロイの木馬CryptoLockerは、最もよく知られているランサムウェアの1つです。CryptoLockerにも公開鍵アルゴリズムが使用されています。PCに感染すると、コマンド＆コントロール(C&C)サーバに接続して公開鍵をダウンロードします。秘密鍵にアクセスできるのは、CryptoLockerソフトウェアを作成した犯罪者のみです。一般的に、72時間以内に身代金を支払わないと秘密鍵が完全に削除され、ファイルの復号が不可能となります。

そのため、まずはランサムウェアの感染防止を検討する必要があります。多くのウイルス対策ソフトウェアには、機密データを損失させずに、感染の初期段階でランサムウェアの脅威を特定する一助となるコンポーネントが含まれています。この機能を有効にしていることが重要です。

「No More Ransom」プロジェクトは始まったばかりですが、亜種にも対応すべく可能な限り多くの鍵を特定し、他のセキュリティ企業および司法当局と常に連携しています。役立つと思われる情報をお持ちの場合は、当プロジェクトに共有をお願いいたします。

Crypto Sheriffは、端末に影響しているランサムウェアの種類を特定するために設計されたツールの名称です。このツールを使用すると、利用可能な復号ツールがあるかどうか確認できます。Crypto Sheriffの仕組みについては、以下の動画をご覧ください。

そのようなことが起きる可能性もあります。当プロジェクトが鍵のサブセットのみを入手している場合もあるため、Webサイトを常に確認するようにしてください。

次の場合に復号が可能です。

• マルウェアの作成者が実装を間違えたために、暗号の解読が可能な場合。これにはランサムウェア Petya およびランサムウェア CryptXXX が当てはまります。
• TeslaCrypt のように、マルウェアの作成者が犯罪行為を後悔し、鍵またはマスター鍵を公開した場合。
• 鍵を格納したサーバを司法当局が押収し、鍵を共有した場合。例として、 CoinVault が挙げられます。

身代金を支払うことに効果がある場合もありますが、支払ってもファイルが復号される 保証はありません。また、犯罪者のビジネスモデルを支援することになるため、さらに多くのユーザーをランサムウェアに感染させる犯罪に加担することにもなります。

ユーザーシステムのデータを暗号化して身代金を要求するランサムウェアは、過去数年間でサイバーセキュリティにおける大きな問題となっています。ランサムウェアは広範囲に拡散しており、流行とまで言われるようになりました。ランサムウェアの攻撃を受けたユーザー数は急増しており、2015年4月～2016年3月の期間では71万8千人のユーザーが攻撃を受けました。2014年～2015年の同期間と比較して5.5倍に増えています。

警察はサイバー犯罪、特にランサムウェアに単独では対処できません。また、セキュリティ研究者も、司法当局の支援なしには対処できません。ランサムウェアに対処する責任は、警察、司法省、ユーロポール、およびITセキュリティ企業にあり、連携した取り組みが必須です。犯罪者による資金稼ぎを中断させ、身代金を支払うことなく、ファイルを然るべき所有者に返すために協力し、最善を尽くします。

No More Ransomは国際的な取り組みであり、サイバー犯罪に対して真剣に措置を講じた際に、官民連携の価値が示されます。この連携は、地理的境界を越えるものです。当プロジェクトの主な目的は、ランサムウェアの攻撃を防止する方法について、世界中で知識を共有し、ユーザーに周知することです。当プロジェクトの活動が、最終的には世界中の被害者に生じた損害を修復するための支援につながると確信しています。システムへのアクセスを回復させることにより、措置を講じれば身代金の支払いで犯罪者に報酬を与えずに済むということを示し、ユーザーを勇気づけたいと考えています。

最初の段階として、異なる種類のマルウェアに対応する4つの復号ツールをポータルに掲載しました。当Webサイトで提供しているツールはすべて無料であり、Webサイトに記載の脅威に感染したすべてのユーザーに対して、所在地に関わらず有効です。