ランサムウェア Q&A

ランサムウェアの歴史

1989 年:世に知られた最初のランサムウェアは、ジョセフ・ポップによって作成された AIDS というトロイの木馬(別称:PC Cyborg)です。
2005年5月:脅迫型のランサムウェアが発生しました。
2006 年中頃:Gpcode、TROJ.RANSOM.A、Archiveus、Krotten、Cryzip、MayArchive などのワームが、長い鍵長で暗号強度を高めたRSA暗号方式を使い始めました。
2011 年:Windows ライセンス認証の通知を模倣したランサムウェアワームが発生しました。
2013 年:Stamp.EK エクスプロイトキットに基づいたランサムウェアワームが発生し、Mac OS X に特化したランサムウェアワームも登場しました。CryptoLocker がこの年最後の 4 か月で約 5 百万ドルを荒稼ぎしました。
2015 年:複数のプラットフォームで複数の亜種が大きな被害を引き起こしています。

ランサムウェアの種類

  • 暗号化型ランサムウェア

暗号化型ランサムウェアは、個人ファイルやフォルダ(ドキュメント、スプレッドシート、画像、動画)を暗号化します。

感染したファイルは、暗号化されると削除されます。そして、アクセスできなくなったファイルと同じフォルダに身代金の支払い方法が記載されたテキストファイルが残されます。

これらのファイルを開こうとするそのときまで、ユーザーは問題に気付かない可能性があります。

次のような「ロック画面」が表示されるタイプの暗号化型ソフトウェアもあります。

Maktub1 Ctblocker2.10 Bitman_040 Bitman_025

  • ロック画面が表示されるランサムウェア — WinLocker

このランサムウェアは、PCの画面をロックし、身代金を要求します。

PCの全画面に画像が表示され、他のすべてのウィンドウがブロックされます。

個人ファイルは暗号化されません。

Polyransom2

  • マスターブートレコード(MBR)を標的とするランサムウェア

マスターブートレコード(MBR)は、PCのハードドライブに含まれているもので、オペレーティングシステムを起動するために使用されます。

MBR を標的とするランサムウェアは、通常の起動プロセスを妨げるために PC の MBR を変更します。

代わりに、画面には身代金要求が表示されます。

Master-Boot.jpg

  • Web サーバを暗号化するランサムウェア

このランサムウェアは、Web サーバを標的とし、Web サーバ上の多数のファイルを暗号化します。

多くの場合、コンテンツマネジメントシステムの既知の脆弱性を利用して Web サービスにランサムウェアを配置します。

Ransomware encrypting web servers

  • モバイルデバイスを標的としたランサムウェア(Android)

モバイルデバイス(主に Android)が 「ドライブバイ・ダウンロード」 によって感染する可能性があります。

また、Adobe Flash やウイルス対策製品などの広く利用されているサービスを装った、偽アプリによって感染する可能性もあります。

Mobile Ransomware

攻撃を受けた場合、身代金を支払う必要はありますか?

身代金を支払うことは、絶対にお勧めしません。主な理由として、身代金を支払っても問題が解決するという保証はないことが挙げられます。また、事態が悪化してしまう可能性もあります。たとえば、マルウェアにバグがあるために、適切な鍵を使っても暗号化されたデータを復旧できない場合があります。

また、身代金を支払うと、ランサムウェアが有効であることをサイバー犯罪者に証明することになります。その結果、サイバー犯罪者は引き続き犯罪行為を行い、システムを悪用する新しい方法を見い出すため、感染数が増え、サイバー犯罪者が獲得する身代金も増えることになります。

ランサムウェアによる攻撃はどのような仕組みになっていますか?

ランサムウェアによる攻撃は通常、電子メールの添付ファイルとして配布されており、実行可能ファイル、アーカイブ、イメージなどの添付形式が例として挙げられます。ユーザーが添付ファイルを開くと、ユーザーのシステムにマルウェアが送り込まれます。また、サイバー犯罪者が Web サイトにマルウェアを埋め込む場合もあります。ユーザーが知らずにそのサイトにアクセスすると、マルウェアがユーザーのシステムに送り込まれます。

ユーザーは、感染したことにすぐには気づきません。システムやデータロックメカニズムが配置されるまで、マルウェアはバックグラウンドで密かに動作します。配置されると、データをロックしたことを通知し、ロック解除するための身代金を要求するダイアログボックスが表示されます。このような事態になってからセキュリティ対策を適用しても、データを救出するには遅すぎます。

詳細については、以下の動画をご覧ください:

どのような人がランサムウェアの被害者になりますか

すべての消費者と企業がランサムウェアの被害者になる可能性があります。サイバー犯罪者は、被害者を選択するのではなく、最大限の利益を得るために可能な限り多くのユーザーを攻撃しようとします。

ランサムウェアはビジネスの成長を阻害しますか?

はい。暗号化されるデータは、機密性が高くかつビジネスを継続するために不可欠なものであるため、サイバー犯罪者は企業が身代金を支払う可能性が高いと確信しています。また、身代金を支払うよりも、バックアップを復元する方がコストがかかる場合もあります。

ランサムウェアに対する単一の解決策を見つけるのが難しいのは、なぜですか

現在、 50 種類を超えるランサムウェアのファミリが出回っており、数が増加しているだけでなく、急速に進化しています。新型の亜種には高度な暗号が使用されており、新しい機能も備わっています。このような事態を無視することはできません。

単一の解決策を見つけることが非常に難しい理由の 1 つとして、暗号化自体は悪意のあるものではないことが挙げられます。暗号化は優れた開発品であり、多くの無害なプログラムで使用されています。

初期の暗号化型マルウェアでは、暗号化と復号に同じ鍵を使用する対称鍵アルゴリズムが使用されていました。破損した情報は、通常セキュリティ企業の支援によって解読することが可能でした。しかし、時間の経過とともに、サイバー犯罪者は、ファイルを暗号化するための公開鍵と復号するための秘密鍵の異なる2 つの鍵を使用する、非対称暗号化アルゴリズムを実装し始めました。

トロイの木馬 CryptoLocker は、最もよく知られているランサムウェアの 1 つです。CryptoLocker にも公開鍵アルゴリズムが使用されています。PCに感染すると、コマンド&コントロール(C&C)サーバに接続して公開鍵をダウンロードします。秘密鍵にアクセスできるのは、CryptoLocker ソフトウェアを作成した犯罪者だけです。一般的に、72 時間以内に身代金を支払わないと秘密鍵が完全に削除され、ファイルを復号することが不可能となります。

そのため、まずはランサムウェアによる感染を防ぐことをを検討する必要があります。多くのウイルス対策ソフトウェアには、機密データの損失を発生させずに、感染の初期段階でランサムウェアの脅威を特定するのに役立つコンポーネントが含まれています。使用するウイルス対策のソリューションでこの機能をオンにしていることが重要です。

このプロジェクトによって、ランサムウェアの被害者がファイルに再度アクセスできるようになる可能性はどの程度ですか

「No More Ransom」プロジェクトは始まったばかりですが、亜種にも対応すべく可能な限り多くの鍵を特定し、他のセキュリティ企業および司法当局と常に連携しています。役立つと思われる情報をお持ちの場合は、当プロジェクトに共有していただけますようお願いいたします。

Crypto Sheriff とは何ですか。どのように使用しますか

Crypto Sheriff は、デバイスに影響しているランサムウェアの種類を特定するために設計されたツールの名称です。このツールを使用すると、利用可能な復号ツールがあるかどうか確認できます。Crypto Sheriff の機能の仕組みについては、以下の動画をご覧ください:

適切な復号ツールを使用していますが、復号ツールが機能しません。なぜでしょうか。

そのようなことが起きる可能性もあります。当プロジェクトが鍵のサブセットのみを入手している場合もあるため、Web サイトを常に確認するようにしてください。

どのような場合に、ランサムウェアによって暗号化されたファイルを復号できますか

次の場合に、復号が可能です:

  • マルウェアの作成者が実装を間違えたために、暗号を解読することが可能な場合。ランサムウェア Petya およびランサムウェア CryptXXX が当てはまります。
  • TeslaCrypt の場合のように、マルウェアの作成者が犯罪行為を後悔し、鍵またはマスター鍵を公開した場合。
  • 鍵を格納したサーバを司法当局が押収し、鍵を共有した場合。例として、 CoinVault が挙げられます。


身代金を支払うことに効果がある場合もありますが、支払ってもファイルが復号される 保証はありません。また、犯罪者のビジネスモデルを支援することになるため、さらに多くのユーザーをランサムウェアに感染させる犯罪に加担することにもなります。

No More Ransom の取り組みを開始した理由を教えてください

ユーザーシステムのデータを暗号化して身代金を要求するランサムウェアは、過去数年間でサイバーセキュリティにおける大きな問題となっています。ランサムウェアは広範囲に拡散しており、流行とまで言われるようになりました。ランサムウェアの攻撃を受けたユーザー数は急増しており、2015 年 4 月~2016 年 3 月の期間では 71 万 8 千人のユーザーが攻撃を受けました。2014 年~2015 年の同期間と比較して 5.5 倍に増えています。

警察はサイバー犯罪、特にランサムウェアに単独では対処できません。また、セキュリティ研究者も、司法当局の支援なしには対処できません。ランサムウェアに対処する責任は、警察、司法省、ユーロポール、および IT セキュリティ企業にあり、連携した取り組みが必須です。犯罪者による金儲けの企てを中断させ、身代金を支払うことなく、ファイルを然るべき所有者に返すために協力し、最善を尽くします。

各国で同様の取り組みが行われていますか

No More Ransom は国際的な取り組みであり、サイバー犯罪に対して真剣に措置を講じた場合に、官民連携の価値が示されます。この連携は、地理的境界を越えるものです。当プロジェクトの主な目的は、ランサムウェアの攻撃を防止する方法について、世界中で知識を共有し、ユーザーに周知させることです。当プロジェクトの活動が、最終的には世界中の被害者に生じた損害を修復するための支援につながると確信しています。システムへのアクセスを回復させることにより、措置を講じれば身代金の支払いで犯罪者に報酬を与えずに済むということを示し、ユーザーを勇気づけたいと考えています。

最初の段階として、異なる種類のマルウェアに対応する 4 つの復号ツールをポータルに掲載しました。当 Web サイトで提供しているツールはすべて無料であり、ユーザーが所在している地域に関わらず、Web サイトに記載されている脅威に感染したすべてのユーザーに対して機能します。